海の向こうの“セキュリティ”

●2010年のセキュリティを振り返る

　2011年最初となる今回はまず、2010年の「セキュリティ」を振り返ることから始めます。

　2010年の日本では、Gumblar（ガンブラー）による被害が（2009年から）継続していたことや、公安の機密文書や海上保安庁の尖閣ビデオがネット上に流出したといった話題が注目を集めました。

　一方、世界に目を向けると、2010年は「Operation Aurora」に始まり、「Stuxnet」を挟んで、「WikiLeaks」で終わった1年と言えるかもしれません。

1）Operation Aurora

　GoogleやAdobe Systemsなどのいくつかの企業が中国からとされる攻撃を受けたのは2009年12月のことでしたが、その事実をGoogleが明らかにしたのは2010年1月。その当時から攻撃に中国政府が関与しているとの指摘があり、世界各国のメディアで報道されました。

　この話題に関連して印象的だったのは、いくつかの国の政府機関が、Internet Explorer（IE）の利用を控え、他のブラウザーを使用するようアナウンスしたことです。

　これは、この攻撃にIEの未修整（パッチ未提供）の脆弱性が使われており、しかも攻撃コードが既に公開されていたことから、ドイツやフランス、オーストラリアの政府機関が緊急に発したもので、政府機関がここまで踏み込んだ形で代替ソフトウェアの利用を促したというのは極めて珍しく、異例中の異例の対応だったと言えます。

　確かに、根本的な解決策がなく、使用を取りやめる以外に解決策がないケースは珍しくありません。それでも他のソフトウェアへの移行は、多くの一般ユーザーにとってかなり敷居の高いものであり、そのコスト（混乱を含む）は、特にブラウザーのような利用頻度の高いソフトウェアの場合、甚大なものになります。そのため、一般的には政府機関などの公的な機関がアナウンスする場合、可能な限り「軽減策」や「回避策」のみを紹介し、どうしても必要な場合に限り、「移行」をあくまで選択肢の1つにとどめた形で紹介するのです。

　とにかく、「ここまで言っちゃっていいの？」とかなり衝撃（？）を受けた話題でした。

■URL
　JPCERT/CC Alert（2010年1月18日）
　Microsoft Internet Explorerの未修正の脆弱性に関する注意喚起
　https://www.jpcert.or.jp/at/2010/at100004.txt
　クラウド Watch（2010年1月25日付記事）
　IEを使わないよう政府機関が呼びかけ－Google中国攻撃に使われた脆弱性の波紋
　http://cloud.watch.impress.co.jp/epw/docs/series/infostand/20100125_344668.html

2）Stuxnet

　かねてより専門家らによって指摘されて来たSCADA（Supervisory Control And Data Acquisition＝制御監視システム）への脅威が、映画の世界ではなく、より現実的な形で目の前に現れた衝撃は大きいものがありました。

　SCADAへの脅威が何年にも渡って指摘されて来た一方で、SCADAが実際に攻撃に曝されるなどとは思ってもいなかった人は少なくなかったのではないでしょうか。それは多くの制御系システムがインターネットとは切り離された閉じた独立したネットワーク内に設置されており、インターネットから直接攻撃を受ける可能性がほとんどないからだと思われます。

　しかし蓋を開けてみれば、Stuxnetの主な感染経路はUSBメモリー経由。インターネットに繋がっていなくても、このような外部記憶メディアからマルウェアに感染するというのは、大昔のフロッピーディスク経由でのコンピューターウイルスの感染と同じと言えば同じ。十分に想定されうるべき感染経路ですが、Stuxnetの存在が公になった後ですら被害が拡大し続けた点を見ても、いかにSCADAへの脅威に対する危機感が薄いかということがよく分かります。

　今回は幸いなことに人が死ぬような事態にまでは至りませんでしたが、それは単に運が良かっただけであり、今後はより一層の警戒が必要です。

　その一方で、人の生死につながる可能性のあるシステムに、単なるコストダウン目的で汎用のOSや汎用のアプリケーションソフトウェアを導入することのリスクについて、導入前にもっと真剣に検討してもらいたいのです。もちろん「特注」のものであれば安全というわけではなく、特注であればあったで、脅威に関する情報を得にくいというデメリットがあります。逆に汎用のものであれば、さまざまな情報を得やすいというメリットがありますが、同時に攻撃の対象となりやすいというデメリットがあります。いずれにせよ、システムの導入に際しては、そのシステムに対してどのような脅威がありうるのか今まで以上の危機感を持って検討し、万が一の事態に備えていただきたいと願うばかりです。

3）WikiLeaks

　WikiLeaksの存在は、本連載を読んでいるような方であれば、以前からご存知だったと思いますが、その存在が世間一般に知られるようになった事実は大きいと思います。WikiLeaks自体が今後どうなるかは分かりませんが、同じような「匿名性を確保した内部告発サイト」は今後も存在し続けることは間違いないでしょう。

　ところで、WikiLeaksが一般のメディアでも大きく取り上げられる中で、ふと考えた「もし（＝if）」があります。

　もしWikiLeaksがこれだけ大きく取り上げられたのが、もう1、2カ月早ければ、11月初旬に起きた「尖閣ビデオ流出事件」は随分と違ったものになっていたかもしれません。ビデオを流出させた海上保安官がWikiLeaksの存在を知っていれば、YouTubeに投稿はしなかったのではないかと思うのです。もしWikiLeaksに投稿されていたら……。後の想像は読者の皆さんにお任せします。

　いずれにせよ、WikiLeaksの存在が広く一般にも知れ渡ったことから、今後は日本でもWikiLeaksまたは同様の内部告発サイトに情報を流出させる事件が発生する可能性があります。その上で今後は、情報の漏洩を完全に防ぐことはできない、つまりすべての情報は漏洩する可能性があるという前提で、例えば、機密情報は（可能な限り）保存しない、またすべての情報に対して漏洩した場合の対応をあらかじめ検討しておくといったことが求められるのではないかと思います。

●2011年のセキュリティを展望

　次に2011年のセキュリティを展望してみます。

　2010年に引き続き、SNSを対象／媒介とした攻撃や、StuxnetのようなSCADAを対象とした攻撃が発生するであろうことは容易に想像できます。また、（恐らく誰もが取り上げるようなネタなので少々恥ずかしいのですが）2011年はクラウドコンピューティングとスマートフォンが最大のトピックとなるだろうと考えています。いずれも2010年に飛躍的に広まった（認知度が高まった）もので、既にセキュリティ上の問題も指摘されていますが、それらがより深刻な、より現実的な問題として顕在化すると思われます。

1）クラウドコンピューティング

　ここで取り上げる「クラウド」は、ユーザー側にシステムが構築される「プライベートクラウド」ではなく、一般的な「パブリッククラウド」を指します。

　実はクラウドに関しては非常に複雑な思いを抱いています。

　情報システム部の存在しない、単にパソコンにちょっと詳しいだけの社員が（技術的）セキュリティ対策を行わざるえないような中小企業の状況を目にすると、クラウドの利用を積極的に勧めたくなるのは事実です。しかし、その一方でクラウドのセキュリティ上の問題がどうしても気になるのです。

　一般的にクラウドでは複数のユーザーがさまざまなリソースを「共有」しています。個々のユーザーのデータは当然のことながらアクセスが制限され、権限のあるユーザー以外がアクセスできないようになっています。しかし、これがサービス提供者側の設定ミス、またはソフトウェアの脆弱性によって、本来の権限がないユーザーがアクセスできてしまう可能性があり、実際にそのようなインシデントが発生しています。

■URL
　How Google handles a bug report
　http://slashdot.org/~RichardDeVries/journal/225229

■関連記事
　・Google Docsに「挿入画像は誰でも閲覧可能」など3件の問題指摘
　　http://internet.watch.impress.co.jp/cda/news/2009/03/30/22962.html

　もちろんアクセス制御の不備・不具合による事故はクラウドでなくても発生しますが、クラウドの場合は、不適切なアクセスが組織内に限定されず、最悪の場合、全世界に公開されてしまう危険性もあるのです。

　また、機密情報をクラウドに置くことの危険性もあります。いくら契約で守られていても、クラウド事業者側に運用ルールや罰則規定が定められていても、クラウド事業者側にユーザーの情報を盗み見てしまう人間はどうしても出て来ます。これを完全に防ぐことは不可能でしょう。実際、2010年にはGoogleのエンジニアがGoogle Voiceの通信記録からユーザーの個人情報を調べ上げストーカー行為をしていたとして解雇された事件がありました。

■関連記事
　・海の向こうの“セキュリティ”　第49回
　　ユーザーの個人情報にアクセスしたGoogle社員解雇
　　http://internet.watch.impress.co.jp/docs/column/security/20101007_398483.html

　他にも、事業者側にデータが保存されていることから、司法機関の捜査令状がユーザーに対してではなく、クラウド事業者に対して出される場合もあります。実際、FBIがスパム送信者の逮捕に際し、容疑者のGoogle Docsのデータから証拠を集めていたことが裁判資料により明らかになったことがありました。

■関連記事
　・海の向こうの“セキュリティ”　第44回
　　FBIが容疑者のGoogle Docsから証拠集め
　　http://internet.watch.impress.co.jp/docs/column/security/20100513_366552.html

　つまり、クラウド事業者を押さえておけば、SF映画のような「超監視社会」も実現可能になるわけです。

　少々おおげさに書きましたが、現時点のクラウドにはどうしてもこのような危惧があるのです。

　ただ、これらの問題（の一部）は、まだクラウドが技術的な面でも法制度の面でも、まだ十分に「こなれていない」ためとも言えます。100％解決することはありえませんが、極めて近い将来に大きく改善すると期待しています。

2）スマートフォン

　ほとんどパソコンと変わらない機能を持ったスマートフォンは、今後ますます利用者を増やして行くでしょう。しかし、スマートフォンに感染するマルウェアが生まれるなど、セキュリティ上のリスクも、パソコンと同等、場合によってはパソコン以上に「危険」と言えるかもしれません。

　そのような中、スマートフォン用のセキュリティ対策ソフトも出始めていますが、そもそも一般のユーザーは、スマートフォンを単なる「高機能の携帯電話」としか思っておらず、セキュリティ対策が必要だとの意識がない場合がほとんど。特に日本の場合、「ガラパゴス」と揶揄される独自仕様の携帯電話が一般的であり、そのためこれまでは幸いなことにセキュリティ上のリスクを考える必要がほとんどなかったのです。

　ところが、iPhoneやAndroidといった国際的に広く利用されているスマートフォンの場合は、そうは行きません。少なくともこれまでの日本独自の携帯電話の感覚で使ってはいけないのです。この「意識の変革」にはまだ相当に時間がかかるのではないかと思います。

　しかし、たとえユーザーの意識が高まったとしても、スマートフォンの場合、問題はそう単純ではありません。パソコン並みの機能を持ち、同様のリスクをはらみながらも、現時点ではハードウェアの制限が大きいためにパソコンほどの自由度がないからです。例えば、セキュリティ対策として最新のOSに更新しようと思っても、ハードウェアの性能が足りないために更新が不可能、または更新することで性能が大きく落ちてしまう場合があります。この場合は最新機種に買い替えるしかありません。

　もちろんパソコンでも、古いパソコンでは最新のOSが動かないため買い替えるしかない場合がありますが、それでもメモリーの増設やハードディスクの交換などで「延命」させることができないわけではありません。ところが、スマートフォンの場合、そのようなハードウェアのアップグレードで対応することが極めて難しいのです。

　しかし、この問題はもう少しスマートフォンのハードウェアとしての性能が向上すれば、ある程度解決できると思います。こちらもクラウド同様「進歩に期待」したいところです。

　年始早々、ネガティブな展望ばかりでしたが、クラウドにしろ、スマートフォンにしろ、その普及を妨害または否定しているのではないのです。どちらもまだまだ「これから」のものであり、今回紹介したセキュリティ上の懸念（の一部）は黎明期・過渡期ゆえの混乱とも言えます。2011年は両者が攻撃の対象または攻撃の舞台に使われる可能性が高いですが、同時に大きく前進・改善する1年になると思っています。