先週の注目ニュース:OpenSSL対策基金、AppleのSSLぜい弱性の修正など

2014年5月2日

先週のニュースでは、OpenSSLと、有名になったHeartbleedバグの話題が引き続き取り上げられました。また、AppleがモバイルオペレーティングシステムのiOSとコンピューター向けのOS Xの両方で、同社固有の暗号化の問題を修正するパッチをリリースし、AOLとその顧客が深刻なセキュリティインシデントに見舞われ、アイオワ州立大学がハッキングを受けてコンピューターリソースをBitcoinのマイニングに利用されました。

week

今なお続くHeartbleed問題

先週も(これまでと同様に)、OpenSSLのHeartbleedバグの影響範囲と重大性の度合いについて、非常に多くの議論がありました。話題の中心は、インターネットにおける信頼の根幹をなすデジタル証明書システムの長期的な展望、そして暗号化の利点と隠れた危険です。

しかし先週は、今までとは少し違う動きもありました。業界各社は初めて、こうしたバグの再発防止策を本格的に探し始めたようです。

米国で初めて確認されたSMS Androidトロイの木馬、OpenSSL Heartbleedの続報、AppleのiOSとOS XでのSSLぜい弱性の修正、AOLへのハッキング、アイオワ州立大学を利用したBitcoinマイニング

新たに発足したCore Infrastructure Initiativeという共同プロジェクトでは、各社が資金を出し合って数百万ドル規模の基金を創設し、Webの安全に欠かせないオープンソースプロジェクトだけを対象に資金を提供します。資金提供が検討される最初のプロジェクトがOpenSSLで、Linux Foundation、Microsoft、Facebook、Amazon、Dell、Googleといった大手IT企業・団体が支援を予定しています。これを受けて、Mozilla Corporationも特別なバグ懸賞金プログラムを発表しました。同社は今夏、Firefoxブラウザーのバージョン31に新しい証明書検証ライブラリを追加する予定で、このライブラリのセキュリティぜい弱性を発見した人に10,000ドルが支払われます。

AppleがiOSとOS XのSSLぜい弱性を修正

Heartbleedと似ていますが、まったく別のぜい弱性です。AppleはiOSとOS Xの多くのバージョンに存在する深刻なセキュリティぜい弱性に対する修正をリリースしました。攻撃者にこのぜい弱性を悪用されると、暗号化されているはずのSSL接続からデータを傍受されてしまう恐れがあります。つまり、個人的なメッセージであれ、機密情報であれ、通信の内容を読み取られる可能性があるのです。

カリフォルニア州クパチーノに本拠を置くコンピューター企業Appleは4月22日、2つの主要オペレーティングシステムにおいて、これ以外にも多くのバグを修正しました。こうした暗号に関するぜい弱性は、それほど深刻なものではないかもしれませんが、重大な結果を引き起こす可能性もあります。したがって、Mac製品を使って仕事をしている(あるいは遊んでいる)人は、折に触れてApp Storeをチェックし、できるだけ早くAppleのオペレーティングシステムの更新をインストールしましょう。

久しぶりに注目を浴びたAOL

このところAOLがメールプロバイダー市場でどれくらいのシェアを占めているかはよくわかりませんが(調べてはみたのですが)、先週AOL Mailのユーザーアカウントが「なりすまし」の被害に遭いました。影響を受けたアカウントの数はわかっていません。アカウントに侵入した攻撃者、あるいはボットネットは、そのアカウントに登録されている連絡先にスパムを送信し始めました。AOLは、ハッキングがあったことは認めていますが(ただし「ハッキング」という言葉は使っていません)、影響を受けたユーザーアカウントの数や、送信されたスパムメッセージの数は明らかにされていません。AOLは奇妙な主張をしています。メールアカウントが侵入を受けたとは考えにくいものの、アカウントのなりすましが行われた可能性は非常に高いというのです。

AOLが指摘するように、なりすまし攻撃とは基本的に、本来のユーザーから届いたメールのように見せかけて、実際はスパマーのメールアカウントから送信され、スパマーのサーバーを経由して送られてくるスパムメールのことです。つまりAOLは、アカウントへの大規模なハッキングはなく、攻撃者が被害ユーザーのアカウントを装っただけだと言っているのです。もちろん、同社の説明には、攻撃者がどうやって被害者の連絡先リストを入手したのかという部分が抜け落ちています。したがって、この件には今後さらなる動きがありそうです。

SMSトロイの木馬が米国で確認される

プレミアムSMS型トロイの木馬は新しいものではありません。この詐欺の手口は次のようなものです:標的のモバイルデバイスにトロイの木馬をダウンロードさせる。そのトロイの木馬が、感染したデバイスでSMS(テキスト)メッセージを送信できるようになる。その後トロイの木馬によってプレミアムサービスにSMSメッセージが送信される。そのサービスを管理しているのは攻撃者か、攻撃者にお金を払う人物。こうしたメッセージを送信する料金は、感染したデバイスのユーザーに請求される。

先ほども書いたように、このような手口は昔からあります。しかし、不思議なことに、SMSトロイの木馬はこれまで一度も米国で確認されたことがなく、その理由は謎に包まれたままです。先週、この状況が変わりました。Securelistのエキスパートによって、こうした詐欺を行うAndroidトロイの木馬が米国で発見されたのです。

このFakeInstというマルウェアは、米国のAndroidユーザーを狙う初のSMSトロイの木馬という地位に満足できないと言わんばかりに、さらに65か国のAndroidユーザーを標的にしています。FakeInstは、ドイツ、フランス、フィンランド、香港、ウクライナ、英国、スイス、アルゼンチン、スペイン、ポーランド、カナダ、中国など、多くの国のユーザーを攻撃していることがわかっています。(日本の場合、プレミアムSMSはほとんど普及していません)

アイオワ州立大学へのハッキングは・・・Bitcoinが目的?

そのとおりです。米国の著名な州立大学がハッキングされ、大学のコンピューターの処理能力がBitcoinの生成に利用されました。Bitcoinは、この1年ほどで浮き沈みがあったデジタルの仮想通貨です。強力なコンピューターがあれば、その処理能力を使ってアルゴリズムの問題を解決し、新しいBitcoinを生成することができます。これはBitcoinの「マイニング」と呼ばれるプロセスで、多額の利益を得られます。すべてのサイバー犯罪がそうであるように、犯罪者の狙いはお金です。悪質なBitcoinマイニングは決して新しい手口ではありませんが、著名な高等教育機関のコンピューター処理能力が狙われたという点で、珍しい事件と言えます。しかし、被害はそれだけにとどまりませんでした。今回の侵入によって、アイオワ州立大学の卒業生30,000人分の社会保障番号が流出したとみられています。