情報セキュリティと心理学

f:id:Far2Kind:20180119161248j:plain

■情報セキュリティと人間の脆弱性

サイバー攻撃者はコンピュタネットワークを介するだけでなく、心理学的な手法も取り入れることにより、巧妙に攻撃してくるようになっています。

情報セキュリティと心理学は一見関係なさそうに見えますが、非常に重要でしかも解決が困難な問題があります。

それは「人間の脆弱性」です。

これは、人間が手作業で行うことがある以上はコンピュータシステムでは防ぎきれないセキュリティ脆弱性です。

 

では、このような人間の脆弱性という、コンピュータシステムの脆弱性以外の脆弱性に対してどう向き合っていけばよいのでしょうか?

 

この問いに答える前に、最近、日本の航空会社で実際に発生した事例を見てみましょう。

 

JALのビジネスメール詐欺被害について

報道にもありましたが、日本航空は2017年8月24日~2017年9月29日に計3回、詐欺メールにより送金をしてしまいました。

 

これによると、本物のメールアドレスに似せたメールアドレスで取引先になりすまし、企業の経理部門等の担当者を騙し、送金指示をしていました。

担当者はメールアドレスを本物と思いこんで処理をしていました。

 

一方、IPA独立行政法人情報処理推進機構)は2017年4月3日、「偽口座への送金を促す”ビジネスメール詐欺”の手口」の注意喚起を行っていました。

(参考)

www.ipa.go.jp

 f:id:Far2Kind:20180119161328p:plain

詐欺メールは2件、そのうち2件目はIPAが注意喚起していた本物のメールアドレスと1文字違いのメールアドレスを使った手口によるものでした。

 

この手口に対して、担当者はメールアドレスに気を付ければ防ぐことができたのでしょうか?

一方、スカイマークでも海外の取引先・担当者を騙ったメールが届いており、受け取った担当者はメールの内容を信じて送金操作をしてしまっています。しかし、たまたま送金先口座が既に凍結されて送金できなくなっていたことから、詐欺と判明しました。

この結果、2通目の詐欺メールでは即座に詐欺と認識できています。

 

このことからも、攻撃者からのメール内容は人間が詐欺と気づきにくい巧妙な内容であったことが考えられます。

送金操作は取引先からの連絡に基づいて担当者が判断して行っている以上、対策としてビジネスメール詐欺に”気をつける”だけでは対策とはならないことがわかります。

 

■コンピュータシステムの脆弱性以外の脆弱性

コンピュータシステムの脆弱性を悪用したセキュリティ侵害以外には、以下のようなことがあります。

 

①物理的な漏えい

           建物への侵入

           ショルダーハッキング

           トラッシング/スキャベンジン

 

ソーシャルエンジニアリング

これは人間の脆弱性を狙った攻撃です。

③ヒューマンエラーを狙った攻撃

これも人間の脆弱性を狙った攻撃です。ビジネスメール詐欺はメールアドレスにおいて目視による判断が難しいことを利用しています。

 

①については、生体認証システムによる入退室管理であったり、クロスカットシュレッダーの導入であったりなど、対策のためのソリューションは充実しています。

しかし、②、③のような人間の脆弱性を狙った攻撃に対して、どのように対応していけばよいのでしょうか?

 

■ヒューマンエラーを前提とした教育・訓練だけでは防げない?

ヒューマンエラーとその対策について、医療事故に関して述べた論文があります。

(参照)詳しくはこちら>>

これによると、対策を考えるポイントとして以下の5つについて述べています。

           1.作業または危険を排除する(排除)

           2.人による作業を置き換える(代替化)

           3.人による作業を容易にする(容易化)

           4.異常を検出する(異常検出)

           5.影響を緩和する(影響緩和)

 

これを、ビジネスメール詐欺の対策にあてはめてみましょう。

 

まず、「排除」を考えています。この場合対策としては、

”許可アドレス以外のメールアドレスでのメールやりとりを禁止する”

ということが考えられます。

しかし、この対策は、電子メールの利便性が低下するため、実現は困難といえます。

または、取引先への送金業務をシステム化するということも考えられますが、実現は許される予算によります。

 

次に、「代替化」、「容易化」です。これはメールアドレスが偽物であるか、メール本文に怪しい部分があるか判断する作業をシステム化することが考えられます。

確かに、このようなことを自動化するセキュリティ対策システムは実用化し、実装も進んでいます。一方、このことによる問題も発生しています。

 

2017年11月のマイナンバー制度の本格運用に際し、全国の自治体がサイバーセキュリティ対策を強化しました。その中にメールセキュリティシステムの導入・強化もあったようです。そのためか、住民や民間業者からのメールや申請書類が届かないといったトラブルが45都道府県の300超の市区町村で発生し、業務に支障が出ていたことが共同通信の調査でわかりました。

(参照)

www.tokyo-np.co.jp

このように、電子メールセキュリティ対策には難しい一面があります。

 

「異常検出」、「影響緩和」については、以下の対策が考えられます。

”許可アドレス以外のメールアドレスでのやりとりが発生した際はアラート出力と同時に上長の許可を必要とするというビジネスフローをシステム化する。”

これは、メールの利便性はある程度低下し、かつ影響を完全に無くすことはできませんが、スカイマークの事例のように過去事例に基づく”気づき”の可能性は高まることが期待できます。

 

ソーシャルエンジニアリングと人間の脆弱性

ソーシャルエンジニアリングとは、人間の心理的な隙や行動のミスにつけ込むことにより、情報システム技術を使用せずに重要な情報を盗み出す方法です。

これは、人間には心理的に以下のような脆弱性があることにより成立します。

社会心理学者のロバート・チャルディーニは、その著書『影響力の武器』(誠信書房)の中で、「人間には六つの脆弱性があり、この脆弱性を利用すれば、相手から承諾や情報などを簡単に得ることができる」と述べています。チャルディーニのいう脆弱性とは、以下の六つを指します。

  1. 返報性:人から親切や贈り物、招待などを受けると、それを与えてくれた人にお返しをせずにはいられない特性
  2. コミットメントと一貫性:自分の意志でとった行動が、その後の行動に一定の拘束をもたらすという特性。以下の三つの手法がある

ローボールテクニック:最初にある事柄を決めさせるが、後に決定した事柄が実現不可能であることを示し、代わりに最初の決定より高度な要求を認めさせる。例えば、バーゲンの目玉商品を宣伝しておいて、客がそれを購入しようとすると、「残念ながらその商品は売り切れてしまいました。ただ、少し高価にはなりますが同じような商品がございます」、などと言ってより高額な商品を購入させる

ドア・イン・ザ・フェイス テクニック:最初に実現不可能な要求を行い、相手を対応できない状況に追い込んだ後で最初の要求よりも負担の軽い要求をし、後者を実現させる

フット・イン・ザ・ドア テクニック:最初に誰も断らないようなごく軽い依頼を行い、続けざまに次のより重い要求の承諾を得る。例えば、最初に簡単な署名を依頼し、その後、より時間のかかる調査に協力してもらう

  1. 社会的証明:他人の考えにより、自分が正しいかどうかを判断する特性
  2. 好意:好意を持っている人から頼まれると、承諾してしまう特性
  3. 権威:企業・組織の上司など、権威を持つ者の命令に従ってしまう特性
  4. 希少性:入手し難い物であるほど貴重なものに思え、手に入れたくなってしまう特性

(参照)

www.atmarkit.co.jp

 

これらに対してすぐに対策することは難しいですが、まずは知ることが必要でしょう。

そして繰り返し訓練を実施して実体験することにより、理解が深まることが期待できます。

 

アプリケーションセキュリティ維新の三傑:「シフトレフト」 、「Security by Design」と「DevSecOps」アプリケーションセキュリティ強化は経営者の次のサイバー対策の課題?

f:id:Far2Kind:20180105171820j:plain

【セミナーの概要】
「シフトレフト」 、「Security by Design」と「DevSecOps」、それはアプリケーションセキュリティ強化の実現に不可欠な要素。ほとんどの攻撃はアプリケーションレイヤーに対してだが、アプリケーション開発では設計段階によるセキュリティ(Security by Design)と「DevSecOps」の継続ハードニングはまだ一般的ではない。それを変えよう!
今後のサイバーセキュリティの課題はアプリケーションセキュリティ強化だが、これらの普及促進のために分かりやすいストーリーは必要である。
 
そこでセキュリティ専門家ではないビジネス側、開発者、運用者を説得するには適切な最低限のストーリーの仕立てが必要ではないかと考える。プレゼンでは、 「シフトレフト」、「Security by Design」と「DevSecOps」の概念を使用して、経営層のサポート、決断を促す説明しやすいストーリーを描く。

【セミナーの内容】
今回のセミナーの内容は二部構成となっております。
2回セットで受講していただくことでより理解が深まります。

第一回(2018年1月24日)
- 何故アプリケーションセキュリティは大切か?
- 事業体にとって、セキュリティのコストパフォーマンスは大切
- 目標はセキュリティ品質アップ!
- 「シフトレフト」でビジネス側を納得させる

第二回(2018年2月6日)
- 伝統的な開発手法のご紹介
- アジャイル型開発手法と「DevOps」のご紹介
- セキュリティとリスクにも影響する各開発手法のスピードについて
- 「Security by Design」と「DevSecOps」の継続ハードニング、それを現場に導入せよ

【会期】2018年1月24日(水) 18:30-20:00(受付開始18:15)

セミナー後にはビール等をご用意しておりますので、参加者同士や講師と親睦を深めましょう!

【会場】

〒103-0014 東京都中央区日本橋蛎殻町1丁目35?8 グレインズビル 1F
※地下鉄半蔵門線「水天宮前」駅から徒歩1分、都営浅草線・地下鉄日比谷線「人形
入場はグレインズビルの正面入口にてお願い致します。

【講 師】

ディパオロ・ロベルト 株式会社アクロセック、代表取締役
野村證券(東京)、Wholesale、ITセキュリティコンサルタント
クレディ・スイスチューリッヒ)、ITアーキテクチャー部、エンタプライズセキュリティアーキテクト
クレディ・スイスチューリッヒ)、eビシネス部、研究開発コンサルタント

【セミナーの対象者】町」駅から徒歩5分
経営層のトップ・情報セキュリティ責任者・担当者・コンサルタント

【お申し込みについて】
定員:25名
当日に名刺を2枚ご持参下さい。
申し込み期間:1月24日 18時15分までにお申し込みください。
なお、多くの方にお申込みいただいた場合、募集を締め切らせていただくことが
ありますので、予めご了承下さい。

お申込みはこちらまで>>

pipeline.doorkeeper.jp

上記セミナーに関するお問い合わせ先
PIPELINE Security株式会社
東京都中央区日本橋蛎殻町1丁目35?8 グレインズビル 1F
TEL: 03-4405-5766
E-mail: marketing@pipelinesecurity.jp

ファイアーウォールの神話

f:id:Far2Kind:20171220121808j:plain

■ファイアーウォールは万能か?

もともとインターネットは、研究者など一部関係者だけが利用することから、性善説に基づいて設計され、利用されてきました。しかしその後、世界中の一般の人々に開放されたネットワークになっていきました。

このようになってから、インターネットからLAN内に対して不必要な通信を防御する必要性に迫られてくるようになり、セキュリティ対策としてファイアーウォールが設置されるようになってきました。

 

では、ファイアーウォールさえ設置すれば、セキュリティ対策として万全なのでしょうか?

ファイアーウォール(=防火壁)という名前だけを聞くと、全ての攻撃=火を防御してくれそうに思えます。

しかし、近年の攻撃パターンでは、それは単なる神話となっています。

 

なぜ神話となっているのでしょうか?

ここでは、ファイアーウォールによる防御を神話とさせている攻撃について明らかにしていきます。

 

■ファイアーウォールが守るもの

ファイアーウォールは、LANとインターネットの境界に設置され、LAN上のコンピュータの保護を目的として、事前に決められたルールに沿ってパケットの内容等をチェックし、通信の許可/不許可の判定を行い、不許可の場合はその通信をブロックします。

 

例えば、ユーザ発の通信は許可するが、インターネット発の通信は不許可とするといった設定が可能です。

これによって、ユーザ端末に対する外部からの直接攻撃は防御できます。

 

f:id:Far2Kind:20171220121909p:plain

しかし、インターネットにサービスを公開する場合、80番ポート(HTTP)、443番ポート(HTTPS)といったポート番号に対して通信許可の設定をする必要があります。

したがって、これらのポート番号の通信を使った攻撃では、ファイアーウォールによる防御は無効です。

このような攻撃としては、例えばHTTP GET Flood、HTTP POST Flood、SQLインジェクション、メールにマルウェア添付して開かせる、といった攻撃があります。

次に、これらの攻撃について説明していきます。

f:id:Far2Kind:20171220121957p:plain

DoSDDoS攻撃は防御できない

HTTP/HTTPSを使ったDoS攻撃では、HTTP GET Flood、HTTP POST Floodと呼ばれる攻撃があります。

HTTP GET Flood攻撃とは、事前に多数の端末やサーバに不正にインストールしたBotを使ってターゲットのWebサーバに大量のHTTP GETリクエストを実行する攻撃です。この結果Webサーバは大量のHTTP GETコマンドを処理しきれず、遅延が発生してダウンします。

HTTP GETリクエストには、ランダムなパス等を入れることによって、リクエストが正常なものかHTTP GET Flood攻撃なのかの判断を困難にすることが多いです。

同様に、大量のHTTP POSTコマンドを実行する攻撃をHTTP POST Flood攻撃といいます。

しかし、このような攻撃を手動で実施しようとしても、現在のサーバスペックでは過負荷を実現することは困難です。したがって、攻撃者は事前に多くの端末にDDoS攻撃ツールを仕込んで構成されたボット(bot)ネットワークを使って、そこから一斉に攻撃をしかけます。

f:id:Far2Kind:20171220114631p:plain

■Webアプリケーションの脆弱性攻撃は防御できない

Webアプリケーションの脆弱性を狙った攻撃はHTTP/HTTPSで通信するので、ファイアーウォールを通過します。

その一つに、SQLインジェクションという攻撃があります。

Webアプリケーションはユーザからの各種情報入力を受けてサーバ側で処理し、結果をユーザに返すという処理があります。サーバの処理には、サーバやデータベースにアクセスし、情報参照・更新するという処理があります。

このような処理の過程では、Webアプリケーションは、ユーザから想定外の情報が入力されてもそのまま処理せず、正しくエラー処理を実施する必要があります。

しかし、こうした処理に不備があると、攻撃者から、SQLと呼ばれるデータベース処理をするためのコマンドを含む情報が入力された後、その内容でサーバが処理することで、サーバ上で攻撃者の思いのままにSQLが実行されてしまいます。

これにより、攻撃者は、不正なSQL実行によりデータベース内の重要情報漏えい、コンテンツの改ざんといった攻撃を行うことができます。

コンテンツの改ざんでは、多くの場合、Web 閲覧者にマルウェアの侵入を試みるプログラム (スクリプト) が書き込まれます。

f:id:Far2Kind:20171220132658p:plain

攻撃者はWebサーバを介してデータベースを攻撃します。攻撃の内容としては、Webサーバ上のアプリケーションにユーザが入力できる項目があるとします。さらに、その入力値をチェックに不備がある場合、攻撃者は入力値にデータベースを改ざんするSQL文を含む文字列を入力します。このSQL文はユーザが閲覧した際に不正なスクリプトが実行されるような内容となっています。

なお、入力値は不正ですが、アプリケーションは正常に処理するので、Webサーバのログでは正常終了というステータスになるため、Webサーバのログを詳細に見ない限り不正な動作かは判明しません。

したがって、Webサーバのログ監視だけでは不正な動作を検知することは困難です。(①→②)

この段階で閲覧するとユーザ上で不正なスクリプトが実行されるコンテンツがWebサーバで公開された状態となっています。(③)

そして、この状態でユーザが標的Webサーバのコンテンツを閲覧すると、ユーザ端末上で不正なスクリプトが実行されます。(④)

ユーザは、いつも訪れ、かつ出処の知れたWebサイトなので、特に閲覧で気をつけるということは無いことが多いです。

ただ、ユーザ端末上でウイルス対策ソフトが実行されている場合は、ウイルス対策ソフトによる検知で攻撃があることが発覚するケースもあります。

しかし、ウイルス対策ソフトのパターンにマッチしないケースでは、知らないうちにユーザ端末にマルウェアがインストールされてしまいます。

このようなことから、ウイルス対策ソフトをユーザ端末にインストールすることは、このようなケースもあることから必要ですが、万全ではないともいえます。

したがって、対策はサーバ側で実施されなければなりません。

 

■電子メールを利用した攻撃は防御できない

電子メールにおける攻撃は、上で説明したようなシステム上の脆弱性を狙った攻撃ではなく、ある意味、利用する人間の脆弱性を狙った、つまりソーシャルエンジニアリングの手口による攻撃です。

特に、標的型メール攻撃が知られています。手法としては、標的の関係者を装い不正プログラムを組み込んだファイル/URLを送り付け、マルウェアをユーザ端末にインストールするよう仕向けます。エンドユーザのセキュリティ意識を高めることで防ぐことができる場合もありますが、年々巧妙化しているので、完全に防ぐことは難しいです。

 

■セキュリティ対策は複合的に

ファイアーウォールの設置だけではセキュリティ対策として不十分であることを説明しました。しかし、ファイアーウォールが不要というわけではありません。

 

ファイアーウォール以外にも、ネットワークレベルでの攻撃にはIDSによる検知やIPSによる防御、Webアプリケーションの脆弱性に対する攻撃の防御にはWAF(Web Application Firewall)があります。

必要なのは、他のセキュリティ対策製品と組み合わせることによって、さまざまな攻撃に対する防御を強固にすることです。

 

一方、セキュリティ対策製品をそろえるだけではセキュリティ対策として万全ではありません。ユーザ一人ひとりのセキュリティ意識向上も欠かせません。情報セキュリティ教育は全メンバー漏れなく定期的に実施して、習熟度を維持・向上していく必要があります。

IoTとそのセキュリティの現実

f:id:Far2Kind:20171220112418j:plain

■すでに身近に存在するIoT

身の回りのあらゆるものをインターネットに接続する、いわゆる「IoT」(Internet of Things = モノのインターネット)という言葉があちこちで聞かれるようになってきました。

テレビCMでさかんに放送されているAIスピーカーといった目立ったものだけでなく、すでに一般的なものではテレビやビデオレコーダーもインターネット接続がサポートされており、遠隔で録画した番組を見たり、番組録画を指示したりできるようになっています。

このような中、今話題のAIスピーカーの脆弱性が報告されました。

 

■AIスピーカーの脆弱性

現在、さまざまなAIスピーカーが提供を開始しました。

その中で、「Amazon Echo」(アマゾン エコー)に脆弱性があることが指摘されました。

2017年8月、英国のサイバーセキュリティ企業MWR InfoSecurityのMark Barnes氏が報告しました。

詳しくはこちら>>>

 

アマゾン エコーにはOSとしてLinuxが搭載されており、それに管理者権限でマルウェアをインストールすることができるという脆弱性です。

もしマルウェアに攻撃者がリモートアクセスできる機能があるとすると、アマゾン エコーを乗っ取られるだけでなく、盗聴器として利用されてしまう可能性が指摘されました。

 

f:id:Far2Kind:20171220114451p:plain

 

■IoTを狙った攻撃とbotネット

IoT機器の脆弱性を狙った攻撃については、最近「Mirai」と呼ばれるマルウェアがよく知られています。

インターネットにつながるネットワークカメラやインターネットルータ、デジタルビデオレコーダーといったIoT機器が主な標的となります。これら機器で動作するソフトウェアの脆弱性を利用してマルウェアが感染すると、攻撃者が遠隔操作可能な状態(=踏み台)となります。

踏み台になると、攻撃者は任意のコマンドを多数の踏み台に対して同時に実行できるようになります。

こうした踏み台を使った攻撃として話題となったのは、大規模なDDoS攻撃(分散(distributed)DoS攻撃)を可能にする、いわゆるボット(bot)ネットワークが構築されていることが発見され、実際に攻撃に使われたことです。

f:id:Far2Kind:20171220114631p:plain

他にも、迷惑メールの配信や情報漏えいを狙った操作などがあります。

多数の踏み台にされたコンピュータを持つ人達は踏み台にされたことに気づかないケースが多いです。さらに攻撃者との関係性も無いことが一般的です。

したがって、通信のログだけで攻撃者を特定することは困難です。また、攻撃された場合は対処として攻撃通信のブロックがありますが、直接の攻撃元(踏み台)は一般のインターネットユーザであることが多いことから、本来のユーザにも影響を及ぼすので注意が必要です。

 

■Miraiによる被害

2016年10月21日以降、米国で断続的にインターネットへのアクセスができなくなり、TwitterNetflixPayPalPlayStation Networkといった著名なインターネットサービスが被害を受けました。

これは、これらのサービスがインターネット上の名前解決をするために利用されるDNS(Domain Name System)がDDoS攻撃を受けたことが原因で、このDDoS攻撃が「Mirai」に感染した機器から発せられたと言われています。

そして、ちょうどその被害が発生する直前に「Hack Forums」とよばれるサイトに「Anna-senpai」という匿名の者が、自らのDDoS攻撃の関与に関する記述とともに「Mirai」のソースコードを公開しました。

 

f:id:Far2Kind:20171220114232p:plain

2016年10月の事件はこの投稿との関連性が疑われています。

実際、ソースコードを公開できるGitHubというサービス上では、”mirai”と検索するだけで、既に多くの「Mirai」またはその亜種と思われるソースコードが公開されています。

 

このようなことから、プログラミングのスキルがある者であれば、誰でもこれを基に亜種を作り出すことが可能な状態です。このため、攻撃の数・パターンともに多くなりやすいといえます。

f:id:Far2Kind:20171220115017p:plain

■OVHのDDoS攻撃被害

OVHはフランスのホスティングサービス事業者ですが、2016年9月に、大規模なDDoS攻撃の被害にあったことを明らかにしました。

攻撃の発信元は踏み台にされたデジタルビデオレコーダーやネットワークカメラ計14万台で構成されるボットネットであったとのことです。

このように、家電品もインターネットに接続するようになっているため、サイバーセキュリティの対象に加えるべきです。

そして、インターネットに接続するこれら機器は、ファームウェアが常に最新の脅威に対応するよう、バージョンアップしているものを選ぶことをおすすめします。

 

■Deutsche TelekomのDDoS攻撃被害

ドイツの通信会社Deutsche Telekomは2016年11月、「Mirai」による攻撃を受け、顧客のサービスに障害が発生したと報告しました。

問題が発生していたのは家庭に設置されているルータで、全顧客の4~5%になるといわれています。

f:id:Far2Kind:20171220115122p:plain

ボットネットは他に脆弱性のあるデバイスがないか探査する機能がありますが、Deutsche Telekomの顧客の家庭用ルータはこの探査を受けると誤動作やクラッシュを起こすため、インターネット接続ができなくなるといった被害を受けました。

この例は、ボットに不具合があったための被害例です。このように必ずしもボットは想定通りに動作するとは限らず、例え想定通りに動かなかったとしても被害が生じる可能性があるということがわかります。

 

無防備Webカメラ(Insecam)が存在

Insecamというサイトでは無防備にインターネットにさらされているWebカメラ(ネットワークカメラ)の存在が公開されてしまっています。日本においても例外ではありません。ここで公開されているカメラの台数のうち、日本は世界で第3位になっています。

このようなところから情報漏えいが発生しています。おそらく、管理者ID/パスワードを工場出荷時のままであったり、簡単なパスワードに設定した状態でインターネットに接続したりしているためと考えられます。また、カメラに搭載されているアプリケーションに脆弱性があり、ID/パスワードが見えてしまう例もあります。

もし、ネットワークカメラを設置している場合は、パスワードの変更ができているか、不審なアクセスが無いかを確認することをおすすめします。

 

f:id:Far2Kind:20171220115212p:plain

 

■医療機器もIoTの時代に

f:id:Far2Kind:20171220115321p:plain

医療分野においてもIoTの時代となっています。特に「医療IoT(Internet of Medical Things: IoMT)」と呼ばれており、Wi-FiBluetoothなどのワイヤレス通信機能を備えた医療機器が活用されつつあります。

患者の遠隔モニタリング機器、遠隔調整可能なスマート輸液ポンプ、遠隔で状態監視できるスマートベッドといったものが活用例としてあります。

このような中、マルウェア感染やハッキングされる脆弱性が報告された機器が存在しており、医療機器もサイバーセキュリティの例外ではないことがわかります。

<参考>

IPA 「米国の病院におけるIoTの活用状況」

IPA 「医療機器における情報セキュリティに関する調査」

 

 

Bluetooth脆弱性 BlueBorne

f:id:Far2Kind:20171220115346p:plain

現在、Bluetooth接続はパソコン、スマートフォンだけでなく、IoT機器など様々なデバイスで無線接続のために利用されています。

最近ではスマートフォンと自動車の接続や、ヘッドフォンにもBluetooth接続の利用が多くなってきており、ますまず生活に密着した技術となってきています。

このような中、"BlueBorne"と呼ばれるBluetooth脆弱性が明らかになり、話題となっています

 

この脆弱性は米セキュリティ企業Armis Labsにより2017年4月に発見され、9月12日に公開されました。

Armis "The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device”(英語)

https://www.armis.com/blueborne/

また、JPCERT/CC(JPCERT コーディネーションセンタ)でも9月13日に注意喚起されています。

Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起

まだ具体的な被害事例の報告はないようですが、多くの機器で再現性の高いものなので、知らないうちに被害にあっている可能性は否定できません。

モバイルのセキュリティ脅威

f:id:Far2Kind:20171130135345j:plain

■近年のモバイルとパソコンとの違い

モバイルデバイス、特にスマートフォンは従来の携帯電話と異なり、機能がパソコンと同等となってきています。

一方、スマートフォンはパソコンと異なり、電話やメール、メッセージ機能を利用することから、基本的に電源をOFFにすることなく、常時OSが起動した状態で利用します。

しかも友人・知人の個人情報、SNS投稿、普段よくみるサイトといった生活する上で重要な情報が保存されています。

これらの点から、モバイルのセキュリティ対策はパソコンとは異なる視点での注意の仕方が必要となります。

PCの場合、電子メールの添付ファイルによるマルウェアの拡散が大きな被害につながっています。

一方、一般的なモバイル利用者は電子メールで添付ファイルを送信したり、受信して開いたりすることは頻繁にはないようです。

 

また、現在モバイル端末で主流となっている2つの OS、Android OS と iOS の双方では、主要なアプリの入手方法はインターネット上のアプリマーケット(Google PlayApp Store)経由となっています。このため、モバイル利用者に不正アプリをインストールさせるための手法としては、電子メールの添付ファイルよりも、あらかじめ用意した不正な Webサイトへ誘導する手口、またはアプリマーケットで正規のアプリを偽装するという手口が多くなっています。

 

スマートフォンに対する攻撃者の手口

では、攻撃者はどのようにしてモバイル利用者を不正サイトや不正アプリへ誘導するのでしょうか? 最近の攻撃事例によると、SNSへの投稿やメッセージにより利用者を誘導する方法があるようです。また PCと同じく、不正広告による誘導もあります。さらに、利用者を騙すソーシャルエンジニアリングといった手法を使い、マルウェアをインストールさせます。

 

例えば、人気アプリに偽装したマルウェア(しかもアプリマーケットで上位にありました!!)を利用者にインストールさせることによって、スマートフォン内の個人情報を窃取したり、遠隔操作を行える状態にしたりする事件がありました。スマートフォン向けランサムウェアによって端末がロックされ、端末復旧と引き替えに金銭を要求される被害も起きています。

 

■攻撃者の標的となっているAndroid

 

f:id:Far2Kind:20171130141433p:plain

モバイル端末OSのうち、Androidは最も攻撃者の標的となっているケースが多いです。

これは、AndroidGoogle Playというアプリマーケットだけでなく、独自サイトからのアプリダウンロードが可能となっているためでしょう。

また、Google Playでの配布でも審査はありますが、一般的にAppleApp Storeよりも甘いといわれています。

 

実際に、TREND MICROによると、毎月のようにGoogle Play上に新しいマルウェアが確認されています。

 

このように、Android端末はそのままでは危険で、セキュリティを万全にしておく必要があるといえます。

 

では次に、攻撃の具体例を見ていきましょう。

まず、PCでも猛威を振るっているランサムウェアです。

モバイル向けには「MINISTRY OF JUSTICE」(法務省)を名乗り、日本語で身代金の要求をするマルウェアが話題となりました。

これがスマートフォンにインストールされると、画面をロックするなどして端末の操作をできなくしたり、端末内のデータを暗号化した上で、この復旧と引き換えに代金が要求されたりします。

 

f:id:Far2Kind:20171130141500p:plain

さらに、Androidをターゲットとしたさまざまなトロイの木馬が発見されています。

例えば、新しいビデオゲームやアニメ、アダルトビデオの予告編を見せるというものです。

このようにしてユーザがスマートフォンを使ってこれらのビデオをダウンロードさせるよう仕向けることでトロイの木馬を忍び込ませて、リモートサーバに端末上のデータを意図せず転送されます。

例えば2012年には、以下のようなアプリの他、多くのアプリで個人情報を漏えいさせるアプリがGoogle Play上にアップされ、多くのユーザがダウンロードしてしまう事件がありました。

f:id:Far2Kind:20171130141605p:plainf:id:Far2Kind:20171130141542p:plain 

これらのアプリは、インストールする際に、電話帳データの読み取りや、電話ステータス/IDの読み取りなど、端末上の情報へのアクセスを要求します。

この要求に対して必要か不要かを見極めることなくそのままアクセス許可してしまうと、データが盗まれるという手口になっています。

 

対策としては、Androidでは攻撃者の標的となっていることをまず知る必要があります。

その上で、以下の点を注意していく必要があります。

①すでに普及し、市場で評価されているアプリを使うようにしましょう。

②アプリはGoogle Playなど、信頼できる有名なアプリストアから購入しましょう。さらに、信頼できるアプリストアだったとしても、提供元不明のアプリをインストールしないようにしましょう。デバイスのアプリケーション設定メニューで、「提供元不明のアプリ」オプション選択を解除するのも有効です。

③アプリケーションをインストールする際に、不必要なアクセス権を要求してきた場合はインストールを中断しましょう。

ウイルス対策ソフトをインストールして、マルウェアを検知できるようにしましょう。

 

iOSAndroidより安全か?

f:id:Far2Kind:20171130141651p:plain

iOS端末では、基本的に正規アプリストアである「App Store」経由でしかアプリをインストールできず、攻撃者にとって強固な壁となっています。

しかし、迂回路はあります。

一つは「Jailbreak(脱獄化)」です。これにより、App Store以外からもアプリがダウンロード可能となったり、本来のOS設計上はアクセス不可となっている操作ができるようになったりします。これはOSにより守られていたセキュリティが脆弱になることを意味します。

したがって、Jailbreakしないことは、iOS端末のセキュリティ対策において大前提となっています。

しかし、Jailbreakしなくても不正なコンテンツをダウンロードさせる手段があります。それはAppleエンタープライズ配布用証明書を悪用する手口です。

この証明書で署名されたアプリはApp Storeを経由しなくても、iOS端末にインストールできるようになっています。

本来の目的は、企業で独自開発したアプリを社員の端末にだけ配布できるようにするためです。このために、端末に対する制限が緩和されていますが、これが悪用されています。

f:id:Far2Kind:20171130141739p:plain

 

対策としては、出処の不明な証明書をインストールしないことです。

 

 

■モバイル全般に関わるセキュリティ対策

これまでは、AndroidiOSそれぞれの特徴に関連したセキュリティ脅威と対策について述べました。

次は、これらに関係なくモバイル用途で必要となるセキュリティ対策について考えていきます。

 

マルウェアSNSへの投稿により、意図せず端末の位置情報が不特定多数の人に知られる危険性に注意する

 スマートフォンの多くはGPS機能が搭載されています。スマートフォンで撮影した写真には位置情報が付加されているので、写真の見た目でどこかわからなくても、位置情報で判明する場合があります。また、ダウンロードしたアプリが位置情報を取得するマルウェアだったとすると、自分がどこにいるかを追跡される恐れがあります。

 

②無料Wi-Fiスポットからのマルウェア感染に注意する

 自動的に無料Wi-Fiスポットに接続するように設定することは避けた方がよいでしょう。通りすがりに知らないうちに危険な無料Wi-Fiスポットに接続してしまうかもしれません。しかしどうしても利用する場合は、ウイルス対策をしておく必要があります。

 

OSアップデートが出たら、すぐにインストールする

OSのアップデートは微細な不具合の対応だけでなく、セキュリティアップデートを含むことがあるため、必要なセキュリティ対策となります。

iOSの場合、OSアップデートがあると以下のように「設定」→「一般」の「ソフトウェア・アップデート」に印(バッジ)が付きます。

f:id:Far2Kind:20171130141849p:plain

Androidは端末メーカーによって画面が異なるケースがありますが、アップデート通知画面が表示されます。詳しくは各メーカーまたはキャリアの情報を確認してください。

情報漏洩対策 ちゃんと考えてますか? - PIPELINE Securityの無料セキュリティセミナー

f:id:Far2Kind:20171124113916j:plain

【セミナーの概要】
 個人情報保護法、改正割販法、PCIDSS、ISO27000(ISMS)、GDPRなど、情報セキュリティに関する法規制やガイドラインなどが多くありますが、すべてで共通しているのは「守るべき物を特定し、優先順位をつけて対応する」ことです。このセミナーでは情報セキュリティに取り組んでいる企業、これから取り組む企業に、情報セキュリティの基本的考え方と対応方法について解説します。

【セミナーの内容】
・セキュリティ対策の要点
・何から始める企業のセキュリティ
・守るべき物の特定
・優先順位の付け方
・電子的と物理的
・投資効果の最大化

【会期】2018年1月12日(金) 16:00〜17:30(受付開始15:45)
セミナー後にはビール等をご用意しておりますので、参加者同士や講師と親睦を深めましょう!

【会場】〒103-0014 東京都中央区日本橋蛎殻町1丁目35−8 グレインズビル 1F
※地下鉄半蔵門線「水天宮前」駅から徒歩1分、都営浅草線・地下鉄日比谷線人形町」駅から徒歩5分
入場はグレインズビルの正面入口にてお願い致します。

【講 師】有本 浩 情報セキュリティコンサルタント・CISA、CISSP、情報処理安全確保支援士

【セミナーの対象者】
・企業経営者
・企業の情報セキュリティ責任者
・企業の情報セキュリティ担当者

【お申し込みについて】
定員:25名
当日に名刺を2枚ご持参下さい。
申し込み期間:1月12日 15時45分までにお申し込みください。
お申込みはこちらまで↓
https://pipeline.doorkeeper.jp/events/67874
なお、多くの方にお申込みいただいた場合、募集を締め切らせていただくことがありますので、予めご了承下さい。

上記セミナーに関するお問い合わせ先
PIPELINE Security株式会社
東京都中央区日本橋蛎殻町1丁目35−8 グレインズビル 1F
TEL: 03-4405-5766
E-mail: marketing@pipelinesecurity.jp

「スマート水槽」によって起こってしまったセキュリティ事故について考える 〜スマートホームとIoTの脆弱さ〜

f:id:Far2Kind:20171114110612j:plain

7月20日にインターネットに接続された「スマート水槽」を介して、北米のカジノネットワークに侵入、情報を不正に取得しようとする事件が発生しました。

この事件では、水槽に搭載されたインターネット経由で「魚のえさやり」や「温度などの環境維持」を行うシステムが、逆に悪用され、侵入口として利用されてしまいました。

 

このようにIoT機器がインターネットに接続されるにあたって、従来では想定されていなかったような問題が発生するリスクが高まっています。こういった状況に対して、どのように対策を行えばよいのでしょうか。また、IoT機器に対するセキュリティ上の取り組みにはどのようなものがあるのでしょうか。

 

・事件の経緯:

今回「スマート水槽」を介して発生したセキュリティ事故の経緯は以下のようになっています。

 

- 2017年7月20日:セキュリティ企業「Darktrace」が同社の報告書「Global Threat Report 2017」において以下の報告を行う

→ インターネットに接続された「スマート水槽」を介して、何者かがカジノネットワークに侵入、情報を不正に取得しようとした。

 

・事件の原因(問題点):

「スマート水槽」を介して、ネットワークに不正アクセスするという今回の事象は、通常のコンピュータのような十分なセキュリティ対策が「スマート水槽」に行われていなかったところにあります。

 

通常のパソコンやサーバーなどではOSやアプリケーションのアップデートプログラムやセキュリティパッチを適用することで、脆弱性などの問題を解消することができますが、「スマート水槽」のようなIoT機器の場合はそういったことができないケースも多く、そのため、悪意を持った犯罪者からは侵入しやすく格好の標的となっています。

 

・この事例の何が危険なのか:

今回の事例の何がもっとも危険だったのでしょうか。それは、従来のようなパソコンやスマートフォンではなく、予想もしないもの「スマート水槽」が不正アクセスのトリガーになったことです。これは、従来のコンピュータとネットワークに特化したセキュリティ対策では不十分であることを意味します。

 

・まとめ(筆者所感):

この「スマート水槽」を介してカジノネットワークに不正アクセスを行なった事例では、従来のパソコンやサーバーなどのコンピュータに比べてセキュリティ対策が十分とは言えないIoT機器をターゲットにした、まさに時代の流れを反映したセキュリティ犯罪と言えます。

 

従来のコンピュータでは、更新プログラムや修正パッチ、あるいはセキュリティ対策ソフトウェアなどの対策をしっかりと行うことで防げたセキュリティ上の脅威も、こういった更新の仕組みを持たないIoT機器の場合は難しくなります。しかし、今後すべてのものがインターネットに接続されていくというIoTの基本方針のもとにこういったケースはさらに増えていくことが確実です。

 

では、これらIoT機器に対するセキュリティ対策とはどのようにあるべきなのでしょうか。総務省のガイドラインによれば、IoT機器に対するセキュリティ対策とは、以下の4つのポイントからなっています。

 

1) 問い合わせ窓口やサポートのない機器の利用や購入はしない

2) 初期設定に気をつける

3) 使用しなくなった機器については電源を切る

4) 機器を手放す時はデータを消す

 

まず「問い合わせ窓口やサポートのない機器の利用や購入はしない」について、機器を利用する際は必ず問い合わせ先やサポートがあるものを使うべきです。問題発生時に問い合わせることが出来ない機器は利用すべきではありません。また「初期設定」も大切です。むやみに管理画面にログオンしたり出来ないように、十分強いパスワードを設定することが必要です。決して初期パスワードのまま利用することはやめましょう。

 

そして、もう一つ大切なことは「使用しなくなった機器の電源を切る」ことです。電源が入ったままだと、それを踏み台にして不正アクセスされるといったリスクも否定できません。必ず電源は切りましょう。最後に「機器の廃棄の際はデータを消す」ことが重要です。パソコンなども同じですが、廃棄業者がデータを抜き取って悪用するケースがあります。情報漏洩につながるケースもあるので、データは必ず削除しましょう。

 

IoT機器のセキュリティ対策は、従来までのパソコンやサーバーといったコンピュータ、スマートフォンタブレットといった情報機器とは大きく異なる難しさがあります。これは、OSが組み込み型である、あるいはソフトウェアが組み込まれていて更新することができないなどの理由、またIoT機器に対してプログラムを更新するのであれば、幅広い帯域のネットワークで接続しておく必要がありますが、それが通信コストなどの理由で出来ないケースもあります。

 

サイバーセキュリティ対策について詳しくは弊社のサイトをご覧ください。

http://www.pipelinesecurity.jp/

 

本来、高度な専門家を必要とする適切なセキュリティ対策も、同社のソリューションを導入することで可能になります。ご興味のある方は、ぜひWebサイトをご覧ください。