Comments
Description
Transcript
2015 年のサイバーセキュリティ
2015 年のサイバーセキュリティ サイバーセキュリティは、常にテクノロジーを使用する人や企業において、 1 つの分野として確立し、そしてその課題も、非常に大きな存在になりました。 また、目まぐるしいテクノロジーの変化に伴い、脅威も急速に進化しており、 人とテクノロジーを悪用する巧妙で新しい手法がサイバー犯罪で 利用されるようになっています。 毎年この時期になると、多くの団体が翌年注目されるテクノロジーや、 変動・脅威の予測を発表します。将来的に大きく外れる予測もありますが、 多くはすでに発生しつつあることです。ソフォスでは、サイバー セキュリティにおける主な傾向を捉え、2015 年以降のセキュリティに 大きな影響を与えるトピックとして、以下の 10 項目を挙げています。 詳細な資料については、 以下の Web サイトをご参照ください sophos.com 2015 年のセキュリティ脅威予測 セキュリティの取り組みが脆弱性のリスクを 緩和し、攻撃を激減させる サイバー犯罪者は、過去何年にもわたり、脆弱性を利用して不正なコードを忍び込 ませてきました。かつてはスパムが不正コードを拡散するための主な手段でしたが、 現在は Web からの感染とブラウザの脆弱性を利用した攻撃が主流となっています。 Microsoft ではリスク緩和のために、コンピュータメモリの特定領域における攻撃コー ドの実行を遮断するよう設計されている DEP ( データ実行防止 ) 機能、メモリアドレ スをランダム化することで攻撃コードの書き込みを困難にする ASLR ( アドレス空間配 置のランダム化 ) 機能、 Windows 8 および Windows 8.1 における多くの機能強化 ( 本 書ではすべての機能を取り上げることはしませんが、オンラインで公表されています ) を実装するなど、さまざまな取り組みを進めています。 攻 撃 の 実 行 が 難 し く な る の に 従 っ て、Internet Explorer や Windows 7 などのアプリケーション る必要があります。また、セキュリティ対策が十分 ではない、Microsoft 製品以外のプラットフォーム やプラットフォームへの攻撃コードが減少していま す。その結果として、攻撃行動に変化が見られるよ うになり、Windows 以外への攻撃が増加すること が予測されます。価値の高い攻撃コードは標的型攻 撃のために売買・利用されることが多く、サイバー 犯罪市場に残っている攻撃コードの選択肢は少なく なっています。 を標的にする攻撃者も多くなるでしょう。しばらく の間は、古いプラットフォームを利用しているユー ザーの存在にも注意が必要です ( 依然として多くの ユーザーが Windows XP を使用しています )。新 しいセキュリティ対策機能や製品が登場すると、攻 撃コードの価値が高まり、ブラックマーケットにお ける価格高騰につながります。さらに、この地下市 場においては、売買が活発化しています。2015 年 一部の攻撃者は、攻撃コードを使用するのではなく、 は、単純でありながらも危険なソーシャルエンジニ ソーシャルエンジニアリングを利用した攻撃に回帰 アリングを利用した攻撃に注意し、Microsoft 製品 する傾向があります。サイバー犯罪者は革新的なペ 以外のデバイスについては修正パッチの戦略と攻撃 イロードを常に見つけ出します。そのため、ソーシャ の封じ込めのプロセスを重視することが必要だと考 ルエンジニアリングを利用した危険な詐欺に注意す えています。 1 2015 年のセキュリティ脅威予測 モノのインターネット (IoT) への攻撃が 検証段階から実行段階へ 2014 年はモノのインターネット (Internet of Things: IoT) 対応デバイスへの基本的 なセキュリティ機能の実装が不十分であることを知らしめる攻撃が多く検出されまし た。デバイスメーカーが、コンピュータ業界が大きな被害を長期間受けてきた過去の 教訓を学んでこなかったか、市場への製品の投入を急ぐがためにセキュリティ対策を 怠ったことがその原因でしょう。 筆者は個人的な検証環境でこれまで、コマンドイ ンジェクションなどの Web からの攻撃によって ワイヤレスルーター、アカウントのロックアウト 機能を実装しない CCTV カメラ、ユーザー名やパ スワードの入力が不要で明示的にローカルネット ワークを信頼するワイヤレスプラグをハッキング したことがあります。セキュリティ関連のイベン トでは、このような問題のデモが頻繁に行われて いますが、現時点ではサイバー犯罪者が広く悪用 できる問題には発展していません。ソフォスでは、 セキュリティ研究者による検証段階を超えた深刻 な事例が今後出てくることを予測しています。 これまでモノのインターネット対応デバイスへの 攻撃が少なかった理由は、サイバー犯罪者が金銭を 獲得できるビジネスモデルを確立していないこと が考えられます。ただし、これらのデバイスの利用 法が多様化するにつれて、犯罪者に狙われる可能性 は一気に高まります。しかし、 IoT ベンダーのコミュ ニティでは、実際に問題が発生するまでは、セキュ リティ対策を積極的に推進しないかもしれません。 パッチを適用することの難しさをこれまで学習し てきた Microsoft 社とは異なり、これらのベンダー には修正プログラムを迅速に配布するための仕組 みがないことも問題となるでしょう。 確実にセキュリティ対策しないと、これらのデバ イスへの攻撃により実社会に悪影響が生じる恐れ があります。重要なのは、セキュリティ業界がこ うしたデバイスにも対応できるようになること、 アプリケーションベンダーが ( かつての Microsoft 社のように ) セキュリティの重要性を認識するこ と、そして人がセキュリティの問題意識を強く持 ち、問題の発生した後に専門家に対応を依頼する のではなく、市場に対応製品が存在する場合には、 重要な要件として、それらを導入することです。 2 2015 年のセキュリティ脅威予測 暗号化が標準に、しかしすべての人に 歓迎されるわけではない ソフォスは 2013 年に、フルディスク暗号化は、OS ベンダーによって提供されるか、 または、セキュリティベンダーによって管理型として提供される製品が一般的になる と予測しましたが、この動向は、概して新しい企業で実現されています。 諜報機関によるスパイ活動や大規模なデータ流出 などが明るみに出て、セキュリティやプライバシー の問題への注目が集まっており、多くの企業が高 度な暗号化機能を求めるようになっています。 多くの企業とユーザーは、モバイルデバイスや PC から、クラウドサービスに送信するデータを暗号 化したいと考えていますが、その実装に不備があ ると、企業は「暗号化を実施しているかどうか」 よりも厳しい問題にさらされることになります。 最近になって DES を使用しても安全性が確保でき ないことが判明したことなどから、標準と監査の プロセスの詳細が明らかになるまでに長い時間が かかる場合があります。 たとえば、データをローカルデバイスで保護した り、インターネットのサービスに接続したりする ときに、多くのアプリケーションが暗号化機能を 使用していることが分かります。この数は、数年 前から際立って増えています。 一方、警察組織や諜報機関にとって、暗号化の普 及は、逆に安全性に悪影響を及ぼす恐れがあると 考えており、歓迎していない側面もあります。セ キュリティとプライバシーではその主張が対立す ることがありますが、あらゆるセキュリティを危 殆化させて、警察による科学捜査を許すことは、 企業にとって正しい戦略とは言えないでしょう。 残念ながら、それらアプリケーションの多くでは、 SSL 通信において、適切に SSL の機能が実装され ているものはほとんどありません。また、大部分 は「証明書のピン留め」を使用しておらず、暗号 化は真のセキュリティとプライバシーを実現する というよりも、見せかけ機能となっています。詳 しく言えば、効果的な暗号化と「宣伝のための」 暗号化という違いがありますが、ほとんどが前者 ではなく、後者のためのものです。 また、暗号化されるトラフィックが増え、ネット ワークでの傍受やスキャンができないため、独立系 ネットワークセキュリティプロバイダーにとって 重大な問題も生じています。これは、今後数年間 で必要とされるセキュリティソリューションの提 供方法に大きな影響をもたらす可能性があります。 3 2015 年のセキュリティ脅威予測 セキュリティ業界において 15 年以上見落とされていた重大な欠陥が、 広く利用されているソフトウェアに存在 今年は、Microsoft 製品以外の製品で、影響が大きい不具合が多数検出されました。 多数のシステムで使われている機能に脆弱性が見つかり、Heartbleed や Shellshock などの攻撃が話題となりました。 OpenSSL プロジェクト ( 恐らく想像よりも多くの 場所で広く使用されているソフトウェアです ) は、 極めて広く使用されているにもかかわらず、長期 にわたって適切な監査とコードチェックを実施す こ の よ う な 教 訓 が 生 か さ れ て い な い 状 況 で は、 Microsoft 以外のシステムでさらに脆弱性が検出さ れると、長期にわたって多数のユーザー情報が流 出する恐れがあります。 るリソースがなかったことに多くの人が驚かせら れました。 2014 年に発生した攻撃により、今後何年間にもわ たって、脆弱性が存在する一般的なソフトウェア やシステムにサイバー犯罪者の関心が集まり、企 業はそのような分野についても対策をとる必要が あります。これによって、企業の現在の対策プロ セスの多くが試されることになります。 このような欠陥の多くが 2014 年に見られたよう な重大な問題を引き起こすわけではありませんが、 それでも企業にとって大きな課題であることを示 しています。企業は Windows システムでのパッ チ適用やリスク管理のためのプロトコルを開発し て実装していますが、その多くは Windows 以外 のプラットフォームには対応していません。これ は、Heartbleed に対応するためのパッチ適用が 多くの企業で非常に遅いペースだったことで明ら かになりました。残念なことに、欠陥が国際的な ニュースのトップ記事として取り上げられてから 数か月経った今でも、脆弱性に対応していない企 業が数多くあります。 4 2015 年のセキュリティ脅威予測 特にヨーロッパにおいて、 法規制の整備が進む 法律は、テクノロジーやセキュリティの分野と比べて、一般に、整備のスピードが遅 くなりますが、大幅な規制改革が始まろうとしています。セキュリティ侵害について の強制的な公表、データ保護の責任者、重い罰金についての議論が交わされてから数 年が経過しましたが、2015 年に欧州連合は厳格な規格を新たに採用し、2016 年に強 制的に施行する予定です。* ヨーロッパにおける最近の調査により、データを 適切に保護していない場合、最大 1 億ユーロまた は年間売上高の 5% の罰金が科せられる可能性が あるにもかかわらず、規制改革について多くの企 業が把握していないことが明らかになっています。 調査対象企業の 77% という非常に高い割合が、 施行が予定されている新規制だけでなく、企業が データ保護規制に現在準拠しているかどうかも把 握していませんでした。このような規制改革は、 さらに前進的なデータ保護の規制を検討するきっ かけになるでしょう。 サイバー犯罪に関する法律には大きな課題があり ます。国際的な問題に発展しているサイバー犯罪 でも、表向きは国内の法律で取り締まるという ことです。米国のコンピュータ不正行為防止法 (CFAA) といった国内法令や世界各地の類似の法令 における制限や妥当性に対する不満の声が大きく なるでしょう。しかし、現時点では、国際的な協 力体制の確立に向けた動きは見えません。 * 規制案の段階であるため、手続きや施行が予定どおりに問題なく進められそうでも、 期間や対象範囲が変わることがあります。 5 ✔ 2015 年のセキュリティ脅威予測 サイバー犯罪者はモバイルペイメントシステム に注目しつつあるが、まだしばらくは従来から のカード不正利用にとどまる Apple Pay の発表以降、モバイルペイメントシステムが 2014 年の大きな話題となり ました。このような新しいプロトコルには実装上の不具合がつきものですが、Apple による最初の試みはそれを上回る便利さをもたらし、世界のクレジットカードやデビッ トカードのセキュリティ基準を向上させています。特に、時代遅れで不正利用されや すい標準が用いられている米国ではメリットがもたらされています。 サイバー犯罪者はこれらのシステム上の欠陥を探 しているでしょうが、現行の設計ではいくつか有 効なセキュリティ機能が搭載されています。たと えば、情報抽出が極めて困難な特別なハードウェ ア、PIN の使用、パスワードまたは指紋による認 証 ( 署名よりもはるかに強力 )、カード情報のトー クン化 ( ハッカーが決済システムに不正侵入して も再利用可能なクレジットカード番号に相当する ものを盗み取ることはできない ) などです。 明らかに、このようなペイメントシステムは、模 造しやすい単純なカードよりも安全性が向上して います。米国の大手スーパー Target 社で発生した ようなカード情報の流出は、米国で使用されてい る現在のペイメントシステムに大きな弱点がある ことを露呈しています。新しいペイメントシステ ムは情報漏えいには強さを発揮します。サイバー 犯罪者は、成功しやすいという理由から、引き続 きクレジットカードやデビットカードの不正利用 をしばらくの間続けると予測されます。サイバー 犯罪者は儲けにつながる新しい方法を見つけるた め、この新しいシステムについて欠陥がないか注 意する必要があります。 6 2015 年のセキュリティ脅威予測 グローバルのスキルギャップが引き続き広がり、 その対処と教育が鍵となる データ侵害や攻撃のニュースが増える一方の中、その開示の義務が一般化してきてお り、組織は原因の公表を余儀なくされています。 テクノロジーはわたしたちの生活と一体化してお り、グローバル経済を支える柱の一つとなってい る一方で、サイバーセキュリティに関するスキル の不足は深刻な問題として政府や企業に認識され るようになっています。 のに 2030 年までかかると予測しています。この ような状況の中、データ侵害の動向や問題発生時 の対処要件が絡み合って、IT セキュリティプロ フェッショナルの争奪戦が繰り広げられています。 企業は、このようなプロフェッショナルの採用戦 略を検討し、大学卒業生に対してこのセキュリティ 業界が将来的にも有望であることを業界全体で明 確に示す必要があります。 このギャップは小さくなるどころか、ますます大 きくなっており、一部の政府機関は、IT セキュ リティプロフェッショナルが現在の要求を満たす 7 2015 年のセキュリティ脅威予測 モバイル (そしてモバイル以外の) プラットフォームを標的とする 攻撃コードの作成サービスや攻撃ツールが登場 ここ数年のサイバー犯罪は、簡単にハッキングや攻撃コード生成ができる製品やサー ビスの増加と深く結びついていました。これら犯罪集団の一部は、その対象をモバイ ルにも広げてきましたが、大規模で集中的な攻撃には至っていません。 モバイルプラットフォームがさらに普及していく と ( そして、重要なデータが保管されるようにな ると )、モバイルデバイスを明確な標的とする攻撃 ツールやサービスが登場するまで長くはかからな 最新版のモバイルソフトウェアは、ASLR やサンド ボックス機能などのセキュリティ制御が備わって います。しかし、このようなプラットフォームは「完 璧」からはほど遠く、多くのユーザーは機能を拡 いでしょう。また、IoT のデバイスが急増してい くと、この傾向は IoT 対応の他のプラットフォー ムにも見られるようになると予想されます。 張することなく旧バージョンを動作させています が、自動更新がデフォルトとして実施されること が多くなっています。この自動更新により、この ようなプラットフォームを標的にするのが困難に なっており、PC における Web ブラウザベースの 攻撃と比較した場合、モバイルデバイスを攻撃す るコードの数はわずかです。 今のところ、Windows 以外のプラットフォームを 狙うマルウェアのほとんどが Android をターゲッ トにしており、正規アプリケーションと見せかけ て、ユーザーを騙して不正なコードをインストー ルさせています。この傾向が続くことは疑いよう もありませんが、アプリケーションを検証して配 信するエコシステムがこれまで以上に厳格になっ ているため、アプリケーションのサイドローディ ングは攻撃されにくくなっています。これによっ て今度は、そのようなプラットフォームに対する 攻撃コードの開発や攻撃キットの開発が進み、攻 撃機能が商品化され、誰もが攻撃に参加できるよ うになる可能性があります。 今後も、モバイルデバイスが大きな標的となるこ とは疑いの余地はなく、数年後には PC 以外を攻 撃するハッキングツールが商品化されるなど、サ イバー犯罪者によるイノベーションが出現し、成 熟した脅威モデルになっていくでしょう。 8 2015 年のセキュリティ脅威予測 ICS/SCADA と現実社会の セキュリティのギャップが拡大する 産業制御システム (ICS) は、セキュリティ面で、10 年もしくはそれ以上、メインスト リームのデスクトップ環境から後れをとっています。インターネットに接続しない「エ アギャップネットワーク」を使用して、システムを切り離すことを唯一のセキュリティ 対策とし、認証システム、暗号化、整合性チェックを備えていない ICS プラットフォー ムは珍しくありません。 多くの場合このようなシステムは、最終的に不注 意から外部ネットワークに接続されることが多く なります。Shodan などのツールで簡易スキャン を行うだけで、驚くほど多くの制御システムがイ ンターネットに接続されていることが検出されま す。これまでは、幸いなことに、深刻な被害があ まり発生していないだけです。 この分野の大手企業ではセキュリティ対策が講じ られ始めていますが、セキュリティ対策を進めて きたコンピュータ業界と ICS 業界とのギャップは 広がる一方です。今後数年間で、金銭を目的とし た攻撃が大部分を占める現在から、攻撃の目的が 変わっていくのに伴い、多くの重大な弱点が攻撃 者によって発見・悪用されることが憂慮されます。 このような状況から、ICS における規制や業界標 準が強化されることも期待されますが、システム の複雑さや多額の費用がかかること、そして多く の場合にシステムが独自の仕様になっていること を考慮すると、セキュリティ重視の態勢へと転換 するまでに時間がかかることも予測されます。ICS の多くの企業が大きなリスクを抱えており、外部 の人間が考えるほどセキュリティが重視されてい ないのです。 これらデバイスやベンダーの多くは、システムの 耐障害性や制御を中心した基準を中心とした対策 を行っており、他のテクノロジー分野では必須と なっているセキュリティ対策の機能を取り入れて きていませんでした。また、攻撃を防止するために、 システムの隔離とエアギャップネットワークに大 きく依存していました。 9 2015 年のセキュリティ脅威予測 ルートキットとボットの能力が強化され、 新しい攻撃方法が登場する 過去数年間の攻撃の多くは、アプリケーションレイヤーを標的にしていました (DDoS 攻撃であっても、トランスポートレイヤーではなく、実質的にはアプリケーションレ イヤーが中心でした )。IPv4 などの主要なプロトコルの多くは、本番環境で使用され るうちに、その欠陥や設計上の不具合が明らかになっていきます。しかし、現在は大 きな転換期を迎えようとしています。HTTP (1.1 の後継バージョン 2.0) は全面改定 に向けて開発中であり、多くの管理者が気付かないうちに IPv6 がネットワークで幅広 く使用されるようになっています。 テクノロジー業界は主要なプラットフォームとプ ロトコルの変革時期にあり、こうしたバックエン ドレベルの変化が、再びサイバー犯罪者に狙われ るきっかけにもなり得ます。非常に多くの分野で このような変化が起こる可能性がありますが、す でにその兆候が見られています。Windows 7 およ び Windows 8 における IPv6 スタックには、リ ソースを消耗させる不具合があり、攻撃者はそれ を悪用し、連続乱数のルーター広告を送信してシ ステムの CPU を 100% 消費させることができま す (Microsoft が問題に対するパッチを提供するま でシステム全体がクラッシュする場合がありまし た )。しかも、ほとんどのユーザーは、現在も攻撃 される可能性がある脆弱性であるにもかかわらず、 この不具合の存在を把握していません。 さらに、IPv4 における ARP 汚染と同様の中間 者攻撃を可能にする機能が搭載されているなど、 IPv6 には IPv4 の一部の古い不具合がそのまま実 装されています。このような不具合に対処するため 10 の規定が基準に盛り込まれているものの、その規 定は実際の実装やポリシーに反映されていません。 また、UEFI への移行など、下位レベルのハードウェ アの変化にも注意が必要です。UEFI は、従来の BIOS よりも非常にプログラミングしやすく、充実 した機能を利用できる起動環境を提供します。こ の起動環境によって、ルートキットとボットの機 能も向上し、新たな攻撃の要因となったり、しば らくは発生していない強力な攻撃を発生させたり する可能性があります。 私たちは、テクノロジーを導入したときに初めて 引き起こした過ちの多くをいまでも繰り返してい ます。そして、セキュリティ保護における古いテ クノロジー標準が大きく変わる時期であり、危険 な状況にあることが言えます。古いシステムで修 正されていた欠陥が再び露呈されないか、セキュ リティに関する大きな欠陥が新たに生じないか注 意していく必要があります。 ソフォス株式会社営業部: Tel: 03-3568-7550 Email: [email protected] Oxford, UK | Boston, USA © Copyright 2014. Sophos Ltd. All rights reserved. Registered in England and Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UK Sophos は、Sophos Ltd. の登録商標です。他のすべての製品名称ならびに会社名は、それぞれの所有者の商標または登録商標です。 12.14RG.na.simple