2015年の重大セキュリティ事件を振り返る

2016年1月18日

2015年は、セキュリティに関するさまざまな事件がありました。数ある事件を10件にまで絞り込むのは、なかなか骨の折れる作業ですが、中立の立場を守るため、Threatpostで人気のあった記事をトップ10に選出することにしました。IT業界やセキュリティ業界の人であれば、誰でも自分だけのトップ10があることと思います。だからこそ、できるだけ客観性を保つため、私ではなく読者に支持された記事を選びました。違う意見がある方や見逃された事件があるとお考えの方は、下のコメント欄でお知らせください。では、前置きはこれくらいにして、2015年に起きたセキュリティ事件のトップ10を見ていきましょう。

2015年の重大セキュリティ事件は、5つのカテゴリに分類されます。

  • 一般のエンドユーザーを狙う脅威
  • 「意外なところで見つかる」脆弱性:IoT、家電製品、産業ネットワーク機器のセキュリティ
  • 暗号化問題
  • 主要プラットフォームの広く知られている脆弱性、ハイエンドのサイバー脅威、最も高度な攻撃事例
  • 一般的なソフトウェアで危険なバグが頻繁に発見

では、始めましょう!

エンドユーザーを狙う脅威

10:1月にFacebookのトロイの木馬が発見されました(英語記事)。SNSで不正なリンクをクリックした結果、110,000人以上のFacebook利用者がこのトロイの木馬に感染しました!とんでもない話です!

se-2

残念ながら、サイバー犯罪者と善人との戦いでは、インターネット上にいる大勢の人々が巻き添えを食らいがちです。たとえば、Adobe Flashのアップデートを装ったトロイの木馬がコンピューターにキーロガーをインストールする、などです。この種のインシデントは当社でも常に追跡していますが、セキュリティエキスパートにとっては大騒ぎするほどのものでないためか、トップ10のランキングには滅多に入りません。

とはいえ、こうした「昔ながらの」セキュリティの脅威は、今後も大きな悩みの種であり続けることでしょう。一般ユーザーにとっても企業ユーザーにとっても。対策はいたって単純明快ですし、こうしたサイバー攻撃を防ぐセキュリティ手段や保護手法もかなり前からあります。それでも、1月に発覚したFacebookでのトロイの木馬事件のように、こうした攻撃の影響は膨大な数の利用者に及びます。保護の手法や技術を広く知ってもらう取り組みは、十分に価値があります。全体的に改善の余地があることは明らかです。

IoT、家庭用ルーター、産業ネットワーク機器に対する攻撃

ガレージのドアのリモコンとCisco Systemsのネットワーク製品の共通点は何でしょうか?それは、どちらも同じくらい保護が甘いところです。従来型のコンピューターやデバイスの保護は必須と考える利用者もベンダーも、ネット接続型デバイス、いわゆる「スマート」デバイスの保護には無頓着です。モノのインターネット(IoT)に関して見落としがちなのは、こうしたデバイスがコンピューター並みに強力だというのに安全対策が施されておらず、このままではセキュリティの侵害やもっと悲惨な事態につながる恐れがある、ということです。

9:2014年にCheck Pointのセキュリティリサーチャーが、1,200万台の家庭用ルーターに影響する脆弱性を発見しました(英語記事)。特殊な加工が施されたパケットが使われ、ルーターのWebインターフェイスが晒されました。

8:2015年6月後半、Cisco Systemsのセキュリティ機器で既定のSSHキーがハードコードされていることが判明しました(英語記事)。こうしたバグはネットワーク機器やソフトウェアで数多く発見されており、これはそのうちの1つです。

7:同じ頃、著名なセキュリティリサーチャーのサミー・カムカー(Samy Kamkar)氏が、米国でかなり普及しているガレージドア用リモコンに脆弱性があることを発見しました(英語記事)。総当たり攻撃で鍵を破るには30分程度かかりますが、カムカー氏はソフトウェアのバグを突き、時間を10秒に短縮しました。

車載システムの重大な脆弱性についても、忘れるわけにはいきません。2015年夏、チャーリー・ミラー(Charlie Miller)氏とクリス・ヴァラセク(Chris Valasek)氏が画期的な調査を発表した後、Fiat Chryslerは自動車向けとしては初となるセキュリティパッチを発行しました。脆弱性が悪用された場合、マルチメディアダッシュボードから自動車の管理システムがリモートでハッキングされ、ついにはハンドル操作まで乗っ取られる可能性があります(英語記事)。真面目な話、ソフトウェアやコンピューター機器にバグがあるとすれば、自動車にだってバグがないわけがありません。今や削除されてしまったあの有名なツイートを引用せずにはいられません。

 

コンピューターに作業を任せてしまえば、ミスや失敗は人間より減る傾向にあります。とはいえ、そのコンピューターをプログラミングするのは人間です。そしてコンピューターシステムは、原子力発電所の制御から都市交通の管理に至るまで、重要な作業を実行する上でますます欠かせない存在となっています。素晴らしき新世界にようこそ!

暗号化

暗号関連は、ますます複雑なことになっています。暗号化方式の性能の評価に何らかの貢献ができるのは、本気で取り組んでいる科学者くらいのものです。この主張を裏付けるのに、ぴったりの例をご紹介しましょう。SHA-1です。SHA-1は一般的に使われているハッシュアルゴリズムであり、5年ほど前までは完璧に信頼できるとされていました。ところが2015年、「理論上、脆弱である」との判定が下りました(英語記事)。
すでにNSAは楕円曲線暗号アルゴリズムの強靱性を疑問視しており、量子コンピューターでも解けない暗号化技術を検討(または検討するふりを)しています(英語記事)。

6:暗号化の問題はこれだけではありません。脆弱な暗号化技術を採用していたOpen Smart Grid Protocolは、重大な脅威にさらされていました(英語記事)。メーターや管理システムをすべて1つのネットワークに統合する試みをスマートグリッドと称しますが、OSGPはIoT向けスマートグリッド用のプロトコルです。つまり、セキュリティ上の問題があると、電化製品のセキュリティが侵害されうるのです。暗号化の強靱性を評価する際に「信頼性」が重要な基準とされる理由は、こうしたネットワークの複雑さにあります。
2014年のことですが、かなり広く利用されていたオンザフライ暗号化ツール、TrueCryptの開発が終了しました。4:一連の出来事を経たのちに私たちが見届けたのは、第三者によるTrueCryptソースコードの監査、そして、興味深い派生版であるVeraCryptとCipherShedの登場です(英語記事)。最近ではJuniper Networksのルーターでバックドアが発見されましたが、このインシデントでも暗号化が最重要課題として取り上げられました(英語記事)。

深刻な脆弱性と攻撃

5:2014年に明らかになった脆弱性の中でもスーパースター級だったのは、間違いなくShellshockHeartbleedです。翻って2015年は、AndroidのStagefrightの脆弱性(英語記事)と、3のLinuxの標準ライブラリであるGLIBCのバグ(英語記事)がセンターポジションをとりました。

security-year-2015-2

Linuxのバグハンターを芸術的に表現してみた

脆弱性は、「理論的」に発見されるか、「実環境で」発見されるかのどちらかです。研究者が先に概念実証として攻撃を実演するケースもあれば、実環境で攻撃が行われて初めて新しいバグが発覚するケースもあります。

実環境での攻撃に関して言うと、Kaspersky LabはCarbanakThe Equationという2大サイバー活動を発見しました。Carbanakの目立った特徴は、長期にわたり銀行にもたらした損失の額(ちなみに、約10億ドル)。一方のThe Equationは、高度かつ洗練されたツールセット(改変されたHDDファームウェアを使って標的のPCの制御を奪う手法など)と、活動期間の長さ(数十年)が特徴的です。

一般的なソフトウェアで頻繁に脆弱性が見つかる

このカテゴリの最たる例はAdobe Flashです。1月14日、24日、28日、3月6月7月9月12月に脆弱性が公開されました。残念な点は、Adobe Flashがいまだに信じられないほど脆弱なソフトウェアだというところです。良い点は、(少なくともAdobe向けの)パッチはまとめて発行され、1回のアップデートで数多くのバグが修正されることです。だからといってこのソフトウェアが前より安全になったわけではありませんが、全体的には良い傾向です。開発者がセキュリティについて非常に真剣に考えるようになったのですから。

Adobe FlashはWebブラウザーなど数多くのシステムにインストールされているため、大きな注目を浴びています。ブラウザーの開発元は、自社のソフトウェアを管理するだけでなく、利用者をWeb上の脅威から守ることが求められています(ChromeのFlashのように、特定の機能を制限するしかないことも。関連の英語記事はこちら)。

2:2015年3月に開催されたハッカソンPwn2Ownで、参加者がメジャーなWebブラウザーのハッキングに成功しました。初めにFirefoxとInternet Explorer(英語記事)、続いてChromeとSafari(英語記事)を。

se-5

Pwn2Ownに参加したホワイトハッカーがハッキングに成功した瞬間

1:時代遅れのNPAPI拡張機能がChromeでブロックされました(英語記事)。2015年4月からNPAPIが無効化されるようになったところ、JavaからSilverlightに至るまで正常に動作しないプラグインが続出し、開発者側で多くの問題が発生しました。古いコードを段階的に廃止することが、最近の重要なトレンドになっています。

2016年にセキュリティ問題が下火になるとは思えません。遅かれ早かれ、サイバー脅威と戦う新しい手法が登場することでしょう。ですので、2016年も語るべきことはたくさんあるはずです。この記事と併せて、Kaspersky Labのエキスパートがまとめた2015年の脅威の振り返りレポート、そして2016年サイバー犯罪の予測レポートもご覧ください。