2012年12月8日土曜日

偽電話とソーシャルエンジニアリング

英国で入院中のケイト妃の様子を、オーストラリアのラジオ局がチャールズ皇太子を名乗って電話をかけ、聞き出した事件。世間をちょっとあきれさせただけで終わるかのように思えましたが、最初に電話を受けた看護師が自殺する(警察ではそう見ているとの報道)という悲惨な結末を迎えてしまいました。メディアの誤った行動が、罪のない人を追い込んでしまう典型的な事例と言えるでしょう。

BBCニュース記事

しかし、この事件で私が思い出したのは、昔のDEFCONでの一場面。いわゆるソーシャルエンジニアリングのデモンストレーションでした。関係者を名乗って電話をかけ、情報を聞き出す手口は、古くから存在します。いわゆるソーシャルエンジニアリングの基礎的な手法です。今回の事件は、はからずもその有効性を立証してしまいました。

今回の電話のポイントは、たぶんラジオ局のDJがケイト妃の義理の父親にあたるチャールズ皇太子やエリザベス女王の声色を使っていたことです。英国では王室の、しかもトップである女王やナンバー2の皇太子は国民の敬意の対象であり、大きな権威でもあります。こうした権威からの要求は簡単には拒否できません。少しくらいおかしいと感じたとしても、それを吹き飛ばすくらいの威力があるわけです。

これを会社に置き換えてみれば、たとえば社長から電話があったようなものです。上司の外出中に社長から上司宛に電話があり、なにかを頼まれたら、簡単には断れないでしょう。特にその用事が「緊急」のものであった場合は、なおさらです。中小企業ならばともかく、そこそこの規模の企業では、おかしいと感じても良さそうなものですが、案外、そうはなりません。それは、相手が大きな「権威」だからです。また、多くの場合、「緊急」という注釈がつくため、考える余裕もなくされてしまいます。

昔から企業はこうしたリスクにさらされてきました。IT時代の今となっても、こうした手法はきわめて有効です。むしろ、たとえばITシステムのセキュリティを突破する糸口を得るために積極的に使われています。振り込め詐欺などと同様に、企業や組織においても、こうしたソーシャルエンジニアリングの対策を考えておかなければいけません。

たとえば、会社のルールとして、こうした上司の代理行為を制限する方法があります。教育によって、たとえ相手が社長や役員であっても、面と向かって直接指示された場合以外は例外なしとする方法です。もちろん手口も様々ですから、いろいろなケースを考慮する必要があるのですが、電話やメールによる指示が有効な範囲をある程度制限することには意味があるでしょう。上司からの指示であったとしても、面と向かっての直接の指示以外は送らない、もしくはあらかじめ決められた方法で暗号化しておくといったルール作りもありうるでしょう。

以前にも書いたのですが、サイバー犯罪といえども、その動機や目的は従来からの犯罪となんら変わりません。手段がITであるだけです。むしろ、ITのみを手段とするほうが特殊で、多くの場合、伝統的な犯罪手法とITが組み合わされます。そういう意味で、サイバー犯罪も、従来からの犯罪も対策は同じ大きなフレームワークの中で行っていく必要があるでしょうね。

2012年11月21日水曜日

COMPUTER WORLD Web 連載第4回

COMPUTER WORLD Web 連載の最終回が掲載されました。最終回はこうした事件に巻き込まれる危険を減らすためのポイントを書いています。


PC遠隔操作ウイルス事件が社会に突きつけた「課題」

【最終回】何が危険行為なのか、どうすれば回避できるか


この事件、その後、ぱったりと報道がなくなってしまいました。選挙騒ぎのせいもあるのでしょうが、このまま忘れられてしまうのでは、ちょっと困ります。今回の事件の教訓をきちんと整理して、今後に備えたいところですね。

2012年11月14日水曜日

COMPUTER WORLD Web 連載第3回

COMPUTER WORLD Webに執筆中の連載記事の第3回分が公開されました。「遠隔操作」事件に関連して、こうした攻撃手法が企業に与えるインパクトや対応のありかたなどについて書いています。


PC遠隔操作ウイルス事件が社会に突きつけた「課題」【第3回】

企業のIT管理者が行うべき対策とは

そういえば、今日、犯人からの新たなメールがニュースになっています。警察が添付されていた画像に残されていた撮影位置情報から横浜市保土ヶ谷区付近で聞き込み捜査を行っていると報道されていますが、その後まだ結果についての情報はありません。捜査攪乱を狙った可能性も否定できませんが、続報を注視したいところです。

犯人は「ミスを犯した」と述べているようですが、Torを使っていても、別の理由でアクセス元がわかる場合も、いくつか考えられますから、もしかしたら、そうした可能性に気づいたのかもしれません。警察が米国に捜査員を派遣したあたりが、ポイントかもしれませんね。

2012年11月13日火曜日

COMPUTER WORLD Web 連載第2回

Computer World Webサイトに執筆中の「遠隔操作ウイルス事件」関連記事の第二回が公開されています。

お読みいただいて、ご意見などいただければ幸いです。


手口から考察する犯人像

2012年11月1日木曜日

セキュリティ人材育成ブームの危うさ

SNSを模したフィッシングサイトを作るプログラムを公開した、そしてそれを使ってサイトを開設しID,パスワードを盗んだとして、中学生があいついで補導されました。目立ちたかった、というのが動機だとされていますが、行為の危うさもさることながら、その動機の単純さに驚かされます。

SNSのようなWebアプリケーションを作ることは、実際それほど難しいことではありません。基本部分は、あちこちにあるサンプルをコピペすればできてしまいます。もしかしたら、すこしプログラミングの知識があれば、小学生でも作れるかもしれません。たとえば、高校生くらいになればプロ顔負けのソフトウエアを作ることもできるでしょう。そして、今はその環境があります。

しかし、問題は、そうした技術やその使い方を正しく指導できる教師やそれを行える場が、ほとんどないということです。インターネットを含むIT技術についてのみいえば、教育現場は完全に後手にまわっています。今、子供たちに必要なのは、技術を教えることではなく、その正しい使い方を教えることなのですが、教える側に技術知識がないこともあって、いわば腰が引けた(つまり、覚えた技術をあまり使わせない)ような指導の仕方になっているのではないかと危惧します。それではせっかく覚えた技術が無駄になるばかりでなく、子供たちに、教える側への不信感も芽生えさせかねません。こうした教師を育成することは、簡単ではありません。むしろ、民間のIT専門家をうまく活用して、行政がそうした場を、課外授業でもいいので作っていく必要があるのではないかと思います。IT技術に興味を持つ子供たちが、そうした場に参加して、ITを使う楽しさや正しい使い方を覚えていけるようにしていく必要があります。補導された子供たちも、そういう場があれば、たとえば一定期間、そこへの参加を義務づけて再教育する、といったことも考えられるでしょう。

実は、同様の問題が、昨今声高に叫ばれているセキュリティ人材育成についても存在しているのではないか、そんな危惧を抱き始めています。このところ、コンテスト形式のイベントが目白押しです。CTF(Capture The Flag)というのは、もともと、セキュリティコンファレンス等でのイベントとして、コンピュータへの攻撃、防御技術を競う競技として行われていたものです。米国のDEFCONでのCTFなどが代表格です。こうしたCTFでは、一般にネットワーク上で実際に近い戦いが繰り広げられます。特に世界各地から腕利きが集まるイベントでは、新しい攻撃方法や防御方法が登場したり、興味深い戦術が使われたりと、実際のネット上での対応を考える上で非常に有益な情報が得られます。一方、こうしたイベントでは、実際のハッキング技術が使用されるため、「ハッカー育成」ではないかという批判が常につきまといました。かつて、日本国内で同様のイベントをやった際にもこうした危惧はありました。そのため、形態を少し変えて、実際にコンピュータを攻撃するのではなく、ネットワーク上に点在しているセキュリティに関する問題を解いていくような形のCTFが考え出されました。最近、国内で行われているCTFの多くがこの形のものです。解いた問題の数で得点を競うような形です。しかし、問題の解決には実戦的な知識が問われますから、当然、参加者はこうした知識や経験を必要とされます。つまり、形が変わっただけで、本質的には、あまり変わらないのです。

善玉ハッカー、ホワイトハッカー、そうした言葉も最近メディアに流れ始めています。現在、技術的には攻撃側、つまりダークサイド有利の状況だと言われているので、防御側がそうした人材の育成に血眼になるのは、わからないでもありません。しかし、こうした技術はそれを持つ人の考え方次第で、いずれの道具にもなり得ます。こうした面での動機付けなくして技術のみを高めれば、極めて危うい人材を作り出してしまう可能性もあります。さらに、気になるのは、最近の人材育成ブームです。数万人規模で人材を作るのだ、というかけ声で、全国津々浦々でCTFが開かれるのですが、こうした競技に参加するモティベーションと、セキュリティを高めるのだというモティベーションは明らかに違います。競技の場合、冒頭の子供たち同様の「目立ちたい」というモティベーションが強く働くことも否めません。たとえば、その頂点に立ったチームを重点的に教育して、そうしたモティベーションを植え付けていくことは考えるのでしょうが、そこに至るまでに敗退していった多くのチームに対するケアは、はたして行われるのでしょうか。それが最も危惧する点です。この点を誤ると、少数のセキュリティ高度人材を育てるために、多くの危うい人材を取り残してしまうことになりかねません。

CTFは、それを行うことよりも、行った後のフォローが重要だろうと思うのです。たとえば、地域ごとに参加者をあつめて継続的なコミュニティーを作り、アフターケアを行っていくとか、そうした人材がボランティアとして子供たちの教育にあたるとか、そういう場を作っていくことが必要です。そのための指導的役割をになう人材も用意しなくてはいけません。

さらに、高度人材も働く場がなければその力は活きません。現在のセキュリティ産業にはその規模で高度人材が働く場は残念ながらありません。業界をどれだけ活性化してもムリでしょう。こうした人材が働く場を作るためには、すべての企業がこうした人材を最低限雇用し、自社のセキュリティを企画しつつ、アウトソース先であるセキュリティ業界、IT業界企業とのパイプ役をはたすような形が必要です。そして、それが今、日本企業の情報セキュリティ強化に最も求められていることだと思うのです。一日も早く、こうした状況をつくり、職にあぶれた「高度人材」がダークサイドからの誘惑にさらされることを防ぐことが必要です。人材の需要と供給のバランスを考えて人材育成を行う必要があります。そのためには、いたずらに海外では何十万人・・・といった話を強調することはやめて、国内の実態にまず目を向けるべきでしょうね。

2012年10月31日水曜日

COMPUTER WORLDサイトに執筆記事が掲載されました

COMPUTER WORLD Webサイトに新しい執筆記事が掲載されました。昨今、大きな波紋を呼んでいる「遠隔操作事件」についての解説記事です。


PC遠隔操作ウイルス事件が社会に突きつけた「課題」
【第1回】セキュリティ専門家が警鐘を鳴らす、「他人事ではない、PC悪用の恐怖」とは


3回ほどの連載になる予定です。お読みいただいた感想など、お寄せいただけると幸いです。

2012年10月27日土曜日

共同執筆書籍「APT対策の基礎」刊行のお知らせ

インプレスR&Dより、表題の書籍が刊行されました。この本は、日本セキュリティ監査協会(JASA)有志の皆さんと共同で執筆したものです。

APT(Advanced Presistent Threat)つまり、「高度かつ継続的な脅威」とは、多くの資金を持ち、高度な技術を持つ人員をふんだんに投入して、長期にわたり継続して攻撃を仕掛けてくるような、脅威(の主体)を意味する言葉です。

もともと、米国の国防系で、特定の仮想敵国を意味する言葉として使われ始めたのが、由来とされていますが、昨今では、サイバー攻撃でも、同様の攻撃主体をあらわす言葉として使われます。

日本に、この言葉が輸入された際には、他の米国の用語の例にもれず、残念ながらバズワード化してしまいました。「新しい攻撃」のような解釈も生まれ、だんだん本来の意味が薄れてくると同時に、最近では既にあまり聞かれなくなってきています。

本書の著者たちは、このAPTを、その言葉の意味通りの相手として、より一般化した形で捉え、あえてこの言葉を表題に使うことにしました。簡単に言えば、何かに目標を定めたら、一度では諦めず、こちらが防御すればそれに対応して、手を変え、品を変え長期にわたって攻撃を仕掛けてくるような、厄介な相手というような意味合いです。

実際、昨年発覚した防衛産業や政府機関、立法府といったところへの攻撃には、タイムラインとしてかなり長い時間軸で攻撃が行われていたり、周到な準備が行われているような兆候も多々見られます。残念ながら、ある意味でこの攻撃者が拍子抜けするような守りの甘さが原因で攻撃を許してしまったというものもあるようですが、とはいえ、もし基本的な防御に抜かりがなくても、他の切り口から攻撃が加えられてきたであろうことは、想像に難くありません。

そのような状況を考え、こうした脅威がどのようなものであるか、そして守る側として最初に考えておくべきことは何なのかを、改めて本書でまとめてみることにしました。

是非、お読みいただいて、ご意見などを頂戴できればと思っています。


「APT対策の基礎」  インプレスR&D刊


#副題については、マーケティング用につけられたものなので、突っ込まないでくださいね。(笑)

2012年10月25日木曜日

TBSニュースバード出演(10月24日)

実は、昨日、TBSのCSニュースチャンネルである、ニュースバードの「ニュースの視点」に解説者として生出演してきました。

このところ、報道が「誤認逮捕」の一点にシフトしつつあるなかで、できるだけ多くのことを俯瞰できるようにまとめて、お話ししてみたつもりです。

先に言え、と言われるかもしれませんが、なにぶんTV初登場で、生放送はかなり危険なので、放送事故の懸念(笑)もあり、敢えて、予告しませんでした。

ちなみに、実は、相当緊張していたので、なんとかそれをほぐそうと笑顔を作ろうとしていたのですが、それが逆に、なんとなくニヤケた感じになってしまっていて、「しまった・・・・」という感じです。いえ、決して相方の笹岡キャスターにニヤケていたわけではないので、誤解なきように。(笑)

流れとしては、今回の事件の概観から始まり、CSRFやトロイの木馬のお話、そして実はこうした「遠隔操作」は、ずっと以前からボットなどで実装されていて、今に始まったことではない点などをお話ししました。

特に、一旦こうしたマルウエアに感染してしまうと気づくのは非常に困難であるため、感染しないようにすることが、最初の防波堤になるというお話をして、ウイルス対策ソフトも、最初は検知できなくても後で検知出来るようになる可能性を考えれば導入しておいて欲しいことや、安易に、掲示板などに貼り付けられているソフトをダウンロードして使うことの危険性などをお話しした次第です。

今回の事件の捜査については、やはり現場でITやインターネットなどへの理解が足りなかったと言わざるを得ず、IPアドレスがそのまま証拠にはできないことや、様々な偽装方法があることなどをもっと理解しておく必要があったのではないかと申し上げておきました。

サイバー犯罪と言いますが、犯罪の本質は、従来から変わりません、なんらかの動機が有り、目的があって、手段があるわけです。そして、昨今は、手段としてITが使われることも多くなっています。ですから、捜査する側も、ITをしっかり理解して使いこなすことが求められます。少なくとも、サイバー犯罪専門のチームが行った解析作業などが、どのような性格のもので、どういう意味を持つのかといったことが最低限理解できることが必要でしょう。こうした現場のIT,ネットに関する知識向上も、専門チーム育成だけではなく重要な課題になると思っています。

あと、一般消費者向けには行政も含めた社会全体として、啓発や、相談窓口の拡充などの施策が必要であるとの考えをお話ししています。

ちなみに、放送後、ニュースで、三重の事件では、被害者が自ら「ウイルス」の動作を止めていたということを知りました。それが原因で犯人がウイルスを消去できなかった、というものです。これが事実だとすれば、この「ウイルス」は、そうした気づきを与えるような、多少不完全なものだったのかもしれません。ここにきて、この発表がされたことは、それに対して犯人がどう反応するかも含めて、少し注視が必要かなと思っています。

以上、ご報告まで

2012年10月20日土曜日

ソフトウエア開発者とその提供者の持つべき責任は・・

先日の某LCCサイトで他人の予約情報が表示可能になっていたという問題、そしてまた今日報じられたオンライン古書販売サイトでの個人情報流出。前者と後者では質が違うものの、その根底にある問題には共通のものもあるように思います。

前者の例は、単純な「バグ」のように見えますが、あまりにお粗末で、個人情報を取り扱うアプリケーションであるという意識が、そもそも欠落していたように思われます。

後者の例はまだ詳細が報じられていないものの、おそらくはSQLインジェクションのような手法での攻撃ではないかと推測します。この推測が正しければ、いまだ、こうした大量の個人情報を扱うサイトで、こうした脆弱性が放置されているという事態には危機感を抱かざるを得ません。

これらの問題にかかわらず、オンラインサービスのアプリケーションの問題で発生するセキュリティ事故、事件は後を絶ちません。なぜ、と我々セキュリティ畑の人間は思うのですが、どうやら開発畑の人たちの多くの意識は、そこまで達していないようです。

このようなアプリケーションはその企画段階から、取り扱う情報やサービスに対するリスクが認識されている必要があります。また、設計段階では、そのリスクに応じた安全面での「仕様」が定められ、それに対するテストの方法も定義されなくてはいけません。しかし、実際多くのケースでは、そうした面での考慮が設計やテストに反映されていません。

ここで言いたいのは、このようなセキュリティは、もはや専門家の仕事ではなく、一般のアプリケーション設計、開発者の仕事だということです。設計、開発者は、自らが開発するアプリケーションのセキュリティについて責任をもたなくてはいけません。当然、そのための知識や経験を磨く必要があるのです。

現在、声高にセキュリティ人材育成が叫ばれ、高度なセキュリティ知識を持った人材の大量育成が行われようとしています。しかし、CTFなどで育った「セキュリティ高度人材」が働く場は限られます。そして、このままの状況が続けば、彼らは、現場の開発、運用者の分も含めてセキュリティ事故の後始末をするハメになります。それでは、いくら人材を育成してもきりがありません。まさに、「モグラたたき」です。

せめて「モグラ」の穴くらいは、現場で埋めておくことができなければ、より高度な攻撃技術も必要なく、重要なシステムに対して攻撃が成功してしまうでしょう。(実際、昨年あたりから問題になっている攻撃の多くがそのレベルで成功してしまっています。)そういう意味で、今、最も必要なのは、現場の底上げであり、現場の技術者に対する、各分野での基本的なセキュリティ意識と考え方を植え付けるための教育です。つまり、社会全体のレベルを底上げすることが必要なのです。

高度人材の育成が無意味とは言いませんが、粗製濫造は困ります。いざと言うときに役に立たないばかりでなく、そうした人材が働く場も含めて提供できなければ、職にあぶれた人材がダークサイドに流出しかねないと危惧します。

人材育成は、まず「底上げ」を第一に考え、その上で必要な高度人材の適正な育成の両面から考えるべきでしょう。

2012年10月18日木曜日

JNSAからの提言

もう、メディア等でご覧になった方もいらっしゃると思いますが、昨日、JNSAが、この間の「なりすましウイルス」問題についてのプレス懇談会を開き、提言を行いました。

私自身の考えは、先にこのブログで述べていますが、今回の懇談会では、JNSAとその有志が個々の専門家(個人)の立場で意見を述べる形をとっています。

まとまった形の記事は、日経ITPro、CIO Online Internet Watch などに掲載されていますので、参照いただければと思います。もちろん各メディアによって、力点は異なりますが、おおむね私たちの意図は伝わったかなと思っています。

日経ITPro 自作ウイルスの検出は困難――「遠隔操作ウイルス」が課題を浮き彫りに

CIO Online JNSAが緊急提言、「遠隔操作ウイルス被害は企業も対岸の火事ではない」

Internet Watch 遠隔操作ウイルス”事件、専門家らは実行ファイルの扱いでギャップ痛感?

ちなみに、懇談会では、メディアの特に社会部系の記者さんが多いということもあり、あまり専門用語などは駆使しないように配慮していますので、たとえば「ウイルス」というような表現を使っています。(いろいろと議論はあると思いますがww)ちなみに、自作ウイルスというのは、正確に言えばスクラッチで書いた・・・という意味です。流通しているツールキットなどを使わないで作ったという意味合いです。たしかに、既製品のウイルスってのはないかもしれませんがww。

ポイントは2つです。

・個人PCユーザ(コンシューマ)向けの対策推進は社会全体で取り組みたい

・企業でも同様のことが行われる可能性があり、より深刻な被害をもたらす可能性があるので、昨今の標的型攻撃対策もからめて、PCやネットワーク内部の通信などの管理を強化したい

というものです。この事件の余波はしばらく続きそうですが、このことが、疑心暗鬼を生むのではなく、より多くの人たちが正しいセキュリティ知識を持つように働いてくれれば、と思う次第です。

2012年10月11日木曜日

メンテナンス終了しました

サーバメンテナンスを終了して再起動しました。

HPメンテナンスのお知らせ

本日、日中にホームページ用サーバメンテナンスのため、一時的にサービスを停止します。停止は最大1時間程度の予定です。

2012年10月10日水曜日

最近のトピックから(PCの遠隔操作による不正)

ここ数日話題になっているWebサイトへの脅迫書き込み事件、ちょっとまとめてみました。

大阪、三重の事件(日本橋無差別殺人予告、日航機の爆破予告及び伊勢神宮の爆破予告など)で、一旦逮捕された容疑者が、PCを不正に外部から操作された疑いが強まったとして釈放されました。

いずれも、警察が押収した容疑者のPCから、PCを遠隔操作可能なウイルス(マルウエア)が発見され、おそらくは、そのウイルスによって書き込みが行われたなんらかの痕跡が残っていたものと思われます。

この事件は、いくつかの問題を提起します。以下に、列挙してみましょう。


1.PCを遠隔操作されることにより、犯罪に巻き込まれるリスク

こうしたウイルスによる遠隔操作は、ボットネットのような形で既にずっと以前から行われており、最近のいわゆる「標的型攻撃」の拡大から、こうした悪用の可能性が専門家によって指摘されていました。それが実際に発生したことで、すべてのPCユーザが、こうしたリスクにさらされているという事実が明らかになったのだろうと思います。実際に、こうした事件はおそらく氷山の一角でしょう。たまたま、犯罪性のある書き込みで警察が動いたため、発覚したものの、たとえば掲示板への中傷書き込みや、他のコンピュータへの不正アクセスなどに利用されている事例は、少なからず存在するだろうと思います。利用者がまったく気づかないうちに、疑いをかけられるという危険が少なからず存在するのです。

2.感染に気づかないマルウエア

特定の目的をもって作成されたマルウエア(ウイルス等)は、流通数が少なく、ウイルス対策ソフトでは検出が困難と言われています。また、感染後の動作もきわめて静かで、PCの不調などを引き起こすことも少なく、利用者が気づくことも難しくなっています。さらには、目的を達した後で、自分自身や痕跡を消去することも多いため、後から発見することが困難でもあります。今回の事例では、運良く、消去した痕跡が残っていて、そこからマルウエアを発見、解析できたようですが、たとえばディスク上の痕跡を完全に消してしまうようなマルウエアも報告されていることから、これも確実ではありません。このようなマルウエアにどう対処すべきかは、非常に難しい問題です。まずは感染しないということが重要ですから、発信者が不明なメールの添付ファイルやリンクを安易に開かないことや、ネットサーフィン時にブラウザのセキュリティを高めておくことや、PCのセキュリティ更新を常に行っておくということが必要になります。ウイルス対策ソフトも無意味というわけではなく、対策ソフトベンダも日夜こうしたマルウエアを検知すべく改良を加えているので、必ず導入して最新版を使用しておくべきでしょう。ただ、それでも感染した場合、PCユーザが、悪用を防ぐ、もしくは悪用されたことを証明することが出来るかどうかは、大きな課題と言えます。

3.コンピュータフォレンジックの可能性と限界

今回の釈放は、警察によるいわゆる「コンピュータフォレンジック」の実施がきっかけになったと考えられます。コンピュータフォレンジックは、コンピュータからその利用に関する様々な論理的証拠を収集するための技法の総称ですが、警察がサイバー犯罪に対して積極的にこうした技法を適用しはじめている現れでもあります。従来なら、そのPCが使われた、ということで犯人扱いされていたものが、今回のように救済される可能性が出てきました。ただ、こうした手法は専門家だけでなく、サイバー犯罪者の間でも広く知られているため、当然ながら対抗手法も確立されています。いわゆる「痕跡」を収集する従来の手法では、こうした対抗手法を用いた不正アクセスには対応が難しいのも現実です。痕跡を消すだけではなく、意図的に改ざんした痕跡を残すことで、捜査を攪乱する、といった可能性も生じます。今後は、より積極的に、利用状況を証拠として残し、それを不正なアクセスから保全するような仕組みが必要になるでしょう。企業などのレベルでは、そうした取り組みも始まっていますが、一般消費者を対象にこうしたことを行うのは、現状では非常に困難です。今後、PCソフトウエアベンダ、セキュリティベンダのこうした方面での取り組みが必要になるだろうと思います。

こうした問題は、利用者だけではなく、社会全体として考えていく必要があります。今後とも、様々な場でこうした議論が行われていくべきですし、微力ながらお役に立てればと思う次第です。


2012年9月22日土曜日

Internet Explorerのゼロデイ脆弱性

このところ話題になっている脆弱性について、ちょっと調べて見ました。


Internet Explorer の脆弱性により、リモートでコードが実行される


CVEの情報は以下にあります。



この問題は、Internet Explorer がHTML内のスクリプトを実行する際の処理に問題があるため、不正なWebページに利用者を誘導することで、任意のプログラムを利用者のPC上で実行できてしまうというものです。

少し、専門的な話になりますが、ブラウザは読み込んだHTMLやスクリプトを処理するため、内部に様々なファンクションを持っています。最近のWebページは動的に作成され、利用者の操作に反応して様々な動きをするように作られるため、これに対応できるような形で、様々な機能(コマンド)を動的に割り当てて、場合によっては並列に実行していくような仕組みとなっているわけです。

ここで、ある操作Aを実行するようなスクリプトを含むHTMLを読み込ませたとします。通常は、このHTMLが読み込まれた後、そこに書かれた操作が実行されるよう、読み込み時にスクリプトが解釈され、実行準備が行われます。具体的には、ヒープと呼ばれるメモリー領域が、その操作のために割り当てられて、そこに実行すべきコマンドのための処理が準備されます。そして、コマンドを実行する段階で、このコードを実行するための内部処理が呼び出されます。通常は、このHTMLが書き換えられると、ヒープは解放され、次に読み込まれたHTMLのために使われることになります。

HTML内に書かれるスクリプトでは、様々なイベントを検出して、処理を割り込ませることができます。たとえば、マウス操作などで、画面が都度変化するような処理はこれにより実装されます。たとえば、HTMLを読み込んで、準備が完了した際に特定の処理を呼び出すこともできます。こうしたイベントに対応するハンドラのためのコードもHTMLが読み込まれた時にヒープに展開されます。

では、ちょっと意地悪して、読み込まれた直後に実行されるコードから、あるウインドウ操作コマンドを起動し、そのイベントハンドラ内で、HTMLそのものを書き換えてしまったらどうなるでしょうか。通常は、書き換えに伴って、登録されていたハンドラも解除され、そのために割り当てられていたコード領域は開放されます。本来であれば、このハンドラから戻った際に、元のコードは存在しなくなっているので、処理を終了してしまわなければいけないのですが、実は今のIEではそうなってはいませんでした。イベントハンドラが先に実行され、そのあとでコマンドが実行されるような動きになってしまうことが原因で、既に解放されてしまっているヒープにある処理を実行しようとしてしまうのです。

これだけならば、異常なコードの実行として単にIEが落ちるだけで終わります。しかし、このHTMLが上位にあるHTMLのIFRAMEの中で実行されていて、イベントハンドラ内で、親フレームで定義された配列変数を書き換えるような操作をすると、解放されたヒープ領域は再利用され、うまくいけば、そこに好きなデータを書き込むことが出来ます。さらに、親フレームでは、スクリプトのデータとしてエンコードされたシェルコード(PC上の特定の操作を指示するようなコード)があらかじめ展開してあれば、子フレームから書き込んだデータによって、そこに制御を渡すような操作が可能になってしまいます。

つまり、このことが、任意のコードを外部から送り込んで実行させられる、ということなのです。

この脆弱性の修正はまもなくマイクロソフトから配信されるとのことですが、当面はIE以外のブラウザを使用しておきたいところです。IEを使う場合は、インターネットゾーンでのスクリプトの実行を禁止するなどの措置を当面はとっておく必要があります。また、IEをPC管理権限を持ったユーザが使用している際に、この脆弱性を攻撃されると、PCの制御を完全に奪われる可能性もあるので、注意が必要です。通常のネットサーフィンに使用する場合は、権限を制限したユーザの資格で実行すべきでしょうね。

(追記)

9月22日付けで、マイクロソフトから修正プログラムが緊急配信されています。

2012年9月18日火曜日

COMPUTER WORLD Web連載最終回です

COMPUTER WORLDのWebで連載してきた特集の最終回が公開されました。

クラウド時代のアウトソーシングのあり方を考える
――大規模障害に見る思わぬ落とし穴【第3回】

今回は、最終回として、クラウド時代のアウトソーシングで特に注意が必要になるポイントや、ユーザ、事業者双方での考え方のありかたなどを考えてみました。

2012年9月10日月曜日

COMPUTER WORLD サイト連載第二回目掲載です

COMPUTER WORLD Webに連載中の第2回目記事が公開されました。今回はファーストサーバ事故に関する考察を書いています。


2012年9月9日日曜日

(ISC)2のコングレスに行ってきます

本日から、フィラデルフィアで開催されるISC2のコングレスに行ってきます。1週間日本を離れますので、連絡などはメールにてお願いします。むこうの様子は、またレポートします。

2012年9月3日月曜日

COMPUTER WORLD 執筆記事のご紹介

COMPUTER WORLD (IDG)のWeb に記事を執筆しました。6月にあいついで発生した大規模障害事故から、現在のITアウトソーシングの問題を考える特集です。是非、ご覧いただき、感想をお寄せください。

COMPUTER WORLD 記事へのリンク

2012年8月31日金曜日

独立・開業にあたってのご挨拶

2012年9月より情報セキュリティコンサルタントとして独立することになりました。アルテア・セキュリティ・コンサルティングは、個人事業としての商号として、横浜地方法務局に登録しています。

アルテア(Altair)は、七夕でおなじみの「牽牛星」、わし座の一等星アルタイルのことです。同年代の人は同じ名前の「マイコン」を思い出すかもしれませんが、そのせいか、この名前は私にとっては、なんとなく親しみのある名前なのです。

狭いケージを飛び出して、大空に羽ばたき、世界を俯瞰できる鷲のようになりたい、という願いもあり、事業の名称としてこれを使うことにしました。

情報セキュリティは、いまやすべての人や組織にとって不可欠な要素になっています。しかし、それは必ずしも、正しい形で根付いているとは言えません。とりわけ、マネジメントと技術の乖離や、マネジメントサイクルの形骸化など、多くの課題を抱えているように思います。現在のような不況下では、どうしてもビジネス効率が優先されます。また、インシデントの原因となるような事態も増加します。そのような中で、ビジネスとセキュリティのバランスをきちんと考えていくことが強く求められます。

また、情報セキュリティ人材の不足と高度人材の育成というかけ声が、最近では多く聞かれます。しかし、こうした「高度な人材」もさることながら、セキュリティの底辺(ベースライン)を支えるためには、一般のITエンジニアが、もっとセキュリティの基本を理解していくことが必要だと考えます。そうでなければ、本来、そうした人たちが守るべきレベルの問題まで、「専門家」に頼らざるを得なくなり、それこそ、専門家が何人いても足りなくなってしまいます。

技術の世界も日進月歩です。新しい環境や技術は新しい脅威を生むと同時に、新しい守り方も生み出します。しかし、残念ながら、このところ技術では脅威が先行しがちです。後手に回るのは守る側の宿命ではありますが、少しでも先手に近づいてタイムラグをなくしていくことが必要です。

このような環境の中で、何か役立てることをしたい。それが私が独立するにあたっての、最大のモティベーションなのです。一人で出来ることは限られますが、鋭意、頑張る所存ですので、よろしくお願いします。

アルテア・セキュリティ・コンサルティング 代表  二木真明