2012年10月31日水曜日

COMPUTER WORLDサイトに執筆記事が掲載されました

COMPUTER WORLD Webサイトに新しい執筆記事が掲載されました。昨今、大きな波紋を呼んでいる「遠隔操作事件」についての解説記事です。


PC遠隔操作ウイルス事件が社会に突きつけた「課題」
【第1回】セキュリティ専門家が警鐘を鳴らす、「他人事ではない、PC悪用の恐怖」とは


3回ほどの連載になる予定です。お読みいただいた感想など、お寄せいただけると幸いです。

2012年10月27日土曜日

共同執筆書籍「APT対策の基礎」刊行のお知らせ

インプレスR&Dより、表題の書籍が刊行されました。この本は、日本セキュリティ監査協会(JASA)有志の皆さんと共同で執筆したものです。

APT(Advanced Presistent Threat)つまり、「高度かつ継続的な脅威」とは、多くの資金を持ち、高度な技術を持つ人員をふんだんに投入して、長期にわたり継続して攻撃を仕掛けてくるような、脅威(の主体)を意味する言葉です。

もともと、米国の国防系で、特定の仮想敵国を意味する言葉として使われ始めたのが、由来とされていますが、昨今では、サイバー攻撃でも、同様の攻撃主体をあらわす言葉として使われます。

日本に、この言葉が輸入された際には、他の米国の用語の例にもれず、残念ながらバズワード化してしまいました。「新しい攻撃」のような解釈も生まれ、だんだん本来の意味が薄れてくると同時に、最近では既にあまり聞かれなくなってきています。

本書の著者たちは、このAPTを、その言葉の意味通りの相手として、より一般化した形で捉え、あえてこの言葉を表題に使うことにしました。簡単に言えば、何かに目標を定めたら、一度では諦めず、こちらが防御すればそれに対応して、手を変え、品を変え長期にわたって攻撃を仕掛けてくるような、厄介な相手というような意味合いです。

実際、昨年発覚した防衛産業や政府機関、立法府といったところへの攻撃には、タイムラインとしてかなり長い時間軸で攻撃が行われていたり、周到な準備が行われているような兆候も多々見られます。残念ながら、ある意味でこの攻撃者が拍子抜けするような守りの甘さが原因で攻撃を許してしまったというものもあるようですが、とはいえ、もし基本的な防御に抜かりがなくても、他の切り口から攻撃が加えられてきたであろうことは、想像に難くありません。

そのような状況を考え、こうした脅威がどのようなものであるか、そして守る側として最初に考えておくべきことは何なのかを、改めて本書でまとめてみることにしました。

是非、お読みいただいて、ご意見などを頂戴できればと思っています。


「APT対策の基礎」  インプレスR&D刊


#副題については、マーケティング用につけられたものなので、突っ込まないでくださいね。(笑)

2012年10月25日木曜日

TBSニュースバード出演(10月24日)

実は、昨日、TBSのCSニュースチャンネルである、ニュースバードの「ニュースの視点」に解説者として生出演してきました。

このところ、報道が「誤認逮捕」の一点にシフトしつつあるなかで、できるだけ多くのことを俯瞰できるようにまとめて、お話ししてみたつもりです。

先に言え、と言われるかもしれませんが、なにぶんTV初登場で、生放送はかなり危険なので、放送事故の懸念(笑)もあり、敢えて、予告しませんでした。

ちなみに、実は、相当緊張していたので、なんとかそれをほぐそうと笑顔を作ろうとしていたのですが、それが逆に、なんとなくニヤケた感じになってしまっていて、「しまった・・・・」という感じです。いえ、決して相方の笹岡キャスターにニヤケていたわけではないので、誤解なきように。(笑)

流れとしては、今回の事件の概観から始まり、CSRFやトロイの木馬のお話、そして実はこうした「遠隔操作」は、ずっと以前からボットなどで実装されていて、今に始まったことではない点などをお話ししました。

特に、一旦こうしたマルウエアに感染してしまうと気づくのは非常に困難であるため、感染しないようにすることが、最初の防波堤になるというお話をして、ウイルス対策ソフトも、最初は検知できなくても後で検知出来るようになる可能性を考えれば導入しておいて欲しいことや、安易に、掲示板などに貼り付けられているソフトをダウンロードして使うことの危険性などをお話しした次第です。

今回の事件の捜査については、やはり現場でITやインターネットなどへの理解が足りなかったと言わざるを得ず、IPアドレスがそのまま証拠にはできないことや、様々な偽装方法があることなどをもっと理解しておく必要があったのではないかと申し上げておきました。

サイバー犯罪と言いますが、犯罪の本質は、従来から変わりません、なんらかの動機が有り、目的があって、手段があるわけです。そして、昨今は、手段としてITが使われることも多くなっています。ですから、捜査する側も、ITをしっかり理解して使いこなすことが求められます。少なくとも、サイバー犯罪専門のチームが行った解析作業などが、どのような性格のもので、どういう意味を持つのかといったことが最低限理解できることが必要でしょう。こうした現場のIT,ネットに関する知識向上も、専門チーム育成だけではなく重要な課題になると思っています。

あと、一般消費者向けには行政も含めた社会全体として、啓発や、相談窓口の拡充などの施策が必要であるとの考えをお話ししています。

ちなみに、放送後、ニュースで、三重の事件では、被害者が自ら「ウイルス」の動作を止めていたということを知りました。それが原因で犯人がウイルスを消去できなかった、というものです。これが事実だとすれば、この「ウイルス」は、そうした気づきを与えるような、多少不完全なものだったのかもしれません。ここにきて、この発表がされたことは、それに対して犯人がどう反応するかも含めて、少し注視が必要かなと思っています。

以上、ご報告まで

2012年10月20日土曜日

ソフトウエア開発者とその提供者の持つべき責任は・・

先日の某LCCサイトで他人の予約情報が表示可能になっていたという問題、そしてまた今日報じられたオンライン古書販売サイトでの個人情報流出。前者と後者では質が違うものの、その根底にある問題には共通のものもあるように思います。

前者の例は、単純な「バグ」のように見えますが、あまりにお粗末で、個人情報を取り扱うアプリケーションであるという意識が、そもそも欠落していたように思われます。

後者の例はまだ詳細が報じられていないものの、おそらくはSQLインジェクションのような手法での攻撃ではないかと推測します。この推測が正しければ、いまだ、こうした大量の個人情報を扱うサイトで、こうした脆弱性が放置されているという事態には危機感を抱かざるを得ません。

これらの問題にかかわらず、オンラインサービスのアプリケーションの問題で発生するセキュリティ事故、事件は後を絶ちません。なぜ、と我々セキュリティ畑の人間は思うのですが、どうやら開発畑の人たちの多くの意識は、そこまで達していないようです。

このようなアプリケーションはその企画段階から、取り扱う情報やサービスに対するリスクが認識されている必要があります。また、設計段階では、そのリスクに応じた安全面での「仕様」が定められ、それに対するテストの方法も定義されなくてはいけません。しかし、実際多くのケースでは、そうした面での考慮が設計やテストに反映されていません。

ここで言いたいのは、このようなセキュリティは、もはや専門家の仕事ではなく、一般のアプリケーション設計、開発者の仕事だということです。設計、開発者は、自らが開発するアプリケーションのセキュリティについて責任をもたなくてはいけません。当然、そのための知識や経験を磨く必要があるのです。

現在、声高にセキュリティ人材育成が叫ばれ、高度なセキュリティ知識を持った人材の大量育成が行われようとしています。しかし、CTFなどで育った「セキュリティ高度人材」が働く場は限られます。そして、このままの状況が続けば、彼らは、現場の開発、運用者の分も含めてセキュリティ事故の後始末をするハメになります。それでは、いくら人材を育成してもきりがありません。まさに、「モグラたたき」です。

せめて「モグラ」の穴くらいは、現場で埋めておくことができなければ、より高度な攻撃技術も必要なく、重要なシステムに対して攻撃が成功してしまうでしょう。(実際、昨年あたりから問題になっている攻撃の多くがそのレベルで成功してしまっています。)そういう意味で、今、最も必要なのは、現場の底上げであり、現場の技術者に対する、各分野での基本的なセキュリティ意識と考え方を植え付けるための教育です。つまり、社会全体のレベルを底上げすることが必要なのです。

高度人材の育成が無意味とは言いませんが、粗製濫造は困ります。いざと言うときに役に立たないばかりでなく、そうした人材が働く場も含めて提供できなければ、職にあぶれた人材がダークサイドに流出しかねないと危惧します。

人材育成は、まず「底上げ」を第一に考え、その上で必要な高度人材の適正な育成の両面から考えるべきでしょう。

2012年10月18日木曜日

JNSAからの提言

もう、メディア等でご覧になった方もいらっしゃると思いますが、昨日、JNSAが、この間の「なりすましウイルス」問題についてのプレス懇談会を開き、提言を行いました。

私自身の考えは、先にこのブログで述べていますが、今回の懇談会では、JNSAとその有志が個々の専門家(個人)の立場で意見を述べる形をとっています。

まとまった形の記事は、日経ITPro、CIO Online Internet Watch などに掲載されていますので、参照いただければと思います。もちろん各メディアによって、力点は異なりますが、おおむね私たちの意図は伝わったかなと思っています。

日経ITPro 自作ウイルスの検出は困難――「遠隔操作ウイルス」が課題を浮き彫りに

CIO Online JNSAが緊急提言、「遠隔操作ウイルス被害は企業も対岸の火事ではない」

Internet Watch 遠隔操作ウイルス”事件、専門家らは実行ファイルの扱いでギャップ痛感?

ちなみに、懇談会では、メディアの特に社会部系の記者さんが多いということもあり、あまり専門用語などは駆使しないように配慮していますので、たとえば「ウイルス」というような表現を使っています。(いろいろと議論はあると思いますがww)ちなみに、自作ウイルスというのは、正確に言えばスクラッチで書いた・・・という意味です。流通しているツールキットなどを使わないで作ったという意味合いです。たしかに、既製品のウイルスってのはないかもしれませんがww。

ポイントは2つです。

・個人PCユーザ(コンシューマ)向けの対策推進は社会全体で取り組みたい

・企業でも同様のことが行われる可能性があり、より深刻な被害をもたらす可能性があるので、昨今の標的型攻撃対策もからめて、PCやネットワーク内部の通信などの管理を強化したい

というものです。この事件の余波はしばらく続きそうですが、このことが、疑心暗鬼を生むのではなく、より多くの人たちが正しいセキュリティ知識を持つように働いてくれれば、と思う次第です。

2012年10月11日木曜日

メンテナンス終了しました

サーバメンテナンスを終了して再起動しました。

HPメンテナンスのお知らせ

本日、日中にホームページ用サーバメンテナンスのため、一時的にサービスを停止します。停止は最大1時間程度の予定です。

2012年10月10日水曜日

最近のトピックから(PCの遠隔操作による不正)

ここ数日話題になっているWebサイトへの脅迫書き込み事件、ちょっとまとめてみました。

大阪、三重の事件(日本橋無差別殺人予告、日航機の爆破予告及び伊勢神宮の爆破予告など)で、一旦逮捕された容疑者が、PCを不正に外部から操作された疑いが強まったとして釈放されました。

いずれも、警察が押収した容疑者のPCから、PCを遠隔操作可能なウイルス(マルウエア)が発見され、おそらくは、そのウイルスによって書き込みが行われたなんらかの痕跡が残っていたものと思われます。

この事件は、いくつかの問題を提起します。以下に、列挙してみましょう。


1.PCを遠隔操作されることにより、犯罪に巻き込まれるリスク

こうしたウイルスによる遠隔操作は、ボットネットのような形で既にずっと以前から行われており、最近のいわゆる「標的型攻撃」の拡大から、こうした悪用の可能性が専門家によって指摘されていました。それが実際に発生したことで、すべてのPCユーザが、こうしたリスクにさらされているという事実が明らかになったのだろうと思います。実際に、こうした事件はおそらく氷山の一角でしょう。たまたま、犯罪性のある書き込みで警察が動いたため、発覚したものの、たとえば掲示板への中傷書き込みや、他のコンピュータへの不正アクセスなどに利用されている事例は、少なからず存在するだろうと思います。利用者がまったく気づかないうちに、疑いをかけられるという危険が少なからず存在するのです。

2.感染に気づかないマルウエア

特定の目的をもって作成されたマルウエア(ウイルス等)は、流通数が少なく、ウイルス対策ソフトでは検出が困難と言われています。また、感染後の動作もきわめて静かで、PCの不調などを引き起こすことも少なく、利用者が気づくことも難しくなっています。さらには、目的を達した後で、自分自身や痕跡を消去することも多いため、後から発見することが困難でもあります。今回の事例では、運良く、消去した痕跡が残っていて、そこからマルウエアを発見、解析できたようですが、たとえばディスク上の痕跡を完全に消してしまうようなマルウエアも報告されていることから、これも確実ではありません。このようなマルウエアにどう対処すべきかは、非常に難しい問題です。まずは感染しないということが重要ですから、発信者が不明なメールの添付ファイルやリンクを安易に開かないことや、ネットサーフィン時にブラウザのセキュリティを高めておくことや、PCのセキュリティ更新を常に行っておくということが必要になります。ウイルス対策ソフトも無意味というわけではなく、対策ソフトベンダも日夜こうしたマルウエアを検知すべく改良を加えているので、必ず導入して最新版を使用しておくべきでしょう。ただ、それでも感染した場合、PCユーザが、悪用を防ぐ、もしくは悪用されたことを証明することが出来るかどうかは、大きな課題と言えます。

3.コンピュータフォレンジックの可能性と限界

今回の釈放は、警察によるいわゆる「コンピュータフォレンジック」の実施がきっかけになったと考えられます。コンピュータフォレンジックは、コンピュータからその利用に関する様々な論理的証拠を収集するための技法の総称ですが、警察がサイバー犯罪に対して積極的にこうした技法を適用しはじめている現れでもあります。従来なら、そのPCが使われた、ということで犯人扱いされていたものが、今回のように救済される可能性が出てきました。ただ、こうした手法は専門家だけでなく、サイバー犯罪者の間でも広く知られているため、当然ながら対抗手法も確立されています。いわゆる「痕跡」を収集する従来の手法では、こうした対抗手法を用いた不正アクセスには対応が難しいのも現実です。痕跡を消すだけではなく、意図的に改ざんした痕跡を残すことで、捜査を攪乱する、といった可能性も生じます。今後は、より積極的に、利用状況を証拠として残し、それを不正なアクセスから保全するような仕組みが必要になるでしょう。企業などのレベルでは、そうした取り組みも始まっていますが、一般消費者を対象にこうしたことを行うのは、現状では非常に困難です。今後、PCソフトウエアベンダ、セキュリティベンダのこうした方面での取り組みが必要になるだろうと思います。

こうした問題は、利用者だけではなく、社会全体として考えていく必要があります。今後とも、様々な場でこうした議論が行われていくべきですし、微力ながらお役に立てればと思う次第です。