4月にはセキュリティ関連のビッグニュースがいくつかありました。ここしばらく聞いたことがないというほどの深刻さです。Windows XPのサポートが終了し、新たなぜい弱性Heartbleedが発見されたことを受けて、Kaspersky Labは最新情報を追い続けてきました。Kaspersky Dailyの4月の記事を見逃した人は、このまとめ記事を読んで追いつきましょう。
OpenSSLのぜい弱性「Heartbleed」が多数Webサイトのセキュリティに影響
4月には、ここ最近で最も重大なセキュリティニュースが届きました。OpenSSLにおける暗号化の深刻な不具合、Heartbleedが発見されたのです。OpenSSLはインターネット上で広く使用されている暗号化ライブラリです。Webサイトに対して暗号化接続を確立するとき、接続先がGoogleであれ、Facebookであれ、銀行のオンラインサービスであれ、データはSSL/TLSプロトコルを使って暗号化されます。人気のWebサーバーの多くは、このオープンソースのOpenSSLライブラリを利用して暗号化を行っています。OpenSSLの管理者は深刻な不具合を修正するためのパッチをリリースしました。修正対象は「Heartbeat」というTLS機能の実装に関する不具合で、最大64KB単位のサーバーメモリを読み取れるというものです。サーバーのメモリを保護する暗号ライブラリ(OpenSSL)がぜい弱性のあるバージョンだと、インターネット上の誰でもメモリを読み取れるのです。最悪の場合、ここに何か重要なデータが保管されているかもしれません – ユーザー名、パスワード、暗号化通信に使われるプライベートキー、などなど。また、Heartbleedを悪用した痕跡は残りません。サーバーがハッキングされてデータが盗まれても、どのデータが被害に遭ったのか特定できないのです。Heartbleedの影響を受けるWebサイトやオンラインサービスが修正パッチを適用したかどうか、確認する術はありません。さらに、この不具合はとても簡単に悪用できるだけでなく、2年もの間存在し続けていたとされています。では、どのような対策が必要なのでしょうか?Heartbleedの影響を受けるサービスのリストを確認し、すべてのパスワードを今すぐ変更しましょう。
驚くべきハッシュの世界
暗号学的ハッシュ関数(単にハッシュと呼ばれることが多い)は、任意のデータのブロックを、決まった長さの新しい文字列に変える数学アルゴリズムです。同じタイプのハッシュは、入力されたデータの長さに関係なく、必ず同じ長さのハッシュ値を出力します。一番よく目にするハッシュはパスワード関連です。たとえば、何かしらのオンラインサービスのパスワードを忘れてしまった場合、パスワードのリセットを実行することになりますが、そのときに平文のパスワードを受け取ることは、まずないはずです。なぜなら、オンラインサービスが保存しているのはパスワードのハッシュ値であり、実際のパスワードはまったくわからないからです。また、メディアファイルもハッシュ化することができます。その中で(少なくとも私たちにとって)最も重要なのは、Kaspersky Labのようなアンチウイルス企業のマルウェア検知手段として利用できることです。アンチウイルスエンジンがマルウェアを認識してブロックする方法の1つは、ファイルのハッシュ値と、独自の(そして公開されている)マルウェアのシグネチャデータベースを比較することです。さらに、マルウェアのハッシュ値の拒否リストも無数に作成されており、そのほとんどが一般に公開されています。こうしたマルウェアのハッシュ(マルウェアのシグネチャ)の拒否リストには、マルウェアのハッシュ値や、もっと小さくて識別可能なマルウェアのコンポーネントのハッシュ値が登録されています。怪しいファイルを見つけた場合、公開されているマルウェアのハッシュデータベースのどれかにそのハッシュ値を入力すると、ファイルが悪質なものかどうかがわかります。最後になりますが、暗号学的ハッシュ関数には「メッセージの完全性」を確認するという用途もあります。つまり、通信内容やファイルが改ざんされていないことを、データ転送の前と後のハッシュ出力を検証することで確認するのです。転送前と転送後のハッシュが一致すれば、通信が正常に行われたと言えます。
安全なインスタントメッセージングは、あり得るか?
現在、インスタントメッセージングサービスを使用している人は、世界中でかなりの数に上ります。WhatsAppやSkype、Viber、LINEをはじめ、それよりちょっと知名度の落ちるFacebookやLinkedInといったサービスの内蔵メッセージ機能など、毎日何十億通というメッセージが処理されます。しかし、このように人気のインスタントメッセージングサービスには、メッセージ交換におけるプライバシーという問題がつきまといます。定番のインスタントメッセンジャーも、プライバシーに関しては信頼するのが難しくなってきました。もちろん、もっと安全なサービスは他にもありますが、SkypeやWhatsAppの代わりになるほどのものでしょうか?どんな種類のメッセージであれ、送信する際は次の3つの段階を経ることになります。(1)送信者と受信者、それぞれのシステムのローカルストレージに記録され、(2)有線または無線ネットワークを通じて転送され、(3)サービスのサーバーにより処理されます。もし、(1)で誰かにメッセージング履歴へのアクセスをあるていど掌握されてしまったら、メッセージの残りの移動経路は完全に制御不能になります。もちろん、暗号化は役に立ちますが、絶対確実とは言えません。ThreemaやSilent Circle、TextSecureなど、正式に発表された機能とまったく遜色ないレベルのセキュリティを提供し、第三者による通信へのアクセスを十分に防ぐことができるアプリやサービスもありますが、まだ完全には公開されておらず、本当の意味で理想的な暗号化メッセンジャー、というものは存在しません。そのため、価格、使い勝手、セキュリティレベルのどれかで妥協せざるを得なくなります。システムの有料VPNアクセスには月5ドルほどかかりますが、これで公衆Wi-Fiネットワークからやってくる危機から身を守ることができるでしょう。キーロガーなどのマルウェアについては、当社でも提供しているような総合的なセキュリティ製品があります。このような保護対策を施し、XMPP/Jabberベースのメッセンジャーを追加すれば、あとは安心してインターネットを使ったコミュニケーションを続けられます。
Android向けのバンキングマルウェアが急増
マルウェアがコンピューターに感染してから実行する活動のうち、最も危険なものといえば、今でも変わらず金融詐欺です。いわゆる「バンキング型トロイの木馬」は、ユーザーと銀行の中間に身を潜め、ユーザーの資金を操作して犯罪者の銀行口座に入金させます。この脅威に対抗するために多くの銀行が利用しているのが2段階認証と呼ばれる対策です。オンラインで送金を行う場合は、パスワードを入力するほかに、スマートフォンにテキストメッセージで送られてくるワンタイムパスワード(OTP、mTAN)を使用して、その取引を承認しなければなりません。犯罪者はこのセキュリティ手段に対抗するために、新たな手口を考え出しました。コンピューターとスマートフォンの両方を感染させ、パスワードとmTANを同時に盗むという手口です。この手法は、マルウェアZeusとZbotを組み合わせた攻撃で初めて使用され、非常に効果の高いことがわかっています。最近では、FaketokenというAndroidマルウェアが、同じコンセプトで開発されました。残念ながら、こちらも非常に効果が高く、Kaspersky Labが最近発表したレポート「IT threat evolution Q1 2014」(ITの脅威の進化:2014年第1四半期版、英語)では、Faketokenが上位20のモバイルマルウェアの「ランキング」で13位となり、すべての感染のうち4.5%を占めるに至っています。2014年の最初の3か月間で、Kaspersky LabはFaketokenが関わった攻撃を、ドイツ、スウェーデン、フランス、イタリア、英国、米国など、55か国で検知しました。リスクを軽減するためには、複数のデバイスを保護する製品、すなわち、PCとAndroidスマートフォンの両方に対応したセキュリティ製品の使用が重要なポイントとなります。
先週の注目ニュース:Heartbleed、Windows XPサポート終了など
4月の記事の中でも特に重要だったのがHeartbleedのニュースでした。HeartbleedはOpenSSLの深刻なセキュリティぜい弱性です。OpenSSLは極めて広い範囲で使用されているオープンソースの暗号ライブラリで、インターネット上の3分の2ものWebサイトが採用していると言われます。こうしたサイトでは、SSLとTLSで暗号化された安全な接続を行うためにOpenSSLが利用されています。Heartbleedはエクスプロイトが非常に簡単で検知が極めて難しいぜい弱性と言われており、攻撃者に悪用されると、一般のインターネットユーザーに甚大な被害が及ぶ可能性もあります。このぜい弱性のエクスプロイトが成功した場合、秘密鍵や、ユーザー名とパスワードの組み合わせなど、さまざまな重要情報が漏えいする恐れがあり、非常に深刻なセキュリティ問題となっています。Heartbleedほどの注目度ではないものの、間違いなく重要なニュースがもう1つありました。2014年4月9日(日本時間)は、12年以上前のオペレーティングシステムWindows XPにMicrosoftが公式のセキュリティ修正をリリースする最後の日となりました。問題は、XPが今でも大きなシェアを占めるオペレーティングシステムだということです。かつて世界で最も使用されていたオペレーティングシステム、Windows XPの過去と未来についての記事で、これらすべてが意味することを詳細に説明しています。
#Heartbleed ぜい弱性を悪用する攻撃によって、一般のインターネットユーザーに甚大な被害が及ぶ可能性があります
Tweet
幕を下ろすWindows XP時代(2001-2014)
2001年10月25日、Microsoftは革新的な新OSを発売しました。Windows XPです。発売から3日のうちにWindows XPのボックス売り上げは300,000箱を超えました。それもそのはず、この新OSには魅力的な機能の数々が搭載されていました。GUIの刷新、CD書き込みソフトウェアの統合のほか、LCDディスプレイでの表示をなめらかにするClearTypeフォント、画像とFaxのビューアー、簡単なユーザー切り替え、などなど。同時に、革新的な変更も内包していました。Windows XPのコアテクノロジーは、Windows 95/98よりも安定感と安全性の高い、企業クラスのNTアーキテクチャに基づいたものだったのです。安定したコアテクノロジーと機能向上著しいインターフェイスを備えたこのOSは、その後10年にわたってMicrosoftのトップOSとなりました。Microsoftは、通常10年間であるOSサポート期間を、Windows XPに関しては12年に延長し、大きなService Packを3つリリースしてOSの改良と更新に努めました。しかし、どんな良いことにも終わりがあります。Windows XPは、日本時間2014年4月9日にその幕を下ろしました。延長サポートの終了によって、今後セキュリティ更新が行われなくなります。つまり、新たに発見されるぜい弱性が解決されることはありません。Windows XP 自体が使えなくなるわけではありませんが、セキュリティ上の問題があっても放置されてしまうということ、すなわちコンピューターがマルウェアに感染するリスクが高まることを意味します。しかし、Microsoftと違って、Kaspersky Labは今後もWindows XPベースのシステムのサポートを続けます。Windows XPに対応するカスペルスキー製品へのサポートは、少なくとも2016年1月末まで行い、ユーザーを最新の脅威から保護します。詳細はこちらにまとめてありますので、ご覧ください。