海の向こうの“セキュリティ”

第84回

人気の(≒ダメな)パスワードトップ10 ほか

 8月は、デフコンなどのセキュリティイベントでこれまでにないものを対象とした脆弱性や攻撃手法が発表され、メディアでも大きく取り上げられました。中でも、トヨタのプリウスを運転手の意志に反して操作できてしまう攻撃手法や、LIXIL(INAX)のトイレを操作できるAndroidアプリの脆弱性はインパクトを持って伝えられています。また、.cnドメインに対して行われた大規模なDDoS攻撃やシリア電子軍によるニューヨークタイムズなどへの攻撃も注目を集めました。

人気の(≒ダメな)パスワードトップ10

 パスワードをどのような文字列で設定するかというのは、古くて新しい問題ですが、Google Appsによるイギリスの成人2000人に対するアンケート調査によれば、ペットの名前を使うケースが最も多く、全体の6分の1を占めることが分かりました。アンケートの結果は以下の通りです。

  1. ペットの名前
  2. 意味のある日付(結婚記念日など)
  3. 近しい人の誕生日
  4. 子供の名前
  5. 他の家族の名前
  6. 出身地
  7. 好きな休日
  8. 好きなサッカーチームに関連したもの
  9. 現在のパートナーの名前
 10. 「password」という単語そのもの

 全体としては「さもありなん」と思える結果ですが、いまだに「password」という文字列を使っている人がいるのには(分かっていても)ガッカリしてしまいます。

 この調査ではパスワードそのものだけでなく、パスワードにまつわるセキュリティ意識に関する調査も行なっています。それによると、全体の48%がパスワードを他人と共有しており、その傾向は女性の方が高いという結果が出ています。パスワードとひとくくりで言っても、その役割や重要度はまちまちなので共有が絶対にダメというわけではないですが、それにしても約半分というのは驚きです。

 また、6人に1人が他人のアカウントのパスワードを推測してアクセスしたことがあると回答しており、その相手として最も多いのはパートナー、次に多いのが元パートナーとなっています。さらに、10人に1人が同僚のパスワードを知っている、または推測できているとの結果も出ています。

 あくまでイギリス人を対象に行われたアンケートの結果であり、そのまま日本人にも当てはまるとは言い切れませんが、ユーザー本人にパスワード管理を任せることの難しさを改めて示す結果と言えるでしょう。

トレンドマイクロ、2013年第2四半期セキュリティラウンドアップ

 トレンドマイクロが2013年第2四半期に日本および世界で確認した脅威の概要をまとめた報告書を公開しました。報告書は日本語で書かれていますし、注目すべき主たるポイントについては紹介記事もありますので、詳細はそちらをご覧いただくとして、今回はこの報告書の中で、あまり注目はされないかもしれませんが、グローバル視点で眺めた時に目を引くポイントをピックアップして紹介します。

1)Androidアプリの脅威

 今回公開された報告書ではAndroidアプリに関してさまざまな切り口で紹介しています。その中で「不正アプリをダウンロードするリスクが最も高い国」と「アプリ使用によるプライバシー侵害リスクが最も高い国」には、どちらもこれまで一般的にPCのセキュリティなどで「弱い」とされていた国とは微妙に違う国の名前が並んでいます。

 まず、図1が示す「不正アプリをダウンロードするリスクが最も高い国」とは、スキャンしたアプリに対して「不正」と評価されたアプリの割合を国別に比較したものです。

図1

 次に図2が示す「アプリ使用によるプライバシー侵害のリスクが最も高い国」とは、スキャンしたアプリに対して「プライバシー侵害のリスクが高い」と評価されたアプリの割合を国別に比較したものです。

図2

 なお、上記2つはどちらも、アプリへのスキャンが少なくとも1万回以上確認された国に限定されています。

 両者の結果はどちらも、サウジアラビアが他の国と少々差を付けた形でトップ、それに東南アジアの国が続いています。これは、それらの国々におけるスマホの急激な普及を示していると言えるでしょう。

2)スパム

 スパムメールで使われる言語についてまとめたのが図3です。

図3

 上位に英語、中国語、ロシア語と並ぶのは当然として、その次が日本語であるというのは少々驚きです。数字としては1.94%なので日本語話者(日本人)の人口比で考えれば不自然ではないのですが、4位というのはかなり高い位置です。それだけ日本人でインターネットを活発に利用しているユーザーが多いということなのでしょう。

3)持続的標的型攻撃(APT)

 いわゆるAPTに使われたファイル形式をまとめたのが図4です。

図4

 意外な結果ではないですが、一般的に利用される「普通」のファイル形式のほとんどが攻撃に使われていることが分かります。

 調査対象が(当然ながら)限定されているため、この報告書の内容が世界全体の状況を正確に反映しているとは言い切れませんが、日本の状況を含め、読み応えのある内容になっています。一度は目を通しておくことをお勧めします。

EUの通信サービスで2012年に起きた重大インシデント

 ENISA(欧州ネットワーク情報セキュリティ庁)が、2012年に電気通信業界から報告された重大インシデント79件についてまとめたレポートを公開しました。

 ここで「インシデント」とは自然災害やシステム障害などを含み、いわゆるITセキュリティに限定されてはいません。また「重大」とは以下のように定義されています。

・1時間を超えて継続し、且つ影響を受けたユーザーが全体の15%を超えるもの
・2時間を超えて継続し、且つ影響を受けたユーザーが全体の10%を超えるもの
・4時間を超えて継続し、且つ影響を受けたユーザーが全体の5%を超えるもの
・6時間を超えて継続し、且つ影響を受けたユーザーが全体の2%を超えるもの
・8時間を超えて継続し、且つ影響を受けたユーザーが全体の1%を超えるもの

 この定義に従って報告された重大インシデント79件は、18カ国からのもので、残り9カ国からの報告はありませんでした(2013年7月1日にクロアチアが加わったので現在の加盟国数は28)。

 なお、対象となるのは以下の4つのサービスおよびネットワークです。

・固定電話の通話(PSTN、VoIP over DSL、Cable、Fiberなど)
・携帯電話の通話(GSM、UMTS、LTEなど)
・固定回線によるインターネットアクセス(Dial up、DSL、Cable、Fiberなど)
・モバイル回線によるインターネットアクセス(GSM、UMTS、LTEなど)

 これらのサービスおよびネットワークによって分類した発生件数の割合が図3-4(ほとんどのインシデントが複数のサービスに影響しているため、合算して100%にはなりません)、影響を受けたユーザー数の平均値が図3-5です。モバイル系のインシデント発生件数の多さ、影響範囲の大きさを示す結果となっています。

図3-4
図3-5

 次に、重大インシデントのうち、サイバー攻撃を含む「Malicious action」に起因するものは図3-9が示すように全体の8%です(原因が複数あるケースがあるため合算して100%にはなりません)。

図3-9

 また、インシデントの継続時間を原因ごとに平均した値を比較したのが図3-10です。2011年に比べて「Malicious action」に起因するインシデントの継続時間が大幅に短くなっていることが分かります。

図3-10

 インシデントの影響を受けたユーザー数の平均値を比較したのが図3-11です。「Malicious action」に起因するインシデントによる影響を受けたユーザー数が2011年比べて大幅に増えています。

図3-11

 この結果だけを見れば、「Malicious action」に起因するものは1割に満たず、長く継続もしないことから、「サイバー攻撃による被害や影響は少ない」と思われるかもしれませんが、このレポートはあくまで「重大」として報告されたインシデントだけをまとめたものであり、その裏には、「重大」の定義にはあてはまらないが必ずしも軽微とは言えない、報告されなかったインシデントが確実に存在しているということに注意しなければなりません。また、大前提として、対象が電気通信業界に限定されていることも忘れてはなりません。これらの前提を十分に理解した上で「数字を読む」必要があります。

 なお、これに関連してEUでは、8月25日から通信事業者に対して情報漏えいを検知した場合に24時間以内に各国当局に報告することが義務付けられています。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。