1か月の人気記事まとめ:5月

OpenIDとOAuthのぜい弱性、Androidを狙うランサムウェアなど、5月もサイバーセキュリティの話題には事欠きません。見逃してしまったニュースは、このまとめ記事で読んでおきましょう。

monthly_ja

5月にはたくさんのニュース記事をお届けしました。スマートホームのぜい弱性からAndroidを狙う新種のランサムウェアまで、セキュリティに関する最新の話題とヒントを紹介しています。5月の人気記事をまとめました。サイバーセキュリティの動向を漏らさず把握しておきましょう。

多数のスマートホームにハッキングの恐れ

スマートホームとは皆さんがお考えになっているとおりのものです。コンピューター、スマートフォン、タブレットなど、比較的以前からあるネット接続型デバイスとともに、電化製品、冷暖房設備、照明、煙探知機、ドアロックなどがすべてホームネットワークに、さらにはインターネットに接続される家です。魅力的な未来の家に思えるかもしれませんが、リサーチャーはこのところ、スマートセキュリティシステムのぜい弱性を探し続けています。実際に、AV-Test.orgのリサーチャーが7種類のスマートホームキットのセキュリティ機能をテストし、そのうち4種が安全でないことが判明しました。今回の研究でぜい弱性が指摘されたシステムは、内部からの攻撃、場合よっては外部からの攻撃にさらされる恐れがあり、ホームネットワークやそこに接続されている機器、または家自体や家の中のものが標的になる可能性があります。AV-Testが、デバイス間での通信が暗号化されているかどうかを重点的にテストしたところ、3つの製品に暗号化がまったく使用されていないことがわかりました。大まかに言うと、攻撃者は接続されたシステムを操作して損傷させる可能性がありますが、ほとんどのハッカー犯罪者はお金で動きます。そのため、発生する可能性が一番高い攻撃は、こうしたシステムのぜい弱性を侵入口として利用し、ホームネットワーク内に保存された価値あるデータを手に入れようとする攻撃です。明るい話題も紹介しましょう。AV-Testは、こうした製品のメーカーが市場投入を急がず、時間をかけて確固としたセキュリティコンセプトを開発すれば、安全なスマートホームシステムを構築できる可能性は十分にあるとしています。またAV-Testは、こうしたシステムの購入を検討している人に、見るべき点をアドバイスしており、必ず認証を要求し、通信が常に暗号化されるシステムを選ぶように提案しています。

CryptoLockerのAndroid版が登場?

Androidユーザーを狙う新種のランサムウェアが見つかりました。このランサムウェアは、「CryptoLocker」と、何らかの関係があると見られます。CryptoLockerは、感染先コンピューター内の重要なファイルを暗号化し、暗号解除と引き替えに金銭を要求するマルウェアです。今回のケースでは、さまざまなタイプのランサムウェアに関わる犯罪者集団「Reveton」が宣伝する、Androidデバイスへの感染機能を持つCryptoLocker風のマルウェアが関わっているようです。この新種を発見したのは、「Kafeine」のハンドル名で活動する著名なセキュリティリサーチャーで、自身のブログ(Malware don’t need Coffee)でこれを解説しています。ブログによると、シナリオはこうです。この種のマルウェアが感染しているドメインへAndroidデバイスを使ってアクセスすると、ポルノサイトへリダイレクトされる。このポルノサイトでは、ちょっとしたソーシャルエンジニアリングによって、マルウェア入りの.apkファイルをダウンロードさせてしまう。とはいえ、このマルウェアに感染するには、自分自身でマルウェアをインストールする必要があります。そこで、アプリのインストールは正規のGoogle Playから行うように、改めてお勧めしたいと思います。このランサムウェアが、デスクトップを標的とする悪名高いCryptoLockerとどの程度関わりがあるのか、不明です。しかし、CryptoLockerの成功をマーケティング的に利用しようとの意図は、明確です。サイバー犯罪者が自らの利益拡大のために正規のビジネス手法を模倣する構図は興味深いものですが、これについてはまた別の機会に触れるとしましょう。

OpenIDとOAuthにぜい弱性 – 慌てることなかれ

Heartbleedバグの発見からわずか数週間後、私たちはまたしても大規模な影響が見込まれる問題に直面することになりました。問題は、一般的に使われているインターネットプロトコルであるOpenIDおよびOAuthの内部に見つかりました。OpenIDは、GoogleやFacebookやLinkedInなどのログイン情報を使ってWebサービスにログインするのに使われます。OAuthは、FacebookやGoogle+などでアプリやサービスを認証するのに使われます。この問題の技術的な説明はThreatpostにて紹介されていますが、ここでは攻撃の基本的な仕組みを見ていきましょう。まず、よくある[Facebookでログイン]などのボタンが置いてあるフィッシングサイトにユーザーがアクセスすることが前提となります。ボタンをクリックすると、実際のFacebook/Google+/LinkedInのポップアップウィンドウが開き、「ユーザーのプロフィールにアクセスすることを許可する」名目でログインIDとパスワードを入力するように求められます。入力したログインIDとパスワードは、不正なリダイレクトによって不正なWebサイト(フィッシングサイト)へと送られます。サイバー犯罪者はこうして、そのユーザーのプロフィールへアクセスするための認証情報(OAuthトークン)を手に入れます。とにかく危険を避けたいという人に一番のお勧めは、OpenIDを使うのを止め、[xxでログイン]ボタンをしばらく(数ヶ月)は使わないことです。膨大なパスワードを覚える手間は、パスワードマネージャー(パスワード管理ツール)を使うことで避けられます。とはいえ、OpenID認証を使い続けたい人もあるでしょう。使うことで直ちに危険にさらされるわけではありません。ただし、利用の際には大いに慎重になり、フィッシング詐欺にひっかからないようにしましょう。FacebookやGoogleなどを使ってサービスへログインするときには、メールやメッセンジャーで受信したリンクをクリックするのではなく、URLを手入力するか、あらかじめ設定しておいたブックマークからアクセスするようにしてください。また、あやしいWebサイトへうっかりログインしてしまわないように、アドレスバーの表示が正しいかどうか再確認しましょう。新しいサービスにOpenIDでサインインするときは、そのサービスが本当に信頼できるものであること、そのサービスの正しいWebサイトにアクセスしていること、を完全に把握してからにしてください。なお、カスペルスキーマルチプラットフォームセキュリティのような製品には、フィッシングサイトなどの怪しいWebサイトにアクセスするのを回避するための機能が備わっています。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?