「無料充電サービス」にセキュリティ上の落とし穴?:セキュリティ・ミニキャンプ in 沖縄 2016レポート
2016年12月16日から18日にかけて開催された「セキュリティ・ミニキャンプ in 沖縄 2016」の模様をレポートする。
インターネットが普及し、検索すれば専門的な知識にリーチできるようになった現在でも、専門家から直に講義を受け、同じ興味や関心を持つ仲間を作れる経験に勝るものはない。セキュリティ・キャンプ実施協議会では、情報セキュリティに関する知識や技術を磨きたいと考える学生にそうした機会を提供する「セキュリティ・ミニキャンプ」を国内複数箇所で開催している。
その1つ、「セキュリティ・ミニキャンプ in 沖縄 2016」が、2016年12月16日から18日にかけて開催された。今回から2回にわたり、セキュリティ・キャンプ地方大会シリーズ“沖縄編”をお届けしよう。
サイバーセキュリティ、沖縄での取り組み
沖縄県はICTを成長戦略の1つとして捉え、「アジア情報通信ハブ形成促進事業」をはじめ、積極的にIT企業の誘致や人材育成に取り組んでいおり、急速に関心が高まるIoT(Internet of Things)のセキュリティに取り組む重要生活機器連携セキュリティ協議会(CCDS)といった組織も設置している。
今回のミニキャンプ開催に向けては、沖縄に根ざしたIT企業や組織、複数の教育機関が参画し、「セキュリティ・ミニキャンプ沖縄実施協議会」が設立された。セキュリティ・ミニキャンプ in 沖縄の継続的な実施を目的とした組織だが、事前の「プレセミナー」を、セキュリティ・キャンプ卒業生の1人である矢倉大夢氏を招いて琉球大学で実施するなど、独自の取り組みも進めている。
初日の12月16日には、学生だけでなく広く情報セキュリティに興味を持つ参加者を募って「一般講座」が行われた。冒頭のあいさつに立ったセキュリティ・ミニキャンプ沖縄実施協議会 会長の長田智和氏は「今日、セキュリティは非常に大きな課題であり、社会的責任という観点からも、後手になるのは許されない状況になっている」と指摘。一般講座の内容は、こうした問題意識を反映したものとなった。
変わりつつある経営層の温度感
最初の講演では、「サイバーセキュリティ経営ガイドラインの解説」と題し、2015年末に公開された「サイバーセキュリティ経営ガイドライン」の概要とポイントを、IPA(情報処理推進機構)技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー長の小川隆一氏が解説した。
IPAが2016年5月に公表した「企業のCISOやCSIRTに関する実態調査2016」の報告書によると、日本ではCSIRTを作ったものの期待したレベルに達しておらず、あまり満足していないとする回答の比率が欧米に比べて高かった。「情報セキュリティ担当者の質的充足度が足りている」という回答も25%足らずとなっており、情報セキュリティ担当者の量、質ともに満足していない状況が明らかになった。
しかし小川氏によれば、このガイドラインの登場に加え、「情報セキュリティ白書2016」でも「経営層の参画が重要」と明言されたことにより、経営層のセキュリティに対するモチベーションやマインドが変わり始め、「セキュリティは経営マターではない」という雰囲気に変化が見られるようになっているそうだ。
小川氏は各項目を説明しながら、経営者も巻き込んだリスク管理体制の構築が必要だと説明。そして「リスクは日々変化し、新たになっていく。1年に1回というペースのISMSよりも短い頻度でPDCAを回していかなければならない」と指摘し、そのためにも経営層とCISO(Chief Information Security Officer)のコミュニケーションが重要になるとした。
また、サプライチェーンや系列企業、パートナー企業も含めたセキュリティ対策は「結構悩ましい問題」だという。あまり規則を厳しくすると“中小いじめ”につながる恐れもあるからだ。しかし同時に小川氏は、「ただし、サプライチェーンの弱いところからやられてしまう可能性があるという意識を持ち、BCPだけでなく、サイバーリスクにまで視野を広げてサプライチェーン管理を考える必要がある」と述べた。
さらに「日本人は予防はすごく頑張るが、事故が起こった後のことを考えない傾向が強い。だが、ことセキュリティに関してはそうも言っていられない」(小川氏)と警鐘を鳴らし、インシデント発生に備えたマニュアルを整備するだけでなく、実際に演習を行い、対応だけでなく情報共有や公開の手続きについても考えておく必要があるとした。
なお、IPAはミニキャンプ直前の12月8日に、同ガイドラインの具体的な実装方法を解説した「サイバーセキュリティ経営ガイドライン解説書」を発行している。小川氏は、こうした資料も参考にしながら、経営者のサイバーセキュリティへの取り組みをさらに進めてほしいと呼び掛けた。
空港でよくお世話になる「USB充電」にも落とし穴が?
一般講座では他にも、IPAの土屋正氏による「2016年版 セキュリティ10大脅威の紹介」や、チェック・ポイント・ソフトウェア・テクノロジーズの小林晋崇氏による「セキュリティ・レポートから読み解く対策」、沖縄県警察本部生活安全部生活保安課調査官兼サイバー犯罪対策室長の景山高樹氏の「サイバー犯罪の現状と対策」といった講演が行われ、2016年に被害が急増したランサムウェアを始め、モバイルデバイスを狙った不正アプリ、フィッシングサイトの手口と対策が解説された。
この中で土屋氏は、「10大脅威の中で順位は高くないが、脆弱(ぜいじゃく)性情報の公開に伴う悪用の増加には注意してほしい」と述べている。2016年はとうとう1年だけで1000件を超える脆弱性情報が公表されたが、「情報が公開されてから数日から半月もあれば、悪用が確認できる状況だ。従って、パッチが出たならばすぐに対応しなければならない。その前提として、自社システムにどのようなソフトウェアが入っているかを把握するとともに、定期的な脆弱性情報の収集を行ってほしい」という。
技術的な観点から興味深い講演を行ったのは、CCDS研究開発センター IoT脆弱性ユニット1 研究員の城間政司氏だ。同氏は「ファジング動向とUSBを介した脅威の紹介」と題し、脆弱性を発見するための「ファジング」と呼ばれるテクニックの解説と、USBメモリの悪用によってどの程度侵入が可能かについて、デモンストレーション動画を交えながら紹介した。
「ファジング」とは、あるソフトウェアに対してさまざまなデータを入力し、それがどのように処理されるかを見ることによって、バッファオーバーフローやメモリリークといった脆弱性の存在を明らかにするテスト手法の1つだ。1980年代から存在するテクニックで、セキュアな開発プロセスでも採用されているが、2014年、Heartbleedの脆弱性発見に用いられたことから、あらためて脚光を浴びている。
CCDSではIoT機器や重要インフラ、生活機器のセキュリティ検証に取り組んでおり、将来的にはテストベッドの設立も視野に入れている。その活動の一環として、ある音楽再生装置やカーナビゲーション製品を対象にファジングを行ったところ、再起動不能な状態に陥ることが確認できたそうだ。
ただし、やみくもにファジングを行っても、問題の特定と対策に直結するわけではない。コードの網羅率が高くなるよう効率的に実施する必要がある。そこでCCDSでは、「脅威モデルと連携してファジング用データ(ファズデータ)を生成し、テストの効率化を目指している」と城間氏は説明する。
もう1つのテーマである「USBメモリ」の脅威だが、「BadUSB」や「USB Killer」といった問題がセキュリティカンファレンスで紹介されているだけでなく、Stuxnetのような実際の脅威も登場している。これに対し城間氏が注目したのは、空港などのパブリックスペースで提供されているスマートフォンの充電サービスだ。
「充電サービスの中にはUSBアダプターケーブルまで提供しているものもある。ケーブルを持っていなくても充電ができて便利だが、その先に充電用以外のケーブルが接続されている可能性もある」(城間氏)。同氏はモバイル充電器サービスの脅威分析結果に基づいて、Lightning/HDMIアダプターケーブルを用いた不正充電のデモ機を作成し、壁の裏側から操作画面をのぞき見したり、UBSキーボードを用いて不正操作を行ったりできることを検証した動画を紹介した。
もちろん、こうした攻撃が成立するには、端末側の設定など幾つかの条件を満たす必要があり、現実に悪用される可能性は低い。しかし、「こうした攻撃経路もあり得ることを認識してもらい、セキュリティソフトの導入と、脅威についての教育、啓発を継続していく必要がある」と城間氏は訴えた。
次回は、より“ディープな”テーマに迫った「専門講座」の模様をお届けしよう。
Copyright © ITmedia, Inc. All Rights Reserved.