“We are what we pretend to be, so we must be careful about what we pretend to be.” ― Kurt Vonnegut
141 記事
数こそ多くないものの破壊的な影響をもたらすワイパー型マルウェア。インターネットの黎明期から存在していたこの種のマルウェアは、現代において深刻な脅威となる可能性もあります。
「モノのインターネット(IoT)」が広がりをみせていますが、インターネットに接続されたスマートデバイスがサイバー攻撃に悪用されるなど、セキュリティ上の懸念もあるようです。
StarbucksのiOS向けモバイルアプリに、個人情報の漏えいの恐れがあるバグが含まれていると報じられました。しかしStarbucksは、このぜい弱性をいち早く修正しています。
世界的な大手銀行が提供し、幅広く利用されているiOS向けバンキングアプリの多くに、データの盗難や口座の乗っ取りの恐れのあるバグが含まれています。具体的には、豊富な知識を持つ攻撃者なら、中間者攻撃によってユーザーのふるまいを監視し、セッションハイジャック攻撃でユーザーの口座を乗っ取りメモリ損壊の問題を発生させることで、システムクラッシュやデータ漏えいを引き起こすことが可能です。こうしたぜい弱性によって、ユーザー認証情報を盗まれ、オンラインバンキングの口座に不正にアクセスされる可能性があるのです。 セキュリティ企業IOActiveに所属するアルゼンチンの研究者、アリエル・サンチェス(Ariel Sanchez)氏は、世界の大手銀行60行の40のモバイルバンキングアプリを対象に一連のテストを実施しました。テストでは、各アプリのデータ転送メカニズム、ユーザーインターフェイス、ストレージプロセスのセキュリティ分析が行われたほか、コンパイラやバイナリといった複雑なものも分析されています。 サンチェス氏は、エクスプロイトの恐れがある一連のぜい弱性を発見しました。 「相応のスキルを持つ者なら、この情報を使ってバグを見つけ出すことができるでしょう。そのバグを調べてエクスプロイトやマルウェアを開発し、影響を受けるバンキングアプリのユーザーを攻撃できるかもしれません。これはセキュリティの潜在的な脅威の第一段階と言えます。」(サンチェス氏) このぜい弱性は、銀行の開発インフラストラクチャにアクセスし、アプリをマルウェアに感染させるために利用される恐れがあります。それによって、アプリのすべてのユーザーに影響するほどの大規模な感染が発生することも考えられます IOActiveは、これらのぜい弱性を各行に報告したとしています。サンチェス氏によれば、現時点ではどの銀行からも、このセキュリティ問題にパッチを適用したという報告はないそうです。 各アプリのバイナリコードの静的分析で発見された最も憂慮すべき問題は、ハードコードされた開発認証情報がバイナリに大量に埋め込まれていることだとサンチェス氏は言います。つまり、ぜい弱性を抱えたさまざまなバンキングアプリ(アプリ名は公表されていません)に、マスターキーだとわかるようなものが含まれているのです。これらのハードコードされた開発認証情報は、開発者がアプリの開発インフラストラクチャにアクセスするためのものですが、攻撃者にも同じレベルのアクセス権を与えてしまう恐れがあります。 「このぜい弱性は、銀行の開発インフラストラクチャにアクセスし、アプリをマルウェアに感染させるために利用される恐れがあります。それによって、アプリのすべてのユーザーに影響するほどの大規模な感染が発生することも考えられます。」(サンチェス氏) この問題の一端は、多くのアプリが暗号化されていないリンクをユーザーに送信していること、あるいは、情報を暗号化するときにSSL証明書を適切に検証できていないことです。このようなふるまい(サンチェス氏は、アプリを開発した人の単純な見落としが原因としています)のために、顧客が中間者攻撃のリスクにさらされ、フィッシング詐欺の一環として悪質なJavaScriptやHTMLコードを注入される恐れがあります。 サンチェス氏が発見したこれらの問題をさらに悪化させているのが、分析対象となった銀行の70%が2段階認証を導入していないことです。 同氏は次のように述べています。「必要なのは、アプリのバイナリと、コードを復号するためのツール、コードを逆アセンブルするツールだけです。こうしたアプリのコードの復号化と逆アセンブルの方法について説明する文書は、大量に公開されています。特に専門知識がない人でも、ある程度時間をかければ簡単に読み進めていくことができます。」 IOActiveは、良い面と悪い面の両方について責任があります(ただし、ほとんどは良い面です)。良い面は、該当する銀行名と具体的なぜい弱性を公表しなかったことです。ぜい弱性についての詳細な情報が公開されれば、ユーザーの口座を狙うために必要な情報が攻撃者の手に渡ることになるかもしれません。悪い面は、どの銀行とアプリがぜい弱性を抱えているのかわからないため、誰を、あるいは何を信じていいのかわからないことです。 もちろん、極めて注意深い人は、これらの問題が確認されて解決されるまで、モバイルバンキングアプリの使用を控えるはずです。しかし、多くの人はそうしないでしょう。したがって当面は、銀行から2段階認証が提供されている場合は必ず設定するようにしてください。他にも、バンキングアプリのリンクを辿る際に注意し、フィッシングメッセージを警戒して、銀行口座に目を光らせる必要があります。
ありのままをお伝えしますと、Kaspersky Labは今年、ラスベガスで開催のConsumer Electronic Show(CES)に人員を派遣しませんでした。よくご存じない方のために説明すると、CESとは基本的に、最新の素晴らしい技術革新と製品のすべてを紹介する年1回開催の展示会です。この報道機関と業界関係者限定のイベントにKaspersky Labは参加していませんが、その様子を本国から注視していました。 我々が読んだ記事によると(意外なことは何もありませんが)、「モノのインターネット」が広い範囲に拡大しつつあり、ウェアラブルデバイスなどのネット接続デバイスの新製品が続々と登場しています。こういった製品を購入して使用している人にとっては残念ですが、プライバシーやセキュリティの管理機能は、「箱から出してそのまま使える」状態にはなっていないようです。 CESではさまざまな電子機器が発表されています。冷蔵庫やオーブンなど、データを収集するスマート家電をはじめ、Bluetooth対応の料理用温度計、ワイヤレスのアラームシステムや照明コントロール、Skypeに接続するベビーモニター、さらには、自動車メーカーAudiが開発し、車内でWi-Fi対応ディスプレイとして使用されるAndroidタブレットなど、多岐にわたります。 今年のCESで登場した製品には何一つ驚きがありませんでした。IT業界で長きにわたって確立されたトレンドの進化が披露されただけで、その目的は、日常生活で使うあらゆるものをインターネットに接続してデータを収集することです。しかし一抹の懸念を抱かずにいられません – 2013年に私たちは、自動車も、人間も、その他の消費者向けデバイス(トイレ?)もハッキング可能だと学んだのです。Androidデバイスと同プラットフォームのぜい弱性を標的とするマルウェアの増加は言うまでもありません。 しかし一抹の懸念を抱かずにいられません – 2013年に私たちは、自動車も、人間も、その他の消費者向けデバイス(トイレ?)もハッキング可能だと学んだのです 政府による監視が次々と明らかになり、IT大手がそうした監視プログラムに対してこれ見よがしの反応を見せていることを考えると、IT企業が今までよりユーザーのプライバシーに立ち入った新製品をプッシュしていることにも、ちょっとした驚きを感じます。それに、米国家安全保障局(NSA)のスパイ行為の発覚によって世界中で抗議の声が上がっているというのに、消費者が列を作ってこうした製品を買うということにも同じような驚きがあります。 セキュリティ企業Fortinetの企業広報担当ディレクターであるクリス・マッキー(Chris McKie)氏は、最近のブログ記事で、「ビッグデータ」は「超大質量データ」になりつつあると指摘しました。 マッキー氏は続けて、犯罪者がデータを通貨として使う環境においては、大量のデータ収集に伴って巨大なリスクが生じると書いています。 「一部のぜい弱性は取るに足らないものかもしれません。確かに、『スマートトースター』をハッキングしたところで、トーストが燃えるくらいでしょう。しかし、別の脅威はどうでしょうか。たとえば、ネットに接続された自動車がハッキングされると、生命が脅かされる恐れがあります。問題は、こうした新しいスマートデバイスがハッキングされて脅威に晒されるかどうか、ということではありません。我々が業界として、こうしたすべての接続型デバイスに関するリスクをどうやって軽減していくのか、という問題なのです。」(マッキー氏) しかし、これに関して私たち消費者にできることはあるのでしょうか?新製品を一切買わず、インターネットの強力な影響が及ばない離れた場所に移り住むことはできます。でも、私は個人的にインターネットが好きですし、正直に言うと、CESではとてもクールな製品も発表されたと思っています(私の注目株はT-Mobileです)。そのため、下調べをするのが一番だと思います。セキュリティとプライバシーの強力な機能セットを提供する企業を高く評価し、これに関して選択肢のない企業の製品は利用しないようにしましょう。 また、これから冬、春、夏とさまざまなカンファレンスの開催が予定されており、Kaspersky Dailyではもちろん取り上げていきます。引き続きご注目ください。ハッカーも研究者も、新たに登場するデバイスのセキュリティを突破しようと、考えうる手段を総動員するであろうことは、疑う余地がありません。
米連邦航空局とEUの同様の機関が規制を緩め、飛行機が離陸してから着陸するまでの間、ずっとコンピューターとモバイルデバイスを利用できるようになりました。ただし、離着陸時の機内Wi-Fiの利用、テキストメッセージの送受信、通話、メールは引き続き禁止されています。 飛行中の機内Wi-Fiネットワークへの接続は以前から許可されていました。しかし、今回の規制緩和によって、こうしたネットワークに接続する人が現在より増えるはずです。そこで、飛行機でのWi-Fi利用がそもそもどの程度安全なのかという疑問が浮かんできます。 私がインターネットセキュリティについて最初に学んだことの1つは、空港のワイヤレスネットワークには絶対に接続してはいけないということです。今では、セキュリティに関心の薄いインターネットユーザーでさえ、空港のWi-Fiが危ないということを理解しているように思えます。空港のWi-Fiがそれほど危険なのだとしたら、機内のWi-Fiがそれより安全なはずはありません。 機内Wi-Fiに接続するだけで、近くに座っている悪意のある乗客に通信内容を読み取られる恐れがあります 機内Wi-Fiの危険性について、Kaspersky Labのシニアセキュリティリサーチャー、コート・バウムガートナー(Kurt Baumgartner)の考えを聞きました。 バウムガートナーは次のように述べています。 Wi-Fi自体にさまざまなセキュリティの問題があります。Wi-Fiアクセスポイントおよび接続デバイスを攻撃する手法は数多くあり、機内Wi-Fiに接続するだけで、近くに座っている悪意のある乗客に通信内容を読み取られる恐れがあります。 また、デバイスにぜい弱性がみつかるのは避けられないことですが、航空会社はWi-Fi機器を即座にアップグレードできるわけではありません。そのため、機内のソフトウェアやデバイスがぜい弱性を抱えたまま長期間使用される場合もあります。航空会社にとって、飛行機のソフトウェアとハードウェアのアップグレードが必要になったときに、フライトの合間にすばやく対応するのは簡単なことではないのです。 一部の航空会社のUSBポートと同様に、こうしたネットワークはリソースを適切に分けられるように設計されていない場合もあり、エンターテインメントシステムや、乗務員のアナウンスなどが混乱することがあります。 フライト中に電子機器を使用してはいけないという規則が、少なくとも多少はばかげていて、迷惑で、不便だということには誰もが同意するでしょう。しかし、一般的にいって、Wi-FiやBluetoothを利用した攻撃は、攻撃者が標的の近くにいるとはるかに実行しやすくなります。 さらに懸念すべきことかもしれませんが、世の中には頭のいい人がたくさんいます。このブログで紹介する研究者や、同様のサイトで毎日取り上げられている人々のことです。Black Hatなど著名なセキュリティカンファレンスの参加者もそうです。こうした人々は自動車をハッキングすることも、体内植え込み式医療機器をハッキングすることもできます。私は民間航空機のハッキングについてのレポートを少なくとも1本書きました。 こうした攻撃が仕掛けられるのは離れたところからですが、ほんのちょっとの距離です。なんとなくざっくり見積もって、ファーストクラスのキャビンからコックピットまでという程度でしょう(空を飛ぶだけでは怖さが足りないとでもいうのでしょうか)。しかし、まじめな話、機内Wi-Fiの利用は何年も前から許可されています。一番賢いやり方は、マルウェア感染やさまざまな攻撃を防ぐための対策に集中することかもしれません。飛行機での電子機器の利用が増えるにつれて、こうした攻撃に直面する可能性が高くなるからです。
Webサービスの安全とプライバシーを守る暗号化。電子フロンティア財団(EFF)は、IT大手を対象に暗号化がどの程度導入されているかを調べたレポートを発表しました。
Web上でマルウェアに感染するのは、いかがわしいサイトや、「職場閲覧注意」の記事ばかり掲載しているサイトを見たから――これは非常によくある誤解です。コンピューターがマルウェアに感染したことを友達に話すと、誰か1人くらいは必ず、このようなサイトやポルトサイトを長時間見ていたのだろうと冗談を言います。 しかし実際には、アダルトサイトにアクセスしたからマルウェアに感染するという時代は終わったと言っていいでしょう。他のWebサイトと違って、アダルトサイトは有料である場合がほとんどです。したがって、サイト運営者はマルウェアの感染を何としても防がなければなりません。それに、マルウェアに関しては明らかに評判が悪いので、汚名を返上しようとセキュリティに力を入れ過ぎているサイトもあるかもしれません。 私の経験上、マルウェアに感染したWebサイトの大半は、誰も感染するとは思わないようなサイトです どんなマルウェア感染も、「トローリング」と「スピアフィッシング」という2つの戦略を基本としています。トローリングをたとえて言うなら、できるだけ大きな網を張って、できるだけ多くの魚を捕まえようとすることです。これがボットネットの運営者や、銀行を狙う(バンキング型)トロイの木馬の開発者が採用する戦略です。スピアフィッシングは、特定の魚を選んでその生息地へ行き、その魚が好きそうな餌を釣り針にしかけて捕まえるというもの。これと同じように、攻撃者は人気サイトのぜい弱性を発見してマルウェアに感染させ、できるだけ多くの感染を引き起こそうとします。あるいは、標的にしたいユーザーが訪れそうなサイトのぜい弱性を見つけるというやり方もあります。この2番目の手口はWater-Holing(水飲み場型攻撃)と呼ばれています。攻撃名の由来は大自然の現実。水辺に身を潜め、水を飲みに来る獲物を待ち伏せる肉食動物になぞらえています。こうした肉食動物は、獲物が頭を下げて水を飲み始めるまでじっと待ち、それから襲いかかるのです。同様に、サイバー犯罪者は標的がどのサイトに訪問するかを予測し、そのサイトのぜい弱性を探します。 広範囲を狙うタイプの攻撃が起きた最近の例としては、人気のユーモアサイトcracked.comのマルウェア感染があります。Barracuda Labsの研究者は、この攻撃によって極めて多くの感染が発生した可能性があると懸念しており、その理由の1つに、Web情報企業Alexaが同サイトを米国で289位、世界で654位にランクしていることを挙げています。また、SpiderLabsの調査によれば、Web開発者リソースサイトPHP.netも最近感染し、ごく一部のロシアの銀行サイト(リンク先の記事はかなり難解なロシア語です)も感染したそうです。 さらに洗練された攻撃、つまり標的を絞ったタイプの攻撃の例として最適なのは、今年相次いで発生した米労働省への水飲み場型攻撃でしょう。この攻撃は、米政府の機密ネットワークにアクセスできる職員を狙ったものと見られています。より最近では、米国内外の政策指針を掲載する匿名の米国NGOのWebサイトに水飲み場型攻撃があったことを、セキュリティ企業FireEyeの研究者が報告しています。 要するに、労働省のWebサイトがマルウェアをホストしているとは誰も考えていません。しかし、訪問者が警戒を緩める感染しそうにないサイトに感染するということこそが、重要な点なのです。 完ぺきなセキュリティというものは存在しません。マルウェアがどこに潜んでいるかは決してわからないでしょう。攻撃者は、利用できるぜい弱性を抱えたサイトを自動ツールによって発見します。したがって、ユーザーの安全はWebサイトの管理者が更新をインストールすることにかかっていますが、その更新を開発する各ソフトウェアベンダー次第であるとも言えます。管理者が一般のインターネットユーザーと大して変わらないような人なら、ちゃんとパッチを適用してくれないでしょう。確かにベンダーは以前よりもずっと適切にパッチを開発するようになりましたが、この分野では今でも驚くほど多くの企業が、パッチのスケジュールを管理していないのです。 以上を総合すると、マルウェアを含んだWebサイトへの対策として最も簡単なのは、アンチウイルスプログラムを実行すること、ブラウザーの警告に注意を払うこと、セキュリティ関連のニュースを読むことです。これらの対策は、ネットサーフィンをしているのがPCでも、Macでも、タブレットでも、スマートフォンでも有効です。
メールに悪意のあるファイルを添付するという手口は何年も前から使われており、セキュリティ企業もメールプロバイダーも対策を打ち出していますが、いまだに被害が出ているのはなぜなのでしょうか。