IPAは、「情報セキュリティ10大脅威 2017」を発表した。これは、2016年に発生したセキュリティ上、重大な影響のあった事例・事件を脅威候補とし、セキュリティ関連の研究者や企業のセキュリティ担当者から構成される「10大脅威選考会」が候補に対して審議・投票を行い、決定したものである。ランキング自体は、2017年1月に発表されている。

図1 「情報セキュリティ10大脅威 2017」(情報セキュリティ10大脅威より引用)

まずは、ランキングを眺めて気が付くことをいくつか指摘してみたい。個人・組織ともにランサムウェアの被害が2位となった。個人では、去年も2位であったが、法人で7位から急上昇している。ランサムウェアの脅威は、暗号化タイプの場合、データを暗号化してしまうことだ。組織では、共有フォルダの業務データが暗号化されてしまい、業務の遂行に多大な障害をもたらしてしまうことも少なくない。そのような状況から、身代金を支払ってしまう事例が多く、攻撃者に高い利益が発生している。

さらに、特徴的なことは、ランサムウェアに感染する方法の1つに、スパムメールの添付がある。そのほとんどが英文であることから、海外で猛威をふるうランサムウェアの余波が日本に到着していると推察される。しかし、余波にもかかわらず、非常に大きな被害をもたらしている。最近になり、日本語を使用した感染メールも登場してきている。今後、日本を標的としてくることで、被害の拡大が懸念される。

個人の1位は、インターネットバンキングやクレジットカード情報の不正利用であるが、この種の攻撃は、多くが個人向けである。そして、そのメールは日本語がほとんどであり、明らかに日本在住の個人を狙ったものと推察される。

組織の1位となった標的型攻撃による情報流出も、猛威をふるっている。2016年も大量の個人情報の流出や不審な通信の痕跡などが確認されている。

そして、2017年3月には資料が発表された。

図2 情報セキュリティ10大脅威 2017資料(情報セキュリティ10大脅威 2017資料より引用)

同資料は、以下の3章構成となっている。

第1章 情報セキュリティ対策の基本 スマートフォン編
第2章 情報セキュリティ10大脅威2017
第3章 注目すべき脅威や懸念

本稿では、興味深い、いくつかの項目について紹介したい。

猛威をふるうランサムウェア

やはり、2016年の大きな脅威となったのはランサムウェアであろう。感染経路であるが、主に2つが存在する。

  • スパムメールの添付ファイルから感染
  • Webサイトの動画などから感染(脆弱性を悪用)

前者は、注意力を働かせることで防げる可能性が高い。しかし、後者では非常に難しい。このあたりが、ランサムウェアの爆発的な感染の拡大の理由の1つであろう。

図3 ランサムウェアのイメージ(情報セキュリティ10大脅威 2017資料より引用)

そして、もう1つ注意すべきは、亜種・新種がきわめて多いことである。攻撃者にとっては、利益性の高い攻撃であるため、新規参入も多い。そのため、新種や亜種が作成されることが多い。つまり、従来のパターンファイル型の防御では防げない部分が存在する。これが、さらに状況を悪化させている。暗号化はそれなりのレベルで行われており、一般ユーザーが自力で復号することは、ほぼ不可能である。

このようなランサムウェアに対し、対策・防御策として何があるか。これまた、これまで同様の対策が有効なのである。

  • セキュリティ対策ソフトを導入し、つねに最新に
  • OS、アプリの脆弱性の解消

そして、以下の対策が有効となる。

  • 定期的なバックアップ

クラウドを使ったデータ保存サービスなどでは、世代管理を行うものもある。暗号化されても、される前のデータが残っている可能性もある。このあたりも活用したい。また、セキュリティベンダーでは、復元ツールを提供している。100%確実とはいえないが、試す価値は十分ある。この方法も、覚えておきたい。

いずれにせよ、ランサムウェアに対する知識も必要になる。感染し暗号化されて、その状況を把握できないと、より被害を拡大させかねない。ランサムウェアに対する理解も、求められている。

IoT機器を悪用したDDoS攻撃

個人で10位のIoT機器の不適切な管理、組織で8位のIoT機器の脆弱性の顕在化では、IoT機器を使ったDDoS攻撃が指摘されている。具体的には、Miraiという名称のDDoS攻撃である。これは、Linuxが動作するPCをボット化するウイルスがベースであるが、この攻撃では、ネットワークカメラや家庭用ルータなどが悪用された。最近はネットワーク接続可能な機器が増えている。そのような機器をIoT(Internet of Things)機器と呼称する。Miraiは、IoT機器を狙った攻撃といえる。

図4 IoT機器を悪用したDDoS攻撃のイメージ(情報セキュリティ10大脅威 2017より引用)

現在では、情報家電、オフィス機器、医療機器、自動車、産業用設備・機器、制御システムなど、多くの機器がネットワークに接続可能となっている。それを悪用することで、これまでにないレベルのDDoS攻撃を行っている。具体的には、脆弱性の悪用などもあるが、今回、注目されたのは、初期パスワードをそのまま使用している点である。

IPAの指摘でも、ネットワークカメラのような機器の場合、セキュリティ対策を行う必要性について、意識がほとんどない。設置を行い、動作が確認されれば、あとは放置状態となることがほとんどである。そこを攻撃者が狙ったのである。

Miraiでは、多くのネットワークカメラが攻撃者に乗っ取られ、DDoS攻撃の踏み台として悪用された。結果、大手のSNSや通販サイトなどが、数時間にわたり接続困難になるといった障害が発生した。 対策であるが、個人・組織ともに以下があげられる。

  • 情報リテラシーの向上
  • 初期パスワードの変更、もしくは、パスワードの設定
  • 外部からの不要なアクセスを制限
  • 不要な機能やポートの無効化
  • ソフトウェアやファームの更新

しかし、対策の一部は、ユーザーレベルによっては、困難なものもある。パスワードの設定・変更は必須としても、設定の変更や機能の無効化や更新作業は技術的に難しいこともありうる。そこで、IPAでは、IoT機器を開発する側に対しても、対策を提案している。具体的には、以下のようなものだ。

  • 初期パスワード変更の強制化
  • セキュアプログラミング技術の適用
  • 脆弱性の解消(脆弱性検査、ソースコード検査、ファジングなど)
  • ソフトウェア更新手段の自動化
  • 迅速なセキュリティパッチの提供
  • 不要な機能の無効化(telnetなど)
  • 安全なデフォルト設定
  • 設計の見直し(セキュリティ設計含む)
  • わかりやすい取扱説明書の作成
  • ユーザーへの適切な管理の呼びかけ

IoT機器のユーザーは必ずしも情報リテラシーが高いとは限らない。マニュアルやWebページなどで適切な管理を呼びかけることも重要と指摘する。こういった側面も忘れてはならないだろう。

今後、注意すべき脅威や概念

今回の資料のなかで、IPAは、近い将来において大きな脅威となる可能性のある事例を指摘した。

  • IoTにおけるセキュリティ脅威の顕在化:IoT 機器の大量乗っ取りと大規模DDoS 攻撃への悪用
  • TLSにおけるSHA-1の利用停止とその波紋:ハッシュ関数のSHA-2 への移行期に潜む脅威

簡単に紹介しよう。まず、IoTにおけるセキュリティ脅威の顕在化であるが、情報セキュリティ10大脅威 2017でもランクインしている項目と関連する。Miraiによる大規模DDoS攻撃は、セキュリティ設定・対策が完全ではない状態でネットワークに接続された多くのIoT機器の存在、そして、それらのセキュリティ対策の重要性が再確認された。

そして、今後、このようなIoT機器の普及は進むと予測される。前述したように、このようなIoT機器のユーザーは、すべてが高い情報リテラシーを保有しているとは限らない。そのような状況では、誰がセキュリティ対策を施すのか。かなり根本的な問題を含んでいる。当面は、メーカー側の対応が求められるだろう。しかし、それも限界がある。今後、このようなIoT機器の取り扱い、そしてセキュリティ対策は重要な要素となるだろう。

後者であるが、インターネット通信で盗聴・改ざん・成りすましを防ぐ方法の1つとして、SHA-1という暗号化方式が使われている。それが世代交代を迎え、SHA-2へと移行が進みつつある。

図5 SHA-1とSHA-2のイメージ(情報セキュリティ10大脅威 2017資料より引用)

その背景であるが、2015年にSHA-1に対する現実的な攻撃方法の可能性を示す新たな理論が発表されたことだ。つまり、SHA-1では、安全なTLS通信が行われない可能性がある。こういった経緯をふまえ、SHA-2への移行が進められている。しかし、以下の懸念が存在する。

  • 2017年以降も残るSHA-1証明書
  • 中間者攻撃の脅威
  • サポートと見せかけた攻撃に注意

詳細は、資料をあたってほしい。これ以外にも、参考になる内容が多い。ぜひ、一読をすすめたい。