海の向こうの“セキュリティ”

第92回

Google Safe Browsing APIは無意味? ほか

 4月はこの数年の中でも特に深刻なセキュリティの話題が連続した1カ月でした。

 中でも、OpenSSLの脆弱性「Heartbleed」は影響範囲が広く、海外のみならず日本でも実際に被害が発生し、一般のメディアでも取り上げられました。この脆弱性に関しては、NSAが諜報活動に使っていたとの報道があった直後にNSAが否定するなどの混乱があったほか、続けてDNSキャッシュポイズニング攻撃の危険性が増しているとする注意喚起がなされ、Heartbleedと組み合わせることで一段と危険性が高まることが指摘されました。

 その後、Heartbleedに関係した動きとして、The OpenBSD Projectのメンバーが、OpenSSLからフォークした新プロジェクト「LibreSSL」を立ち上げたほか、The Linux Foundationが、OpenSSLを含む基盤となるオープンソースプロジェクトを資金的にも人的にも支援するための新イニシアチブ「Core Infrastructure Initiative」をIT業界主要各社とともに設立したことを発表しました。

 Heartbleed以外にも、Apache Strutsの脆弱性が十分に修正されていなかっただけでなく、サポートが終了している古いバージョンにも影響するなどの混乱を生んだほか、Microsoft Internet ExplorerやAdobe Flash Playerのゼロデイ攻撃の話題もありました。

 このような大きな問題が立て続けに起きたためにすっかり影が薄くなってしまいましたが、長きに渡ってサポートされ続け、未だに多くの利用者がいるWindows XP(およびOffice 2003)のMicrosoftによるサポートが日本時間の4月9日をもって終了しました。

Google Safe Browsing APIは無意味?

 昨年6月に本連載で紹介したNSS Labsによるブラウザーのセキュリティ機能を比較した調査報告書の最新版を紹介します。

 前回は以下の5つのブラウザーのマルウェア防御機能を比較していました。

  • Apple Safari 5
  • Google Chrome 25/26
  • Microsoft Internet Explorer 10(IE10)
  • Mozilla Firefox 19
  • Opera 12

 今回は主に中国で使われている3つのブラウザーを加えた以下の8つのブラウザーについて、ソーシャルエンジニアリングを用いるマルウェア(socially engineered malware、以降SEMと略)に対する防御機能を比較しています。

  • Qihoo 360 Safe Browser 6.3.1.132(Proxy Version: 21.0.1180.89) ※中国製
  • Firefox 27.0.1
  • Google Chrome 33.0.1750
  • Internet Explorer 11.0.9600.16384
  • Kingsoft Liebao Browser 4.5.37.6837 ※中国製
  • Opera 19.0.1326.63
  • Safari 5.1.7(7534.57.2)
  • Sogou Explorer 4.2.6.10812 ※中国製

 SEMを使った攻撃とは、ソーシャルメディアや乗っ取った電子メールアカウント、偽のエラー/警告メッセージ、その他マルウェアをダウンロードさせようとだます手口などを組み合わせて行われるものを指しています。なお、いずれのブラウザーもWindows 8.1 Enterprise上で実行しており、Windows Defenderは無効にされています。

 前回のマルウェア防御機能の比較では、IEが最も優れており、それにChromeが続き、他のブラウザーを(比較にならないレベルで)圧倒している結果が出ていました。

 今回の調査で用いた657種のSEMに対するブロック率を比較した結果が図1です。前回同様、IEが断トツの1位ですが、その一方で、中国KingsoftのLiebao Browserが2位となり、Chromeよりも高い値を示しています。また、Operaが前回に比べてかなりの向上を見せている(Chromeベースに変わったためと思われる)のに対し、FirefoxとSafariは比較にならないレベルにまで落ちています。

図1

 次にブロック率の時間変化を比較したのが図2です。IEがSEM発生直後の時点で高いブロック率を示して安定しているのに対し、Chromeは最初の時点ではLiebao Browserを上回っているにもかかわらず、4日後には逆転されています。

図2

 また、ブロックできるようになる平均時間を比較したのが図3です。多くが24時間以内に収まっているのに対し、FirefoxとSafariの遅さは際立っています。

図3

 勝手な先入観から、中国製のブラウザーのセキュリティ機能には少々懐疑的だったのですが、少なくともFirefoxやSafariなどの世界中で一般的に使われているブラウザーよりマルウェア防御機能が優れているものがあるという結果は意外でした。

 次に、IEとChromeに限定し、ブロックの方法として、URL Reputationとそれ以外を使用している割合を示したのが図4です。これを見ると、Chromeのアンチマルウェア機能が、GoogleのSafe Browsing APIによるURL Reputation以外、厳密にはCAMP(Content-Agnostic Malware Protection、内容にとらわれないマルウェア防御)と呼ばれるDownload Protectionに強く依存していることが分かります。これはすなわち、GoogleのSafe Browsing APIの効果が極めて低いことを意味しています。ちなみにIEのURL ReputationはMicrosoft独自のSmartScreenです。

 Chromeのアンチマルウェア機能がCAMPに大きく依存しているという結果自体は前回と同じですが、Safe Browsing APIによるブロック率が前回の10%前後から数%に落ちていることもあり、今回の報告書では改めて「The Death of the Safe Browsing API」として強く指摘されています。Safe Browsing APIはFirefoxやSafariなどのChrome以外のブラウザーでも使われているほか、さまざまな形で利用されていますが、ブロックできるのがわずか数%に過ぎないとなると、もはや「ほとんど無意味な機能」と言っても過言ではなく、抜本的な改善が求められます。

図4

2013年のフィッシング動向

 Kaspersky Labは2013年におけるファイナンス関連のサイバー脅威に関するレポートを発表しました。今回はそのうちのフィッシングに関する部分を紹介します。

 2013年のフィッシングで最も多かったのはソーシャルメディアのアカウントを奪取することを目的としたもので、35%を超えています。続いてファイナンス関連が31%強、電子メールが23%強となっています。これを2012年の結果と比較したのが図5です。2012年で最も多かった電子メールが2013年に大きく減り、代わりにソーシャルメディアやファイナンス関連が増えています。ここに、攻撃者が狙う対象が変わって来ている状況がはっきりと現れています。

図5

 なお、31%強を占めるファイナンス関連の大半は銀行ですが、ここにはオンラインショッピングや支払いシステム関連(クレジットカードなど)も含まれています。

図6

 さらに細かく見ると、銀行に関しては1000を超える銀行がターゲットになっているにもかかわらず、最も多く狙われた上位25の銀行だけで6割近くを占めているといった偏りが見られています。

 また、支払いシステム関連では、PayPalが他を引き離して最も多く、4割以上を占めており、その後にAmerican Express、MasterCard、Visaの順で続いています。

図7
図8

 American Expressが比較的多いのは、米国が最も狙われていることからも分かります。ちなみに、日本は米国、ロシア、ドイツについで4番目に多く狙われているようです。

図9

 次にオンラインショッピングについては、Amazon.comが他を大きく引き離して6割以上を占めています。

図10

 利用者が多ければ多いほど狙われるのは当然ですが、露骨な偏りはそれだけでもなかなか興味深く見ることができます。この点は年ごとの変化を特に細かく追いかけてみたいところです。

Verizon「データ漏洩/侵害調査報告書」2014年版

 Verizonが毎年提供している「データ漏洩/侵害調査報告書(Data Beach Investigations Report、以降DBIRと略)」の2014年版が公開されました。DBIRは、Verizonが自社のみならず、世界各国の企業や公的機関などから集めたインシデント情報を分析した結果をまとめた資料です。

 昨年はVerizonを含む19の組織から集められた4万7000件を超えるインシデント、およびそのうちデータ侵害であると確認された621件に基づいていましたが、今年は母数が大幅に増えています。情報提供しているのは計50組織、調査対象のインシデントは6万3437件、そのうちデータ侵害と確認されたものは1367件です。また、調査対象は95の国や地域に及んでいます。さらに今回のDBIRでは、以前のDBIRを含めた過去10年間に渡るデータ侵害について分析した結果も紹介しています。

 今回のポイントとしては、多くのインシデントが基本的に9つのパターンに分類されるという点です。それをまとめたのが以下の3つの図です。

図16〜18

 インシデント全体で見ると、「Miscellaneous Errors」「Crimeware」「Insider Misuse」「Physical Theft/Loss」が上位を占めているのに対し、データ侵害については「Web App Attacks」「Cyber-espionage」「POS Intrusions」が上位を占めるなど、全く違った傾向を見せています。

 今回のDBIRでは9つのパターンのそれぞれについて詳細に解説しており、例えば、インシデントの発生からどれくらいの時間で検知されているか、インシデントの発生を内部で検知したのか外部からの通報で認知したのかといった点などが紹介されています。中でも注目すべきは、「Insider and Privilege Misuse」以外では外部からの通報で認知されるケースが圧倒的に多いという点です。このことからもインシデントに関する情報を受け付けて集約する体制の必要性が分かります。ちなみに、このような体制の中核を担うのがCSIRT(Computer Security Incident Respose Team)であることをここで改めて強調しておきます。

 一方、日本については図57が示すように「Cyber-Espionage」の被害が米国、韓国についで3番目に多い点に注目すべきでしょう。

 また、加害者側について分析した結果が図58と図59です。特定の国名は明記されていませんが、東アジアや東欧の国からの国家ぐるみの攻撃が多いことが示されています。

 これ以外に国や地域別の情報として紹介されているものとしては、「Payment Card Skimmers」の攻撃元に関するものがあり、ここではブルガリア、アルメニア、ルーマニアといった国名が上位に挙げられています(図53)。ちなみに被害者は米国が最も多いようです。

図53
図57
図58
図59

 今回のDBIRは国や地域ごとの違いよりも、個々の事象パターンについての詳細な解説が中心となっており、今までのDBIRとは少し趣が違っています。ただ、これまでよりも母数が増えている分、統計データとしての信頼性はかなり増しており、また、そもそも特定のベンダーの情報に偏っていないという点からも参照情報としては「お勧め」の報告書です。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。