今回の『セキュリティウィーク』は企業向け特別号として、ROI、EBITDA、TCO、IFRS、CRM、SLA、NDA、GAAPなどを重点的に取り上げようと思います。というのは冗談で、いつものように、最近起こった重要なセキュリティ関連ニュースをお伝えしていきます。偶然にも、今回は何らかの点で企業のセキュリティに関連するニュースばかりでした。ハッキングされて情報を漏洩してしまった企業や、この事件の対応に追われている企業などを取り上げます。
エンドユーザーのセキュリティと企業のセキュリティの違いは何でしょう?1つ目は、一般のユーザー向けのセキュリティ製品は比較的シンプルなのに対し、企業セキュリティはかなり込み入っています。理由はいくつかありますが、ITインフラの複雑さが主な原因です。2つ目は、企業インフラストラクチャを脅威から保護するには、組織内のあらゆるレベルに特別なポリシーを適用しなければなりません。
いずれにせよ、企業のセキュリティ対策は順調に進んでいるのでしょうか?正直なところ、それほどでもありません。たとえばGartnerは、今後3年以内に企業予算の30%がセキュリティに費やされるようになると見ています(英語記事)。また、役割ベースのアクセスは、これまで企業セキュリティに不可欠な制御方式でしたが、今ではかなり時代遅れです。現在、セキュリティに対する取り組みの90%は境界線での侵入阻止に充てられ、検知と対応に割かれているのはわずか10%です。
つまり、侵入者からすると、インフラに潜り込みさえすれば楽ちんな環境が待っているわけで、結果として標的の企業に破滅的な被害をもたらします。Gartnerは、上記の「侵入阻止」対「検知と対応」の比率を60%対40%にするのが妥当だと推奨しています。たとえば、銀行などの金融機関を狙った悪名高い活動、Carbanakに関する当社のレポートは、犯罪者が長期に渡ってこの「10%」ゾーンに潜伏していたことを示しています。
『セキュリティウィーク』のバックナンバーはすべてこちらでご覧になれます。
Outlook Web Appを侵入口として企業インフラへ
ニュース(英語)。Cybereasonによる調査(英語)。Microsoftからのフィードバック
何者かが企業内のコンピューター1台をハッキングし、このコンピューター内を嗅ぎ回ってデータを抜き取ったとしたら、どんな収穫があるでしょうか?一般社員のラップトップなら、仕事に関連するデータと、もしかしたら、この社員がアクセスできるファイルサーバーから情報を盗み出せたことでしょう。
ですが、一般的に強い権限を持っている部課長やシステム管理者のコンピューターに入り込むことができれば、さらに「効率よく」活動できます。メールサーバーへの不正アクセスは、メール経由で送信される大量のデータが危険にさらされることを意味します。Cybereasonの報告は、メールがあればやりたい放題であることを示しています。
よくある話ですが、Outlook Web App(別名、Web Access、Exchange Web Connect、Outlook on the web – Microsoftはこのプログラムの名前を20年間に4回変えました)に脆弱性があったわけではありません。攻撃者は管理者のログイン認証情報を(おそらくフィッシングで)盗み、悪意ある(無署名の!)DLLライブラリを挿入して、メールとActive Directoryの両方へのアクセスを手にしました。こうして、ハッカーはどの社員のアカウントからでもメールを送信可能となりました。
さらに、Webメールへの接続状況を監視するIISサーバーに、別の埋め込みが発見されました。この調査によると、犯人は誰が、いつ、どこでメールにログオンするのか常に見張っていました。リサーチャーはMicrosoftに対し、One Web Accessのサーバーで無署名のバイナリが簡単に実行できてしまうと指摘しましたが、Microsoftは適切にシステムが構成されていれば、そんなことは起きないと主張しました。
「適切に」の意味はさておき、これまでにわかっていることをまとめると、次のようになります。
— あるサービスは、インターネットとイントラネットの両方にアクセスするよう設計されている。
— IT担当者側のセキュリティが甘い(ログインIDとパスワードは、この担当者から盗まれたもので、一般社員のものではない)。
— バックドアを簡単にインストールできるような欠陥が、サーバー構成に存在する。
— 長期間、不正アクセスを検知できない。
パッチを公開したかっただけなのに…要は、個別に解決しなければならない問題が山積なのです。妙な話ですが、Active Directoryのデータ整合性は確保されており、このサービスは厳重に保護されています(この攻撃媒介が使用された事例はあるのですが。英語記事)。しかし、あまり目立たない方法で最弱リンクから侵入される可能性もあります。
T-Mobileのサプライヤーがハッキングされ、契約者1,500万人のデータが流出
ニュース(英語)。攻撃の標的となったExperianの発表(英語)。T-Mobileの公式声明(英語)
まず、簡単に事情を説明します。米国では、モバイル通信契約者の大半は、モバイル通信業者と長期契約を結び、この契約には音声/データプランとデバイス本体(携帯電話、スマートフォン、タブレット)の両方が含まれます。これは非常に便利なオプションで、新しいデバイスを無料、または格安で入手できます。しかし、現在の契約が満了するまで、他の通信業者に乗り換えることはできません。
この契約では、通信業者が契約者の信用度を確認することを前提としています。銀行で融資を受けるときと同じです。この確認を始めるにあたり、通信業者は地元の信用調査会社に問い合わせます。T-Mobileの情報漏洩事件の場合、地元の信用調査会社というのがExperianで、ここがハッキングされたのです。
発表によると、不正アクセスは「限られた期間内に発生した単独の事件」でしたが、それでも2年間にT-Mobile契約者1,500万人分のデータが漏洩したと見られています。公正を期すため、両社とも極めてオープンかつ適切な方法で情報公開し、それぞれのWebサイトに不正侵入に関する記事を詳しく掲載しました。
情報が流出した契約者には、クレジットモニタリングサービスが無料で提供されました。今回の事件は、以前より不正アクセス後の対処が大きく進歩したことを示しています。たとえばTargetは、4,000万件もの支払カードの認証情報が漏洩したとき(英語記事)、「問題は解決しました」的な短い声明を出しただけでした(英語記事)。
T-Mobileの場合、クレジットカード情報に被害はありませんでしたが、氏名や住所、運転免許証番号などの個人情報が流出しました。T-MobileのCEOは、情報は「部分的に」暗号化されていると断言しています。つまり、あまりきちんと暗号化されていないのです。
この話はプライバシーの問題に強く関係しています。信用調査機関はクライアントに関する膨大な情報を持っていますし、その情報はあらゆる方面から集められたものです。それだけでなく、集めたデータを他の企業に高額で売り飛ばしますが、買い手は必ずしも優良グローバル企業とは限りません。実はExperianが顧客情報にまつわるトラブルを起こしたのは、これが初めてではありません。
セキュリティ侵害ではありませんが、前にこんな事件がありました。シンガポールに拠点を置く私立探偵として活動するベトナム人男性が、米国人2億人分の個人情報を合法的にExperianから購入し、なりすましを専門とするサイバー犯罪者集団に売り渡していたのです(英語記事)。
恐ろしい話です。たとえば、Amazonアカウントのパスワードを忘れた場合、変更を申し込むには住所、生年月日、社会保障番号を提示しなければなりませんが、こういったデータはExperianのような企業にすべて握られているわけです。
もう1つ。データが最も攻撃を受けやすいのは、ある企業から別の企業へと渡される途中です。セキュリティのポリシーや製品は会社によって異なるので。
監視カメラの開発元が脆弱性の公開を阻止し、告訴するとリサーチャーを脅迫
スイスの企業Ptrace Securityに籍を置くリサーチャー、ジャンニ・ネーサ(Gianni Gnesa)氏はシンガポールで開催されるHITB GSECカンファレンスに向けてレポートをまとめていました。その中で監視カメラの脆弱性を取り上げるつもりでしたが、実現しませんでした。ネーサ氏の調査には、ベンダー3社のIPカメラ数機種で見つかった脆弱性の事例が含まれていたためです(今となっては、この3社がどこかはわかりません)。
こんな展開になるとは誰も予想できなかったはず。ネーサ氏はバグレポートをベンダーに送付し、定期的に各社のセキュリティチームと連絡を取り合っていました。発見した脆弱性をカンファレンスで発表したいので、調査内容を承認してほしいと伝えました。すると突然、IT担当者は姿を消し、代わりに顧問弁護士が現れて、ネーサ氏に調査の公開中止を求めました。止めなければどうなるかわかりますよね、と。
悲しいかな、こうしたことは今回が初めてではなく、おそらく最後でもないでしょう。理由は簡単です。一般常識では、悪党と正義の味方の違いははっきりしていますが(後者は「悪事を働きません」)、法的な観点ではそうでもないのです。非常にわかりやすい例は、デュアルユース(軍民両用)の商品やテクノロジーの国際輸出管理体制、ワッセナー・アレンジメント(新ココム)です。
2013年12月、欧州議会はワッセナーリストに侵入ソフトウェアを加えました。「大義のためのハッキング」というのは二元的な概念ですが、この場合、規制者側は少なくとも、その手のソフトウェアの開発元(悪名高いHacking Team(英語記事)など)なのかどうかは開発元が顧客を選定する段階ではっきり区別できると考えていました。
ところが、ワッセナーの規定では、事実上どんなものでも「侵入ソフトウェア」と定義しています。この新しい規制は悪人にとっては大した障害とはなりませんが、正義の味方はかなり行動しづらくなります。たとえば、ペネトレーションテストの仕事に相当の影響が出ることでしょう。こうした事情から、HPは日本で開催されたハッカソンイベントPWN2OWNへの参加を辞退せざるを得なくなりました。これは、HPのリサーチャーが海外に発表しようとしている内容が「デュアルユースの商品やテクノロジーの輸出」とみなされる可能性があったからです。
何とも残念です。企業にとって厳しいのであれば、法律の観点でいくともっとダメです。背後に、脆弱性の開示を制限したいというベンダー側の意図があるのも十分に理解できます。ですが、脆弱性を取り除く方法があるなら、なぜそのチャンスを活用しないのでしょう。製品のセキュリティにどれほどの影響があるのでしょう?
「何でもかんでも開示」する方が「すべて禁止」するよりもいい、という意味ではありません。ハードウェアやソフトウェアの重大な脆弱性を無責任に公開すると、場合によっては利用者に害が及びます。最適なポイントは、やはり両論の間のどこかにあります。
その他のニュース:
原子力施設のサイバーセキュリティは、どこもかなりお粗末です(英語記事)。ユージン・カスペルスキーのブログ記事をご覧ください。ここで重要なポイントは、重要インフラがインターネットから遮断されていると思っている人は、考え直した方がいいということ。おそらく、その考えは間違っています。
【 #ユージン・カスペルスキーブログ 新着】産業制御システムのセキュリティの重要性を改めて思わずにいられないレポートが発表されました。https://t.co/CTnSRscKJh
— カスペルスキー 公式 (@kaspersky_japan) October 19, 2015
Gartnerは恒例の未来予測も行っています(英語記事)。いいですか、2018年までに、人間は機械を管理する機械を発明しなければなりません。IoT(モノのインターネット)デバイスをすべて手作業で管理するのは不可能になるからです(反論の余地なしです。なにしろ、たった4台のRaspberry Piを管理するのに、週末の半分を費やしたくらいなので)。
さらに、人間はロボット上司の下で働くことになるでしょう。また、フィットネストラッカーは体の健康のためではなく、日々の活動をコントロールするために使われるようになります。すばらしい新世界!そう、これがあなたの未来です。もっとも、あなたが職を失わずに済めばの話ですが。急成長中の企業は、今後わずか3年のうちに、人間の3倍のロボットを雇用すると言われているので。
ドローンはハッキング可能(異論はありませんよね?)です(英語記事)。昔から、新しいタイプのデバイスでは、セキュリティ上の初期トラブルがあれこれ発生するものです。小さな子供が水疱瘡にかかるのと同じ話です。このケースでは、ドローンに安全でない通信プロトコルが使われていて、認証が一切行われていませんでした。
懐かしのあれこれ:
Hymnファミリー
常駐型ウイルスのファミリー。通常、実行時、クローズ時、名前の変更時、属性の変更時にCOMファイルとEXEファイルに感染します。たとえば、1月1日(01.01)や2月2日(02.02)のように、月と日の数字が一致した日に、ディスクCのブートセクターにあるシステム情報の一部を破壊します。その後、次のような画像を復号して表示します。
次にソ連の国歌が流れ、同時にブートセクターのバイトがヌル化されます。ブートセクターには1セクターあたりのバイト数、1クラスターあたりのセクター数、FATコピーの数などが含まれています(合計9バイト)。MS-DOSコンピューターのブートセクターでこの変更が行われると、そのコンピューターはHDDからもフロッピードライブからも起動しなくなります。情報を復元するには、独自のミニランチャーのプログラムを作成するか、特別なツールを使用する必要があります。また、Hymn-1962とHymn-2144は自身を暗号化します。
1992年、ユージン・カスペルスキー著『Computer viruses in MS-DOS』(MS-DOSのコンピューターウイルス)36ページより引用。
注意:この記事は著者の個人的見解を反映したものです。これはKaspersky Labの見解と一致していることも、一致していないこともあります。運次第です。