海の向こうの“セキュリティ”

第78回

パスワードは長ければいいというわけではない ほか

 2月のセキュリティの話題として、まず日本では「遠隔操作ウイルス」の容疑者が逮捕されたことが大々的に報道されました。その一方で、逮捕前の容疑者の私生活を隠し撮りした映像が放送されるなど、行き過ぎた報道のあり方に批判の声も上がっています。

 海外に目を向けると、ニューヨーク・タイムズをはじめとする米主要メディアやTwitter、Facebook、Apple、Microsoftなどの有名企業が立て続けにサイバー攻撃を受けたといった報道がありました。さらに、過去数年間に渡って米国企業などに対して行われたサイバー攻撃に中国人民解放軍が関与しているとする詳細な報告書を米Mandiantが発表し、国際的に物議を醸したほか、この発表に便乗した標的型攻撃 (日本をターゲットとしたもの) が報告されています。また、一連の米国企業へのサイバー攻撃の一部には東欧発信のものがあるとの報道もありました。

 韓国では、放送通信委員会と韓国インターネット振興院が、今年の下半期から韓国内で新たに発売されるスマートフォンにメーカーがマルウェア対策プログラムを標準でインストールするということで関連企業との協議がまとまったと発表しました。

パスワードは長ければいいというわけではない

 一般的にパスワード(パスフレーズ)は長い方が良いと言われています。確かに長い方が短いものよりは確率的に推測しにくくなりますが、実際には十分に長くても必ずしも安全とは限らないとする研究結果が発表されました。

 カーネギーメロン大学とMITの研究者らによる論文によると、長いパスワードとして使われる文字列の多くに共通して見られる特徴があるため、「Google Web Corpus」のような辞書を使えば、解読される可能性が6%から20.5%にまで上がるのだそうです。

 この論文では、「よく見られるパスワード」の形式として、まず「限定詞(冠詞)+形容詞+名詞」と「代名詞+動詞+副詞」が挙げられています。例えば、それぞれ「thehandsomeking(the handsome king)」や「sherunsfast(she runs fast)」のような文字列です。ほかにも、聖書からの引用、歌詞、映画のタイトル、ことわざもよく使われるようです。

 さらに、「o」(オー)を「0」に、「e」を「3」に置き換えるなどもすでに一般化しているため、必ずしも十分な複雑化とは言えないようです。

 この論文では英文(英単語)を前提にしていますが、基本的には他の言語でも同じ。確かに人間が容易に思いつき、かつ記憶できる文字列となると、ある程度一般性のある規則に従ったものになるのは致し方のない話。その規則をパスワードクラッキングツールに適用すれば、解読できるようになるのも当然でしょう。

 特に驚くに値する結果ではないのですが、パスワード認証というものが限界に来ていることを具体的に示すものの1つと言えるのではないでしょうか。

プライバシー保護で信用できる企業は?

 Ponemon Instituteが2012年末の15週間に渡って米国内の成人10万人以上を対象に実施したアンケートの結果をまとめたものを公開しました。アンケートでは、プライバシー保護に関して最も信用できると思う企業の名前を5社まで挙げてもらっています。ただし、最終的には6704人の回答に基づき、25の業種別に集計をしています。

 過去7年間の調査結果全体をまとめたのが次の表です。

過去7年間の調査結果

 このうち、2012年に上位20企業に新たに入ったのはMicrosoft、United Healthcare、Mozillaの3社です。また、逆にランク外になったのはApple、Googleなどです。

 業種別で見ると、ヘルスケア、消費財メーカー、銀行の3つが信用できるとされているのに対し、インターネット、ソーシャルメディア、非営利団体、玩具メーカーといった業界は信用できないと見なされているようです。

 今回の調査結果は、あくまで利用者が「信用できると思う(believe)」企業を挙げたものであり、本当に信用できるかどうかを示しているものではないことに注意が必要です。もちろん、信用できる「イメージ」も重要であることを否定するものではありません。

統計データのセキュリティベンダーごとの違い

 PandaLabsによる2012年の年次報告書が公開されました。この報告書で最初に目を引くのは、スキャンしたコンピューターの31.98%がマルウェアを保持していた(感染していたとは限らない)という点でしょう。3割以上というのはかなりインパクトがありますが、それでも2011年の38.49%よりは減っています。

 さて、このような一般的に見て注目される話題ではないのですが、少々気になる「数字」があったので紹介します。

 まず、PandaLabsが調べたマルウェア感染率の高い国(地域)を示したのが次の図です。

マルウェア感染率の高い国(地域)

 1位が中国、2位が韓国という結果は、一見すると多くの人が「さもありなん」と思われるのでしょうが、中国のマルウェア感染率、もっと広く解釈して踏み台などに悪用される割合は、最近の他の報告書では非常に少ないとされているのです。

 例えば、先月の本連載で紹介したKasperskyの報告書では、マルウェア配布サイト全体における中国の割合は2%に過ぎず、その理由を中国当局による対応や規制が強まったためとしています。

 また、Microsoftが2012年の上半期についてまとめた「セキュリティインテリジェンスレポート第13版」では、中国のマルウェア感染率が極めて低く、その理由を中国のみで感染を広めているマルウェアについてはMicrosoftでは検知できないからとしています。

 もちろん、それぞれの報告書をよく読めば分かるように、PandaLabsの報告書が、KasperskyやMicrosoftの報告書と致命的に矛盾しているわけではないですし、そもそも調査対象が違えば結果が違ってくるのも当然なのですが、見せ方によって随分と印象が違って見える典型例でしょう。

 ちなみに、PandaLabsが調べた感染率の低い国(地域)を示したのが次の図です。

マルウェア感染率の低い国(地域)

 マルウェア感染率の低い国として「常連」であるはずの日本が入っていないなど、よく見るといろいろと気になる点はあるものの、こちらは「そんなもんかな」という結果です。

 同じように印象が違って見える例として、F-Secureが発表した報告書「Threat Report H2 2012」についても触れてみます。

 F-Secureによると、2012年に新しく検出されたモバイルマルウェアのうち、79%がAndroid向けで、19%がSymbian向けとのことです。この数字を見て「あれっ?」と思った方もいるかもしれません。先月の本連載で紹介したKasperskyの報告書では、モバイルマルウェアの99%がAndroid向けであるとしており、今回のF-Secureの発表はKasperskyとは大きく違っているように見えます。

 しかし、この結果も実は互いに矛盾するものではありません。例えばF-Secureは、これに関して、単に検出数ではなく、マルウェアファミリーと亜種の数に注視しているとしています。

 つまり、どこまでを同種と数えるかという数え方が違うのです。当たり前と言えば当たり前です。

 各ベンダーが公開するさまざまな統計データは、どうしても数字ばかりが注目を集めてしまうのですが、その数字がどのように算出されたものかをよく調べることが大事ですし、また逆に、自分の訴えたいことを伝えやすい(≒自分にとって都合の良い見せ方をしている)統計データをうまく利用することを考えると良いかも知れません(苦笑)。

放送局の緊急警報システムの脆弱性

 最後にギャグのような事件ですが実は恐ろしい話題を。

 すでに一般のメディアでも報道されていますが、2月11日、米ミシガン州の放送局がサイバー攻撃を受け、「ゾンビ襲来」を告げる警報メッセージが流されるという事件がありました。

 今回は「ゾンビ襲来」という誰もが「イタズラ」と思えるメッセージであったため、実害はありませんでしたが、テロや自然災害といった現実的な内容であればパニックなど甚大な被害を発生させていた可能性があったことから、大きな問題となりました。

 今回の事件は、メッセージ発信に使用している機器のパスワードを初期値から変更していなかったことが原因とされていますが、これとは別に、米国内で広く使われている緊急警報システムの脆弱性が指摘されています。

 米セキュリティコンサルタント会社IOActiveの研究者が、緊急警報システムの主要ベンダーである「ある1社」の製品のうち少なくとも2つに、遠隔から侵入して偽メッセージを発信させることができてしまうという深刻な脆弱性が複数存在することを発見し、1月にそれらの脆弱性を修正するためのベンダーとの調整をUS-CERTに依頼したのだそうです。

 また、緊急警報システムの中には、インターネットに直結しており、この脆弱性を遠隔から直接悪用することができてしまう状態にあるものがいくつか存在していることも発見したそうです。

 いわゆる制御系のシステムもそうですが、今回の緊急警報システムのように、運用する側にサイバー攻撃の対象となる可能性や脆弱性対策の必要性があることが全く認知されていないシステムが、セキュリティ担当者の知らないところで導入・運用されている可能性がないとは言えません。改めて「外部と通信可能な(特にIPをしゃべる)機器」の存在を確認することが必要でしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。