海の向こうの“セキュリティ”

第79回

iOSのアプリは世間で思われているほど安全じゃない? ほか

 セキュリティに関連した3月の話題としては、Evernoteへのサイバー攻撃や米国立標準技術研究所(NIST)の脆弱性情報データベース「NVD」がマルウェア感染によりサービス停止していたといったものがありましたが、3月の話題としては何と言っても、3月20日に発生した韓国の報道機関や金融機関を対象にした大規模なサイバー攻撃でしょう。日本でも一般のメディアが大々的に報道しているように、規模と影響度の大きさから文字通り「サイバーテロ」と呼べる重大事件でした。

 また、韓国の事件とほぼ同時期にオープンDNSリゾルバーを悪用した「史上最大のサイバー攻撃」が行われたとの報道もありました。

Mandiant年次報告書「M-Trends 2013」

 米Mandiantが年次報告書「M-Trends 2013:Attack the Security Gap」を発表しました。この報告書では、最近の標的型攻撃の傾向について解説しており、図を多用して読みやすく分かりやすい作りで簡潔にまとめています。セキュリティ関係者であれば必読でしょう。

 この報告書でまず目を引くのは、企業がサイバー攻撃を受けたことを認知するのは、多くの場合、外部からの通報であるという点です。具体的には、自ら検知したのは37%にとどまっているそうです。

 攻撃手法が巧みになり、検知されにくくなってきていることはすでに常識となっていますが、それを裏付ける数字と言えます。

 次に注目すべきポイントは、侵入されてから検知されるまでの期間の平均が、2011年の416日から2012年は243日、つまり約4割も短くなっているという点です。これは検知機能が強化されてきたことを示すものとして喜ぶべきものではありますが、その一方で、この数字はあくまで平均値であり、実際には数年間にも渡って侵入が続いているケースはいまだにあるようです。

 さて、このレポートでは2012年の標的型攻撃に4つの傾向があるとしています。以下に簡単に紹介します。

1)外注先が踏み台になるケース

 昔からある話ですが、いくら社内のセキュリティを強化しても、外注先にVPN接続で社内ネットワークへのアクセスを「フルに」許可してしまえば、外注先のセキュリティレベルと同じレベルにしかなりえないという当たり前のことに気付いていない企業が多いようです。

2)対象企業のネットワークを事前に調査

 あらかじめ攻撃先がどういうネットワーク構成になっているかを調べて悪用できる弱点を把握しておくというのは「泥棒」の基本。サイバー攻撃でも同じということです。

3)一度やられるとずっとやられ続ける

 以前から言われていることですが、Mandiantが2012年に対応したインシデントのうち、38%が再度「やられた」ケースだそうです。また、かつての「被害者」に対しては、その後1000回以上に渡って再侵入の試みがあったことが観測されているようです。

4)昔ながらの「Drive-By」を捻って組み合わせた攻撃

 標的型攻撃というと、まず標的となる人物や部署などにメールを送りつけ、添付ファイルを開かせるというものが一般的です。しかし、この手法はあまりに知られ過ぎているため、最近は違った手口が使われてきているそうです。

 それは、対象となる人物(または部署)が日常業務として頻繁にアクセスする正規のウェブサイトを改ざんして、そのサイトにアクセスして来たユーザー(のPC)にマルウェアを感染させるというもの。いわゆる「水飲み場型攻撃(Watering Hole Attack)」と呼ばれる手法で、これならば、メールを送る必要がない上に、複数の対象企業の複数のシステム(PC)に侵入でき、一般的なフィッシング対策をすり抜けることができます。

 確かにこの方法の場合、たとえ「やられた」ことに気付いても、標的型攻撃を受けたとは思わず、一般的な「マルウェア配布サイトにアクセスしてしまった」インシデントとして処理される可能性が高いので、真の目的(標的型攻撃)が悟られにくくなるとも言えます。

 他にも、本レポートでは3つの事例を図解付きで分かりやすく紹介しています。また、標的型攻撃対策の成功事例として、企業内シーサート(CSIRT: Computer Security Incident Respose Team、レポート内ではCIRT:Computer Incident Respinse Team)の活動を4つに分けて紹介しています。ただし、ここで紹介されているシーサート活動のすべてをシーサート自身がやらなくてはならないというわけではなく、専門業者へのアウトソースや関連部署との連携など、それぞれの企業の実情に即した形で「機能」として有しておくことが重要です。しかし、シーサート自身がやるべきことも、もちろんあります。まず、現場とマネジメント層との間の仲介(言葉の違い、ギャップを埋める)を含む関連部署との連携・調整はシーサートに求められる重要な役割の1つです。そして、シーサートのコミュニティへの参加による情報収集/共有/交換は、シーサートとして欠かすことのできない役割であり、これが「成功」へ繋がる道なのです。

 繰り返しになりますが、最近の状況をとても分かりやすくまとめていますので、企業や組織でセキュリティにかかわっている人は、少なくとも一度は目を通しておくべきレポートです。

iOSのアプリは世間で思われているほど安全じゃない?

 iOSのアプリは(標準では)Appleによって審査されたものに限定されているため、「何でもあり(anything goes)」なAndroidアプリと比べて安全であると思われているかもしれませんが、必ずしもそうとは限らないとする調査結果が発表されました。

 モバイルセキュリティ関連企業である米Appthorityが、人気の無償アプリについてまとめた調査結果によると、iOSアプリの方がAndroidよりも、位置情報や連絡先といった個人情報にアクセスするなど、リスクのある振る舞いをするものが多いのだそうです。

 この調査では、iOSとAndroidのアプリのうち無償のものに限定して、「Business」「Education」「Entertainment」「Finance」「Games」の5つに分類し、各ジャンルで人気の上位10個のアプリ、つまりiOSとAndroidで合計100個のアプリについて、実際の動作を調べています。

 まず、ジャンルを分けずにiOSとAndroidの無償アプリ、それぞれ50個について「リスクのあるアプリの振る舞い(Risky App Behaviors)」をまとめたのが図1です。

図1

 iOS、Androidともに、外部とのデータのやり取りを暗号化していないアプリが大多数を占めているのが目立ちますが、iOSとAndroidで顕著な違いを見せているのは、連絡先などの情報(Contacts/Addresses)にアクセスするアプリが、iOSで半数を超えているのに対して、Androidでは20%にとどまっている点でしょう。また、居場所を追跡する(Location Tracking)アプリについてもiOSの方がAndroidよりも多めです。さらに、カレンダーにアクセスするアプリがAndroidでは0個であるというのも特徴的です。

 同じ「リスクのあるアプリの振る舞い」をジャンル別にまとめたのが図2です。

図2

 暗号化されていないデータのやり取りについてはいずれも高値安定でさほど差はありませんが、目立っているのは、Entertainment分野のアプリに、広告会社などとのデータ共有や居場所の追跡といった振る舞いが多い点。また、少々意外なのは、Business分野のアプリにカレンダー情報にアクセスするものがないという点です。

 今回の調査はあくまで「無償」かつ「人気」のアプリに限定されており、特に「人気」という点では、国や地域に差があることから、この調査結果がそのまま日本に適用できるとは限りません。また、そもそも「リスクのある(=危険な可能性のある)振る舞い」の有無を調べただけで、それが本当に危険かどうかは使い方次第の部分もあるので、この結果をもって一概に「iOSのアプリの方が危険だ」と判断するのは早計です。

 今回の調査結果は、「iOSなら安全」とは限らないという当たり前のことを示している一例に過ぎないと受け取るべきでしょう。

韓国に銀行における「ファーミング」対策

 韓国でもフィッシング/ファーミングによる被害が深刻なレベルで頻出していることから、各金融機関がそれぞれに様々な方法で対策を講じ始めています。

いずれも技術自体は特に目新しいものはないのですが、導入事例として紹介します。

1)パーソナライズイメージ

 KB国民銀行、外換銀行が導入したもので、本人だけが知っている(あらかじめ登録した)特定の画像をサイトに表示させることで偽物か否かを判断できるようにするというもの。

2)グラフィックス認証

 ウリ銀行が採用したもので、画像の順序をあらかじめ設定して記憶しておくというもの。ID・パスワードでの認証後にグラフィックス認証で本人確認。

3)個人用アドレス

 農協が提供するサービスで、ユーザーごとに個別の専用URLを用意するというもの。

 正直なことを言えば、これで本当にフィッシング/ファーミング対策と言えるのか? という疑問もわきますが、何事においても「失敗を恐れず」イケイケで進む韓国らしい話ですし、「導入実験」として見れば、とても貴重な事例と言えるかもしれません(苦笑)。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。