セキュリティのプロが集うSecurity Analysts Summit:初日

Kaspersky LabのカンファレンスSecurity Analysts Summitにはセキュリティ専門家や警察関係者などが多数参加しました。初日のセッションやパネルディスカッションの様子をお伝えします。

SAS2

プンタ・カーナ発 – ドミニカ共和国のリゾート地、プンタ・カーナでKaspersky Labの一大イベントSecurity Analysts Summitが開催され、セキュリティのプロ、警察関係者、報道陣が一堂に会しました。セキュリティに関するさまざまなセッションが3つのトラックに分けて実施され、参加者は日中、関心のあるセッションを選んで参加しました。夜には、お酒と食事を大いに楽しめるビーチパーティ(洞窟でのパーティも)が開催されました。

雲ひとつない南の島での滞在は素晴らしいものでしたが、カンファレンス自体の内容はそれ以上でした。Kaspersky LabのGlobal Research and Analysis Team(GReAT)は、「Careto」という新たなAPT(Advanced Persistent Threat)攻撃の詳細を発表(英語版PDF)しました。Caretoはスペイン語ですが、その意味の解釈については意見がわかれています。スペイン語話者の中には、「careto」は言葉ではないと言う人もいれば、「醜い顔」「マスク」という意味の言葉だと主張する人もいます。そのため、「The Mask」という通称が使われています(この名称をすでに目にした方もあることでしょう)。マドリードでは「顔」を意味する軽蔑的な隠語だ、と教えてくれた人が少なくとも1人いました。

それはさておき、GReATディレクターのコスティン・ライウ(Costin Raiu)は、APT攻撃「The Mask」に関する興味深いプレゼンテーションを行いました。The Maskほど高度なAPT攻撃をかつて見たことがない、とライウは述べています。この数年で彼とGReATのメンバーが膨大な数のAPT攻撃を発見してきたことを考えると、彼の言葉の持つ重みが実感されます。

ライウが2月10日に紹介したこの攻撃は、主に2つの理由で他とは異なります。1つは、使用されたマルウェアとエクスプロイトが、スペイン語話者によって開発されたとみられること。もう1つは、APTや国家が支援するハッキングの温床である中国とは関係がなさそうだということです。The Maskは、スペイン語話圏である30以上の国で、政府機関や電力会社を標的としてきました。標的となり得るのはWindowsとMacですが、The Maskを制御するC&Cサーバー(現在はKaspersky Labのリサーチャーが制御下に置いています)に入ってきたトラフィックから考えると、Linux、iOS、AndroidといったOSを攻撃可能なモジュールも存在する可能性があります。

The Maskは、スペイン語話圏である30以上の国で、政府機関や電力会社を標的としてきました

攻撃に関わった人々は、弊社が2月初めにプレスリリースを公開してからほんの数時間のうちに、すべてをシャットダウンしています。しかし、攻撃者がその気になれば簡単に攻撃を再開可能だ、とライウは警告しました。

Security Analysts Summitカンファレンスは、講演者にもそうそうたるメンバーが揃っています。その1人、Microsoftのセキュリティストラテジストを務めるケイティ・ムソリス(Katie Moussouris)氏は、ぜい弱性を売買する悪名高いマーケットプレイスに、ほぼ独力で打撃を与えました。Microsoftのバグ懸賞金プログラムで、対象範囲を拡大し、バグを発見したリサーチャーに支払う金額を大幅に増やしたのです。

米国自由人権協会のクリス・ソゴイアン(Chris Soghoian)氏は、米国家安全保障局(NSA)の元契約社員エドワード・スノーデン(Edward Snowden)氏による暴露の反響とその後の影響について語った基調講演で、お馴染みの厳しい批判を展開しました。ソゴイアン氏は、スノーデン氏を強く支持し、政府による監視に反対していましたが、聴衆の大半は逆の意見に注目しているようでした。

Wells Fargoのスティーブ・アデグバイト(Steve Adegbite)氏は、もっと穏やかな調子で、リスク管理の重要性を強調しました。アデグバイト氏は、確かなリスク評価計画が組織のセキュリティ対策において最も重要な要素になり得ると主張します。「策定したリスクモデルが常に機能するということは絶対にありません」と語る同氏は、リスクモデルは失敗することを前提に計画するべきだとの論を展開しています。

ここから、Kaspersky Labのヴィタリー・カムリュク(Vitaly Kamluk)とセルゲイ・ベローフ(Sergey Belov)が、Cubica Labsのアニバル・サッコ(Anibal Sacco)氏とともに、標的のコンピューターからすべてのデータを遠隔操作で消去するという壊滅的な被害をもたらし得る攻撃をデモしました。ベローフは、このエクスプロイトを可能にするぜい弱性を、彼の妻のコンピューターに入っている謎のソフトウェアの中に発見しました。それも、PCの起動に深く関わるBIOSという基盤システムの中にあったのです。Computraceと呼ばれるこのプログラムは、マルウェアのような疑わしいふるまいを見せます。新しいプロセスを挿入する、アンチデバッグや難読化を使って解析されにくくする、削除されても復活する、などのふるまいです。奇妙なことに、Computraceは正規のプログラムです。本来の用途は紛失したコンピューターを追跡することであり、カムリュクの言葉を借りれば、有用な機能に見えます。しかし、ベローフも妻もこのプログラムを有効にしていませんでした。つまり、世界中の何億台ものコンピューターで、持ち主が知らないうちに、このプログラムが有効になる可能性があるということです。当然ながら、相当な数の人々が攻撃を受けやすい状態になるわけで、攻撃者がこうした人々のインターネット接続をうまいことハッキングできれば、これらコンピューターのデータが遠隔操作ですべて消されてしまうかもしれません。近頃の攻撃者はデータの遠隔消去にそこまでの興味は示していないものの、Absolute Computraceのぜい弱性を使えば別の形の遠隔操作を実行できる可能性があります。

セキュリティ業界のレジェンドである暗号のエキスパート、ブルース・シュナイアー(Bruce Schneier)氏は、元英国安全保障・対テロ担当大臣パウリーン・ネヴィル・ジョーンズ(Pauline Neville-Jones)氏と壇上で対談しました。このインターネット時代、セキュリティを重視する政府による監視活動は国民の自由を侵害することなく存在し得るか、というテーマについて両氏は活発な議論を交わしました。これまでも無差別な監視を糾弾し、テロの恐怖を利用する政策を批判してきたシュナイアー氏は、警察機関による犯罪捜査に的を絞った限定的な監視はよしとする多くの人の考えに賛成しています。しかし同氏は、無差別な監視は受け入れがたく、誰にとってもよくないことだと主張しました。同氏はさらに、テロ(歯止めのきかないスパイ行為を正当化するのに利用されることが少なくない概念)はリスクを「四捨五入」することによる誤差だと述べます。これに対しネヴィル・ジョーンズ氏は、人の命が危険にさらされる場合は誤差ではすまないと述べました。

ユージン・カスペルスキーは、ネヴィル・ジョーンズ氏や、元インド国家安全保障担当補佐官ラタ・レディ(Latha Reddy)氏、東国大学校と韓国ソウルのサイバーフォレンジックプロフェッショナル協会に在籍するイ・ジェウ(Jae Woo Lee)氏とともに、重要インフラ分野におけるセキュリティの憂慮すべき状況について議論しました。

「私が眠れないほどの不安を感じるものは2つしかありません。重要インフラに及ぶ危険と混乱です」(カスペルスキー)

米国オバマ政権の元サイバーセキュリティコーディネーター、ハワード・シュミット(Howard Schmidt)氏がこのパネルディスカッションの司会を務め、水道や道路交通といった社会に不可欠な要素を管理するシステムに深刻なセキュリティ問題が発生した場合に何ができるか、とパネラーたちに問いかけました。

「祈ることです」。ユージン・カスペルスキーのこの言葉は、半分しかジョークに聞こえませんでした。

同イベントの2日目の様子も近日中に当ブログで紹介する予定です。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?