ここ数カ月を振り返ると、セキュリティ脅威の動向が活発化している。Web改ざんや不正アクセス、いまだ収まらない標的型攻撃……企業はこうした行為にどう対処すべきか。6月28日に開催されたセミナー「サイバー戦争勃発!? いま、企業が情報を守るために必要な防御策とは」の講演から、そのヒントを探る。
最近の攻撃は、ソーシャルエンジニアリングで侵入の糸口をつかむなど、巧妙さにますます磨きがかかっている。対策にはセキュリティパッチの適用をはじめとする「基本」こそ必須と言われ続けているが、分かっていながら徹底できない現状もある。
6月28日に都内で開催された@IT主催セミナー、「サイバー戦争勃発!? いま、企業が情報を守るために必要な防御策とは」では、サイバー攻撃の現状や標的型攻撃の対策方法、Webサーバ対策など、今企業が検討すべき課題と対処法が語られた。
セミナーのトップを飾る基調講演「世界を巻き込むサイバー戦争と日本の脆弱性」には、サイバーディフェンス研究所 情報分析部 部長、名和利男氏が登壇した。
サイバーディフェンス研究所は、マルウェア解析やデジタルフォレンジックといった以前からの手法に加えて、インシデント対応やコーディネーション支援、ネットワークフォレンジック、サイバーインテリジェンスなど、多岐にわたる支援を提供している。
こうした活動について、「これまではデジタルフォレンジックやマルウェア解析が多く、通常は1日から1週間程度の作業で完了した。しかし、今は後者の需要が多く、1週間に2件程度のペースで発生している。技術的な分析だけでは判断が難しい事象を中心に、攻撃手法や技術の情報、攻撃者コミュニティに入り込んでの情報収集、事例調査などを通じて分析を行うため、週に20時間かけても足りないくらい複雑で、真相解明までに時間がかかる」(名和氏)。
事実、これまでは攻撃を受けても、痕跡から大方の仕組みを理解できた。しかし最近は、同じフロア内の50〜60台のPCに、C&Cサーバを含む多層構造の攻撃基盤が構築されてしまい、痕跡が散在する。しかも、インストールされた不正プログラムは生成と消失を繰り返すため、1台のPCを解析した程度では何も分からないことが多くなった。
「調査時は、通信ログを可能な限りすべてもらう。だが、インバウンド通信のログは取っていてもアウトバウンド通信のログは取れておらず、何を盗られているのかよく分からないこともある」(名和氏)。
名和氏は現在、このような分析と共有を実施できる専門的な“インシデントレスポンダー”が少ないと危惧する。「政府は『2年くらいかけて育成する』などと言っているが、正直いって遅すぎる。国外から人材調達しないと間に合わない、そんなレベルにある」
また、攻撃も文化や宗教の違い、テレビ報道などの結果、衝動的に攻撃を行うケースも急増している。「リーマンショック以降の世界不況で高学歴ながら職を失い、うっぷん晴らしに攻撃を実行するハクティビストもいる。サイバーディフェンス研究所ではハクティビストを“群れ”と呼び、瞬時に、あるいは一定の時間をかけて攻撃してくる彼らを注視している」(名和氏)。
確かに、集団で活動するハッカーは展開も速い。しかし、ハッカー単体の動きは、それほど昔と変わらないと名和氏はいう。だからこそ、攻撃者を詳細に監視し、特性を見極めて対策していくことには効果があるという。
だが現状では、インシデント対処の経験の蓄積と防御技術、攻撃主体に関する情報の円滑かつ迅速な共有は十分ではない。攻撃者が「100」だとしたら、防御側は「1」程度に過ぎないほどの開きがあると名和氏は警告する。「民間はこうした穴を埋め、追いつく努力をしていかなければならない」
セッション1は、「サイト運営の要は先手のセキュリティ 〜 複雑化する脅威への防御策」と題し、日本ベリサイン SSL製品本部 SSLプロダクトマーケティング部 上席部長、安達徹也氏が登壇した。
「Webサイト攻撃が急増する一方で、98%のWebサイトは脆弱性を抱えたまま運用されている」。安達氏は冒頭にこう述べ、「水飲み場攻撃」の標的となったWebサイトの61%は正規サイトであることを明かした。
しかし、こうしたWebサイトには、リスクを知りながら放置せざるを得ない事情もあると安達氏はいう。「IPAの調査では、約53%の企業が『Webサイトの脆弱性対策に1カ月以上要する』と回答している。Webアプリケーションの改修には、予算取得や開発者の確保の関係で時間がかかる」(同氏)。だが、脆弱性を突かれて情報漏えいが発生した場合、損害賠償や調査費、風評被害、再対策などを含めると、事後対策に要する費用は平均で1〜2億円掛かる脆弱性に対する無償のといわれている。
そこでベリサインは「脆弱性アセスメント」「ベリサインセキュリティ診断サービス」「クラウド型WAF」を提案する。
脆弱性アセスメントは、同社のサーバ証明書発行サービス「EV SSL証明書」と「グローバル・サーバID」に無償でバンドルされるサービスで、Webサイトの脆弱性を診断し、週次で詳細レポートを発行する。レポートでは、Webアプリケーションやデータベース、ネットワークなど9種類の影響範囲に対して、「重大な脆弱性」と「注意を要する脆弱性」の2段階で検出した脆弱性の数を表示し、併せて技術的な情報も提供する。
ベリサインセキュリティ診断サービスは、リモートまたはオンサイトで専門家が診断するサービスだ。診断終了後、診断員が10営業日程度で報告書を提出、内容に関するQ&Aや発見された脆弱性に対する無償の再診断などを実施する。なりすましや正常な通信など、人の目で判断しないと検出が難しいものを的確に見抜ける。
脆弱性が発見されてもすぐに修正できない場合は、「クラウド型WAF」でサポートする。同サービスは、Webアプリケーションに特化したファイアウォールサービス(WAF)で、脆弱性を悪用する攻撃を検知し、ブロックする。「アプライアンス型やソフトウェア型と比べて安価かつ手軽に導入でき、運用も任せられる。1カ月のお試しサービスもあるので、ぜひ効果を確かめてほしい」(安達氏)
続くセッション2は、アーバーネットワークス 日本オフィス SEマネージャ、佐々木崇氏による講演「高度なサイバー攻撃により乗っ取られた端末を見つけられますか?」だ。
佐々木氏は、企業のネットワークセキュリティ対策には「100%」ということはあり得ず、必ず抜け穴が存在し、そのわずかな隙間を狙って攻撃者は侵入してくると指摘した。隙間ができる原因は、「セキュリティや攻撃に関する情報不足、今の対策で十分という慢心、自社は狙われないという思い込み」だと佐々木氏は述べ、そうした隙間をできる限り排除するよう心がけることが重要と述べた。
セキュリティリスクを引き起こす隙間には、BYDOやモバイルデバイス、フィッシングサイト、故意の情報窃取など、さまざまな要因がある。中でも、攻撃者が用意したC&Cサーバと通信を取りながら情報窃取、スパム送信、DDoS攻撃などを実行する「ボット」は影響が大きい。
これに対してアーバーネットワークスは、意図しない外部との通信や、内部での不正な振る舞いなどをモニタリングして遮断する、キャリア/ISP向け製品「ARBOR Peakflow SP」を提供する。C&Cサーバやフィッシングサイト、TORなど、不審な通信は「ARBOR ATLAS Sensor」のダークネット監視情報とともに、情報共有ネットワークの「ATLAS」に集約される。これを同社の分析チーム「ASERT」が解析し、フィンガープリントを作成。その情報を「ATF」(Active Threat Feed)サービス経由で、最短1時間でPeakflowへ展開する。
「外部との通信はもちろんだが、内部ネットワークの通信もセキュリティの視点でモニタリングすることが重要だ」(佐々木氏)
このほか、同社は企業向け製品「Pravail NSI」も提供している。ルータやスイッチの通信を可視化し、異常通信を検知したり、ボット化したユーザーPCの特定や通信遮断を実行できる。
「外部からの攻撃だけでなく、内部から外部への通信を見るなど、セキュリティ対策は多層防御が必須。そうすることで、少しでも隙間をなくすことができる」(佐々木氏)。
未知の脅威から組織を保護するためのネットワーク・セキュリティ・インテリジェンス
http://wp.techtarget.itmedia.co.jp/contents/?cid=12925
ランチセッションは、「オンラインサービスのIDを取り巻く状況とYahoo! Japanの戦略」と題し、ヤフー ID本部長/政府CIO補佐官、楠正憲氏が登壇した。
Yahoo! JapanのID登録数は、2012年12月時点で約2億ID、5400万のブラウザで利用されており、Yahoo!ウォレットは2400万人が登録している。そんな国内最大規模のID数を誇る同社で、2013年5月、サーバへの不正アクセスによるID/パスワード流出事件が発生した。最大2200万件のIDが流出し、うち148.6万件の不可逆暗号化されたパスワードとパスワードの再設定に必要な情報の一部が流出した可能性もある。
事態を受けて、同社は原因究明を進めるとともに、サーバ認証、マルウェア対策、各種ログ監視体制の強化を図り、社内セキュリティ意識のさらなる啓発を行った。また、パスワード変更処理用のサーバを増強し、発表から2日後にはトップページにパスワード変更を促すリンクを設置した。流出に該当するIDで、1週間経ってもパスワードを変更していないユーザーにはメールで変更を依頼した。ただし、パスワード変更画面のリンクは記載しなかったという。
というのも、「通知メールがフィッシング詐欺に悪用され、メール送信行為そのものがフィッシング詐欺を助長させる懸念があった。URLを記載しなかったのは、その理由からだ。不親切かとは思いながらも、フィッシングのデメリットの方が大きいと判断した結果だった」(楠氏)
この事件を教訓に、同社はさまざまなユーザー向け対策を推進している。
1つは、シングルサインオンサービス「YConnect」だ。楠氏は、ユーザーが何らかの形で登録しているサイト数は平均で約9サイトであるのに対し(総務省の2012年4月調査)、Yahoo!ニュース意識調査によると、半数以上のユーザーが「覚えられるパスワード数は3つまで」と回答したことを挙げ、パスワードの使い回しが多い理由を推測。「Yahoo! Japanでも、他で漏えいしたパスワードでログインするユーザーを観測している」と明かした。
こうした問題に対応するため、同社はYConnectを発表した。オークションやウォレット、ポイント、知恵袋、またGREEなどとポイント連携していくことで、その利用メリットを推進する予定だ。
「シングルサインオンやフェデレーションの議論は、マイクロソフトが1995年にMicrosoft Passport(現Windows Live ID)を発表して以降、脈々と続いている。ユーザーエクスペリエンスの難しさも含めて、結論はいまだ見えていない」(楠氏)。
特にユーザーエクスペリエンスは永遠の命題だ。例えば、オークションサービスで本人確認・年齢確認の方法として受取人確認配達サービスを入れたところ、利用者数が減少したと楠氏は振り返る。「今はウォレットによる本人確認が可能なほか、Yahoo! BB加入者の場合は回線契約による居所確認など、さまざまな確認方法を導入している。試行錯誤の繰り返しだ」。楠氏はそう述べ、安全性と利便性のバランスは悩みどころと漏らした。
並行して、ユーザーへの啓蒙活動を継続的に実施している。例えばオークションサイトは不正が多いため、別途、詐欺や不正ID利用詐欺などへの警戒を促す特設サイトを設けたほか、ログイン履歴の確認推奨、シークレットID、ログインアラート、ログインテーマの色でフィッシングサイトを見破るための設定機能などを提供している。TechBlogで、開発者向けの啓発活動も行っている。「弊社にとって不本意な形だったが、今回の事件をきっかけに、セキュリティ機能を利用するユーザーが増えた」(同氏)。
「何が本当にユーザーのためになるのか、事件以来ずっと考えている」。楠氏はそう述べて、今後はますますの信頼回復と対策強化に取り組んでいきたいとし、講演を終えた。
ヤフー、ハッシュ化されたパスワード情報と秘密の質問、約148万件流出の可能性
http://www.atmarkit.co.jp/ait/articles/1305/23/news152.html
Copyright © ITmedia, Inc. All Rights Reserved.