EFFのレポート:暗号化導入が進んでいる企業、そうでない企業

Webサービスの安全とプライバシーを守る暗号化。電子フロンティア財団(EFF)は、IT大手を対象に暗号化がどの程度導入されているかを調べたレポートを発表しました。

EFF:サービスの暗号化

強力に暗号化された通信は、安全でプライバシーが確保された通信です(ただし、暗号化が施された通信ソフトウェアやプロトコルに不正がないことが前提です)。したがって、強力な暗号化を採用している企業は、顧客のプライバシーとセキュリティに配慮している企業だと言えます。

電子フロンティア財団(EFF)は常に、ユーザーのデータを慎重に扱うIT企業や通信企業を広く一般に伝えようとしています。一方で、ユーザーデータの保管方法がお粗末な企業については、容赦なく社名を公表して批判します。

EFFがこのほど公開したレポート「Encrypt the Web」では、まさにこの通りのことが行われました。EFFは、検索大手Google、インターネットサービスプロバイダーSonicNet、クラウドストレージプロバイダーのDropboxとSpiderOakといった企業を、顧客のデータを強力で全面的な暗号化で保護しているとして高く評価しています。EFFのレポートで特に高い評価を受けたこの4社は、データセンターリンクの暗号化、HTTPS、HSTS、Forward Secrecy、STARTTLSのサポートという5つのカテゴリすべてで基準を満たし、チェックマークを獲得しました。各カテゴリについて簡単に説明すると、まずデータセンターリンクの暗号化とは、Googleが自社のデータセンター間で送受信するデータ(過去に攻撃を受けたことが知られる弱点)を暗号化しているということです。次にHTTPS(Hypertext Transfer Protocol Secure)は、実装することでユーザーと特定のWebサイトの通信が必ず暗号化されたチャネルを通るようになります。HSTS(HTTP Strict Transport Security)は、ユーザーとの通信が常時HTTPSで行われるWebサーバーセキュリティポリシーです。Forward Secrecy(Perfect Forward Secrecyともいう)は暗号化の仕組みであり、1つの鍵を盗まれたとしても通信がそれ以上解読されないという理想の状態でもあります。STARTTLSはメールの拡張機能のようなもの。平文のメール通信を暗号化された通信に切り替えて、どんなメールクライアントを使用していてもメールが暗号化されるようにします。

「誰かに正しいことをやらせたいなら、仲間からちょっとプレッシャーをかけてやるのが一番」

少し話が逸れてしまいましたが、先ほど書いたように、Google、SonicNet、Dropbox、SpiderOakが今回のレポートでトップに立ちました。Facebookは特別賞といったところでしょうか。対象のすべての暗号化機能を実装中であるため、条件付きで5つすべてのチェックを獲得しています。Twitterも評価が高く、STARTTLSを除く全カテゴリでチェックマークを獲得しました。

LinkedIn、Foursquare、Tumblrはチェックが3つで、ちょうど中間の評価でした。Yahoo!のチェックは1つでしたが、導入を計画しているポリシーがあり、条件付きでもう1つチェックを獲得しています。AppleはiCloudでHTTPSをサポートしているためチェック1つ。Microsoft、MySpace、WordPressも同じくチェック1つでした。

EFFによると、暗号化に力を入れていない企業は、Amazon、AT&T、Comcast、Verizonです。この4社はいずれもチェックがゼロでした。

EFFは今年、「Who’s Got Your Back?」というレポートも発表しています。さほど意外ではないと思いますが、その結果は今回のEncrypt the Webレポートと同様でした。Who’s Got Your Backは、IT企業や通信企業が、政府のデータ開示要求に簡単に応じているか、それともユーザーのプライバシーの権利を守っているかを調べたレポートです。どちらのレポートでも、Twitter、Google、SonicNet、SpiderOakの取り組みが支持され、Apple、Yahoo!、Verizon、AT&T、Comcast、Amazonが厳しい評価を受けています。

もちろん、この2つのレポートは公開時期が離れているため、その間に多くの変化がありました。政府が支援する諜報活動についてさらなる事実が判明したのです。2つのレポートに相関関係があるとすれば(私はあると思います)、それは政府や悪意のあるスパイ行為からのプライバシー保護を強化しようという動きが一部のIT企業に見られるということです。

EFFの上席弁護士クルト・オプサール(Kurt Opsahl)氏は次のように述べています。「このレポートが企業にとっての励みになればと思います。他社が高い評価を得ているのを見れば、自分たちも暗号化を強化しようという気になるかもしれません。」

EFFは今回のレポート作成にあたって各社に調査票を送りました。回答がなかった企業もあるため、企業のWebサイトやニュースレポートなどの情報源も評価の材料とされています。各社は、HTTPS、HSTS、Forward Secrecy、STARTTLSをサポートしているか、データセンターリンクを暗号化しているかについて質問を受けました。

では、今回のレポートはユーザーにとってどんな意味があるのでしょうか?私は、どのサービスを利用すべきか、利用すべきでないかといった推奨はしません。誰しも(EFFの人も)暗号化にあまり力をいれていないサービスを利用していると思うからです。ここで重要なのは、Threatpostのマイケル・ミモソ(Michael Mimoso)が書いたように、「誰かに正しいことをやらせたいなら、仲間からちょっとプレッシャーをかけてやるのが一番」ということです。

Web感染型マルウェア

そんなところに?正規サイトに潜むWeb感染型マルウェア

Web上でマルウェアに感染するのは、いかがわしいサイトや、「職場閲覧注意」の記事ばかり掲載しているサイトを見たから――これは非常によくある誤解です。コンピューターがマルウェアに感染したことを友達に話すと、誰か1人くらいは必ず、このようなサイトやポルトサイトを長時間見ていたのだろうと冗談を言います。 しかし実際には、アダルトサイトにアクセスしたからマルウェアに感染するという時代は終わったと言っていいでしょう。他のWebサイトと違って、アダルトサイトは有料である場合がほとんどです。したがって、サイト運営者はマルウェアの感染を何としても防がなければなりません。それに、マルウェアに関しては明らかに評判が悪いので、汚名を返上しようとセキュリティに力を入れ過ぎているサイトもあるかもしれません。 私の経験上、マルウェアに感染したWebサイトの大半は、誰も感染するとは思わないようなサイトです どんなマルウェア感染も、「トローリング」と「スピアフィッシング」という2つの戦略を基本としています。トローリングをたとえて言うなら、できるだけ大きな網を張って、できるだけ多くの魚を捕まえようとすることです。これがボットネットの運営者や、銀行を狙う(バンキング型)トロイの木馬の開発者が採用する戦略です。スピアフィッシングは、特定の魚を選んでその生息地へ行き、その魚が好きそうな餌を釣り針にしかけて捕まえるというもの。これと同じように、攻撃者は人気サイトのぜい弱性を発見してマルウェアに感染させ、できるだけ多くの感染を引き起こそうとします。あるいは、標的にしたいユーザーが訪れそうなサイトのぜい弱性を見つけるというやり方もあります。この2番目の手口はWater-Holing(水飲み場型攻撃)と呼ばれています。攻撃名の由来は大自然の現実。水辺に身を潜め、水を飲みに来る獲物を待ち伏せる肉食動物になぞらえています。こうした肉食動物は、獲物が頭を下げて水を飲み始めるまでじっと待ち、それから襲いかかるのです。同様に、サイバー犯罪者は標的がどのサイトに訪問するかを予測し、そのサイトのぜい弱性を探します。 広範囲を狙うタイプの攻撃が起きた最近の例としては、人気のユーモアサイトcracked.comのマルウェア感染があります。Barracuda Labsの研究者は、この攻撃によって極めて多くの感染が発生した可能性があると懸念しており、その理由の1つに、Web情報企業Alexaが同サイトを米国で289位、世界で654位にランクしていることを挙げています。また、SpiderLabsの調査によれば、Web開発者リソースサイトPHP.netも最近感染し、ごく一部のロシアの銀行サイト(リンク先の記事はかなり難解なロシア語です)も感染したそうです。 さらに洗練された攻撃、つまり標的を絞ったタイプの攻撃の例として最適なのは、今年相次いで発生した米労働省への水飲み場型攻撃でしょう。この攻撃は、米政府の機密ネットワークにアクセスできる職員を狙ったものと見られています。より最近では、米国内外の政策指針を掲載する匿名の米国NGOのWebサイトに水飲み場型攻撃があったことを、セキュリティ企業FireEyeの研究者が報告しています。 要するに、労働省のWebサイトがマルウェアをホストしているとは誰も考えていません。しかし、訪問者が警戒を緩める感染しそうにないサイトに感染するということこそが、重要な点なのです。 完ぺきなセキュリティというものは存在しません。マルウェアがどこに潜んでいるかは決してわからないでしょう。攻撃者は、利用できるぜい弱性を抱えたサイトを自動ツールによって発見します。したがって、ユーザーの安全はWebサイトの管理者が更新をインストールすることにかかっていますが、その更新を開発する各ソフトウェアベンダー次第であるとも言えます。管理者が一般のインターネットユーザーと大して変わらないような人なら、ちゃんとパッチを適用してくれないでしょう。確かにベンダーは以前よりもずっと適切にパッチを開発するようになりましたが、この分野では今でも驚くほど多くの企業が、パッチのスケジュールを管理していないのです。 以上を総合すると、マルウェアを含んだWebサイトへの対策として最も簡単なのは、アンチウイルスプログラムを実行すること、ブラウザーの警告に注意を払うこと、セキュリティ関連のニュースを読むことです。これらの対策は、ネットサーフィンをしているのがPCでも、Macでも、タブレットでも、スマートフォンでも有効です。

Web感染型マルウェア
ヒント
新着記事をメールでお知らせします