ブラウザーの警告メッセージは意外に効果がある？　ほか

　7月のセキュリティの話題としては、Appleの開発者サイトに対する不正アクセスなどが注目を集めたほか、Microsoftが自社のアプリストアに登録しているサードパーティの開発者に対して脆弱性の修正を180日以内に行なうことを義務付けるポリシーを発表したことが、さまざまな意味で物議をかもしました。

　一方、日本国内では、省庁の職員が「Googleグループ」を標準設定のまま使用し、内部情報などを誰でも閲覧できる状態にしてしまっていたことが明らかにされ、省庁職員のセキュリティ意識の低さやサービス提供側の標準設定の問題などが指摘されています。また、「OCN ID」のサーバーに対する不正アクセスなども注目を集めました。

ブラウザーの警告メッセージは意外に効果がある？

　ソフトウェアの警告メッセージは無視されるのが当たり前で意味がないとする人は少なくありません。また、警告メッセージが無視されがちであることを示す研究も確かに複数存在します。ところが今回、そのような研究結果が必ずしも2013年の今の状況を正確に示しているとは限らないとする研究論文が発表されました。

　これはカリフォルニア大学バークレー校とGoogleの共同研究で、ウェブブラウザーが発する警告メッセージが無視される割合などを調べたものです。調査対象がFirefoxとGoogle Chromeに限定されているため、その時点で多少のバイアスがかかっていますが、警告メッセージのあり方について示唆するものがある結果となっています。

　今回の調査は今年5月・6月に行なわれ、FirefoxとChromeが発した計2540万5944回の警告メッセージに対してユーザーがどのような行動をとったかを調べています。なお、警告メッセージとしてはマルウェアやフィッシング、SSLに関するものとなっています。

　まず、無視される割合については以下のような結果が出ています。

　ChromeのSSL警告メッセージを無視する割合が高いことを除けば、全体として無視の割合が少なめであることが分かります。少なくとも「無視されるのが当たり前」とは言えないでしょう。

　また、ChromeのSSL警告メッセージが無視されがちな理由にはいくつかの要因が考えられますが、この論文では警告メッセージをスキップして当該ページにアクセスするために必要なクリック数が影響しているとしています。具体的には、Chromeが1回のクリックでスキップできるのに対し、Firefoxでは複数回のクリックが必要です。これは単にスキップを面倒臭くしているだけとも言えますが、このようにスキップするインターフェイスを「工夫」することで、警告メッセージが無視されなくなる可能性が高まるのではないかとしています。

　さて、この論文ではOSごとの違いなどについても調べています。表1が示すように、マルウェアやフィッシングについては、Linuxユーザーに警告メッセージを無視する傾向が若干ありますが、それでも全体としては無視する割合は決して高くありません。

表1

　次に各々のブラウザーの正式版と開発版などとの違いをまとめたのが表2です。これによれば開発版のユーザーに無視する傾向があることがあります。

表2

　一方、SSL警告メッセージについては、表3と表4が示すようにいずれのOSでも、またいずれの版であっても先ほど示したようにChromeの方が無視する割合が高いことが分かります。

表3

表4

　この論文の結論として、警告メッセージが実は意外に有効であり、インターフェイスの工夫で、より有効に機能させることができるのではないかとしています。実際にGoogleではこの調査結果を参考に警告メッセージのデザインに関する実験を始めたそうです。

　ウェブブラウザーに限らず、ソフトウェア開発者は警告メッセージについてあらためてインターフェイスを見直してみてもよいかもしれません。

「Cybercrime-as-a-Service」の実態

　サイバー犯罪に用いられるツールの販売や犯罪行為自体を請け負うサービスなどがビジネスとして成立するようになって久しいですが、そのような「Cybercrime-as-a-Service」の実態についてMcAfeeがまとめた調査報告書が公開されました。

　この報告書では、Cybercrime-as-a-Serviceを大きく4つに分類し、それぞれの具体的な内容や利用料などが紹介されています。

　なお、これらのサイバー犯罪に関わるビジネスは日々変化を続けており、このような報告書が公開された時点で、その内容は既に「時代遅れ」になっています。今回の報告書で紹介されている内容もあくまでスナップショットとして受け取る必要があることに注意してください。

1）Research-as-a-Service

　これはサイバー犯罪そのものではなく、その前段階にあたるもので、必ずしも違法行為とは言えない「グレー」なものに分類されます。具体的には、未公開のいわゆる「ゼロデイ脆弱性」およびそれを用いた攻撃手法を売るもので、専門のブローカーも存在します。この商売は、売る相手が公的機関や当該ソフトウェアのベンダーであれば、すでに正規のビジネスとして実質的に認められている状態にありますが、その一方で犯罪に使われることを承知の上で売買されるケースも当然ながら存在します。表1は一般的な販売価格です。

表1

　ほかにもスパム配信用に電子メールアドレスの一覧も販売されています。配信先については、居住している国や地域、職業などの属性によって分類されており、その分類によって金額も違っています。報告書内で紹介されている実例では、フランスの電子メールアドレス100万人分で495.49ドル、フロリダ州の住民のアドレス1000万人分で876.64ドル、米国の医師のアドレス70万人分で114.34ドルとなっています。

2）Crimeware-as-a-Service

　サイバー犯罪に使われるツールの販売やレンタルなどのサービスで、さらにいくつかに分類されます。

・Professional services
特注のツール開発を請け負うサービスや、スパムメールなどの翻訳サービスです。

・Malware services
文字通り、マルウェアそのものを販売するサービスです。

・Exploits
攻撃手法を販売するもので、報告書内で紹介されている実例としては、ウェブブラウザーのOpera 11.64の「アドレス欄の偽装」で200ドル、Opera 11.61の「遠隔からのコード実行」で600ドルといった金額が紹介されており、インパクトが強ければ強いほど金額も高くなっています。また、攻撃を隠蔽して検知されにくくするための暗号化サービスもあります。

3）Cybercrime Infrastructure-as-a-Service

　サイバー犯罪を実行する際に使われるインフラを提供するサービスで、DDoS攻撃に使われるボットネットのレンタルやマルウェア配布サイトなどに用いられるホスティングサービス、スパム配信用のメール中継サービスなどがあります。

　報告書内で紹介されている使用料の実例では、ボットネットで450ドル～999ドル、ホスティングサービスで1カ月あたり50ドル～400ドル、3000万通のメールを中継できるシステムで1カ月あたり1万3340.25ドルとなっています。

4）Hacking-as-a-Service

　これまで紹介した3つのサービスをまとめて、つまりサイバー攻撃を丸ごと請け負うサービスです。

・Password cracking services
パスワード破りを請け負うものでウェブから申し込みが可能です。例えば、特定の電子メールアドレスのパスワードが必要であれば、そのターゲットの電子メールアドレスと名前さえあればOKです。

・Denial-of-service
DDoS攻撃を請け負うもので、報告書内で紹介されている実例では、1時間～4時間の攻撃なら1時間あたり2ドル、5時間～24時間の攻撃なら1時間あたり4ドル、1カ月間の連続攻撃ならば1000ドル固定となっています。

・Credit card information
クレジットカード情報を販売するもので見積もり金額は表2の通りです。ほかにもオンラインバンキングのログイン情報なども販売されており、その金額は表3となっています。

表2

表3

　今回の報告書もあくまで「スナップショット」に過ぎませんが、サイバー犯罪の分業化だけでなく、パッケージ化もされており、金さえ払えば「誰でも」サイバー犯罪を行なえてしまう状況にあることがよく分かります。そして同時に、このようなビジネスにかかわることで、その背景にある反社会的組織と繋がりができてしまう危険性を深く考えずに「気楽に」「気軽に」サイバー犯罪を行なう者が増えることも確か。犯罪者を生まないために、このようなビジネスに対する取り締まりも重要ですが、それ以上に、世の中に対するより一層の啓発が必要でしょう。