【やむことのないDDOS攻撃】
ボットネットによる絶え間ないサイバー攻撃の脅威
ボットネットによる絶え間ないサイバー攻撃の脅威
AsiaNet
73039
*2017年、CenturyLinkは1日に1億400万のユニークボットネットのターゲットを追跡
米ルイジアナ州モンロー、 2018年4月17日 - CenturyLink, Inc. (http://news.centurylink.com/ )(NYSE: CTL)が発表した新しい脅威に関するリポートは、ビジネス、政府、消費者はボットネットがもたらすリスクに一層注意すべきであるとしている。
2017年、CenturyLink のThreat Research Labsはサーバー、コンピューターからハンドヘルドその他のインターネット接続デバイスにまで影響を及ぼす、1億400万ユニークターゲット、1日平均19万5000のボットネット由来の脅威を追跡した。
CenturyLinkのThreat Research Labs責任者、マイク・ベンジャミン氏は「ボットネットは悪意ある人物が、機密データを盗み、DDoS攻撃を開始するための基本的ツールの1つ。世界的なボットネット攻撃の傾向と方法を分析することで、我々は我々と顧客のネットワーク防衛において、出現した脅威に備え、対応することができる」と述べた。
ボットネットとは?
【社会の生活インフラへの標的型攻撃】
発電所や鉄道も危ない、サイバー攻撃を受けやすくなった理由
企業や組織を狙ったサイバー攻撃が後を絶たない。サイバー攻撃の多くは、コンピュータウイルス(以下、ウイルス)を使う。社内ネットワーク(LAN)にメールなどを使ってウイルスを送り込んで業務パソコンを乗っ取り、情報を盗んだり、破壊活動を行ったりする。
特に、近年大きな脅威になっているのは、社会インフラを狙ったサイバー攻撃だ。過去には、発電所や鉄道、核関連施設などをウイルスが襲った。
社会インフラが影響を受けたサイバー攻撃の例
従来、社会インフラの制御ネットワークの仕様は事業者ごとに独自であり、非公開とされていた。また、インターネットのような外部ネットワークとは接続しないようにしていた。
このため、一般的なパソコンに感染するウイルスを使ったサイバー攻撃の影響は受けないとされていた。ところが近年では、制御システムの利便性の向上と引き換えに、サイバー攻撃を受ける危険性が高まっている。
その理由の一つが、制御システムの仕様のオープン化である。汎用的な製品やOS、標準プロトコルを採用するケースが増えている。このため、一般企業で利用しているWindowsに感染するウイルスの影響を、制御システムも受けるようになっている。前述の社会インフラを狙った攻撃で使われたとされる、SQL Slammer(スラマー)やBlaster(ブラスター)などのウイルスは、いずれもWindowsに感染するウイルスである。
もう一つの理由が、外部ネットワークとの接続だ。制御システムがインターネットに直接つながっていなくても、インフラ事業者の情報システムを通じて接続されているケースが増えている。
2003年1月に原子力発電所を止めたSQL Slammerや、2003年8月の信号管理システムに感染したBlasterは、いずれも一般の企業にも感染を広げたウイルスである。これらは、情報システム経由で、制御システムに侵入した可能性がある。
インターネットと全くつながっていなくても安心はできない。USBメモリーやモバイルコンピュータなどでウイルスが持ち込まれる恐れがあるからだ。イランの核施設を狙ったStuxnet(スタックスネット)は、その代表例だ。Stuxnetは、USBメモリーによってネットワークに持ち込まれたとされている。
Stuxnetが狙うのは、高速で回転する機器を制御するシステム。Stuxnetが確認された後の2010 年11 月、イランの核施設において、ウラン濃縮に使用する遠心分離器が、ウイルス感染によって稼働停止になったと報じられた。
このためStuxnetは、核施設を狙ったサイバー攻撃だったとして話題になった。StuxnetはWindowsで動作する。Windows などの脆弱性を複数悪用し、ユーザーが明示的に実行しなくても、感染を広げていく。
しかも、いくつかの脆弱性についてはセキュリティ更新プログラム(パッチ)が未公開だったので、パッチをきちんと適用していても感染する恐れがあった。
Stuxnetは、次のように感染を広げるという。まず最初に、USBメモリーなどを経由して、インフラ事業者などの情報系ネットワーク(通常の社内ネットワーク)に侵入。ネット経由で感染を拡大し、制御系ネットワークのWindowsシステムにも感染を広げる。
2017年7月に出現したStuxnetの動作イメージ
[情報系ネットワーク]
①USBメモリなどを経由してウイルスが感染する。
②ネット経由で感染拡大する。
③特定の制御ソフトを乗っ取る。
[制御系ネットワーク]
④悪質なプログラムを書き込む(制御装置PLC)
⑤不正な命令を送信する。
そして、ドイツのシーメンスが開発した特定の制御ソフトを乗っ取って、その一部を改変。同ソフトを使って、制御装置(PLC)に悪質なプログラムを書き込み、その装置が制御している工業機器を誤動作させる。2010年6月のウラン濃縮工場のケースでは、誤動作させる対象がウランを濃縮させる遠心分離器だった。
もちろん、インフラ事業者は万全のセキュリティ対策を実施している。だが、過去の事例が示す通り、社会インフラが被害に遭う可能性はゼロではないのだ。ネットワークにつながっている限り、どのようなシステムもサイバー攻撃の対象になる。例外はない。
社会インフラを支える制御システムの汎用化が進み、開発コストや運用効率が向上しているとのメリットはある。この動きは今後も続くだろう。だがその“対価”として、サイバー攻撃を受けるリスクは確実に高まっている。サイバー攻撃は、社会全体の脅威になっている。個々の企業の力で対応できる時代は既に終わっている。
国や産業界の垣根を越えてリスク低減策を考え、手を打つ必要がある。
▽重要所見
*急速に力強くITネットワークとインフラが拡大する地域は、引き続きサイバー犯罪行動の主要な発生源である。
- 2017年アジア太平洋地域の悪意あるインターネット・トラフィック量トップ5は中国、韓国、日本、インド、香港であった。
-ボットネットを支配する、最も多くのコマンド&コントロールサーバー(C2s)を抱えてているアジア太平洋地域のトップ5は中国、韓国、日本、インド、香港であった。
*強力な通信インフラを備える国と地域が知らぬ間にIoT DDoS攻撃のための帯域幅を提供する一方で、攻撃コマンドの量に基づいて、そうした国・地域が最大の被害を受けていた。
-ボット攻撃トラフィックの標的となった国のトップ5は米国、中国、ドイツ、ロシア、英国であった。
-感染したホストあるいはボット量におけるアジア太平洋地域のトップ5は中国、インド、日本、台湾、韓国、北朝鮮であった。
*Mirai(ミライ)とその変異形が引き続きニュース報道の焦点ではあるが、CenturyLink のThreat Research Labsは2017年、Gafgyt(ガフジット)攻撃による被害の増大と、攻撃期間の長期化を認めている。
*Mirai(ミライ)とその変異形が引き続きニュース報道の焦点ではあるが、CenturyLink のThreat Research Labsは2017年、Gafgyt(ガフジット)攻撃による被害の増大と、攻撃期間の長期化を認めている。
▽重要要因
*CenturyLinkは毎日1140億のネットフロー記録を収集し、1日に13億以上のセキュリティーイベントをキャプチャーし、稼働ベースで既知の5000のC2サーバーを監視している。
*CenturyLinkは1日に約120のDDoS攻撃に対応、抑制し、1カ月当たり約40のC2ネットワークを除去している。
*CenturyLink脅威認知の範囲と深さは世界有数の規模を持つCenturyLinkのグローバルIPバックボーンに由来している。この重要なインフラはCenturyLinkの世界的オペレーションをサポートし、脅威検知、セキュアログ監視、DDoS抑制、ネットワークベースのセキュリティーソリューションを含むCenturyLinkの一連の包括的なセキュリティーソリューションを提供する。
▽追加資料
*CenturyLink
2018 Threat Reportでのマイク・ベンジャミン氏の重要意見を聞こう。
( https://youtu.be/3U1aIJqejjs )
( https://youtu.be/3U1aIJqejjs )
*CenturyLinkがどのようにしてサイバーインテリジェンスを脅威状況の拡張見解を備えた次のレベルへと導くかを知ろう。(http://news.centurylink.com/2018-04-03-CenturyLink-takes-cyber-intelligence-to-the-next-level-with-expanded-view-of-threatscape
)
*IDCリポート「Securing the Connected Enterprise Using Network-Based Security」(ネットワークベースセキュリティーで接続された企業を守る)を研究しよう。(http://idcdocserv.com/US43638618 )
▽CenturyLinkについて
CenturyLink(http://www.centurylink.com/ )(NYSE: CTL)は、米国第2位の通信事業者であり、世界60カ国以上のグローバル企業にネットワークソリューションを提供している。CenturyLinkは、顧客体験に重点を置きながら、高い信頼性と安全な通信への高まるニーズに対応することによって、世界最高のネットワーキング企業となることを目指している。また、顧客の信頼できるパートナーとして、ますます多様化・複雑化するネットワークやITの管理をサポートし、顧客のビジネスを守るマネージドネットワークおよびサイバーセキュリティ・ソリューションを提供している。
CenturyLink(http://www.centurylink.com/ )(NYSE: CTL)は、米国第2位の通信事業者であり、世界60カ国以上のグローバル企業にネットワークソリューションを提供している。CenturyLinkは、顧客体験に重点を置きながら、高い信頼性と安全な通信への高まるニーズに対応することによって、世界最高のネットワーキング企業となることを目指している。また、顧客の信頼できるパートナーとして、ますます多様化・複雑化するネットワークやITの管理をサポートし、顧客のビジネスを守るマネージドネットワークおよびサイバーセキュリティ・ソリューションを提供している。
▽報道関係問い合わせ先
Stephanie
Walkenshaw
+1
720-888-3084
stephanie.walkenshaw@centurylink.com
Logo - http://mma.prnewswire.com/media/325657/centurylink_logo.jpg
Logo - http://mma.prnewswire.com/media/325657/centurylink_logo.jpg
(日本語リリース:クライアント提供)
福島原発の電気系統を破壊したのはスタックスネット
ウイルスソフトも意味がない新世代サイバー攻撃とは?
【IOT機器へのサイバー攻撃】~生活機器はネットにつながる時代~
IoT時代到来。でも、ホームシステムはいつから稼働するの?
2018.3.30 http://wedge.ismedia.jp/articles/-/12306
最近の家電関連の展示会に行くと、モノではなく、部屋を見せられることが多くなった。家電単体での機能ではなく、人の生活スタイルに合わせ、家電が動作することを示すためだ。例えば、駅に降り立つと家の空調が作動し始める。家の前まで来ると玄関照明は明るくなる。鍵は指紋認証。歩く方向へ灯りが付く。部屋に入るとAIスピーカーから、
「おかえりなさいませ。先ほど、奥様は社の用事で遅くなる。先に寝ていて欲しいとの伝言がありました。お風呂にしますか? 食事にしますか? 本日は、いいお魚が届いています。竹の子煮もできています」
「風呂は沸いている?」
「あと10分待って頂ければ、ご用意できます」
「では、風呂が先、それから食事。ビールも1本付けてくれ」
「かしこまりました」
こんな具合だ。
AIスピーカーの実際
2017年後半、Google HomeとAmazon Echoが導入され一気に認知が高まったAIスピーカー。ホームシステムを予感させるところもあり、注目を浴びた。しかし、今までリモコンで操作してきたことを、「声」で操作できるようにしただけという声も聞かれる。リモコンと違い、スマホ、AIスピーカーの場合、ネットを介するため、ホームシステムに近づいているのは事実。しかし、まだまだだ。ただ単に「して欲しいこと」をキーボードではなく、声で命令することができるようになっただけなのだ。このためスピーカーへの話しかけは「スピーカーへの呼びかけ」+「使用するスキル(アプリ)」+「して欲しいこと」で、ワンセットとなる。よく指摘される、「ヘイ、グーグル」とか「アレクサ」などは、ここから命令が始まることを宣言をしているようなものだ。本来理想とされるAIは、情報の入手、分析、そして考察、判断、処理ができるのだが、今は、人が処理まで指示している状態だ。
IoTでできること
IoT/ホームシステムで期待されるのは、3つある。「徹底した自動化」「カスタマイズ化」「連係化」だ。「自動化」が「時短」になるのは、おわかりいただけると思うが、使う時間が短いと言うことは「節電」も意味している。重要なのは「放ったらかせる」ことだ。人が途中で介在すると、本当の時短にならない。そこのため必要なのが「ビッグデータ」と「ノウハウ」を駆使することだ。これに対し「カスタマイズ」は、「プライベートデータ」の蓄積と活用と言える。こちらは「個人の快適さ」だ。良い例が夏に寝る時の温度。A氏とB氏で快適と感じる温度が5℃も違うのはありがちな話しだ。A氏が涼しいのが好きな場合、室温27℃でも、風を送り25℃の体感温度を実現させるなど、細かい芸当となる。「ビッグデータ」で作るのが「製品」なら、「プライベートデータ」で行うのがカスタマイズだ。IoT時代のサービスは、より個人の好みがクローズアップされる。難しそうに見えるが、スマホをみて欲しい。買った時は、同じスマホだったのに、人ごとに、外観も、中身も違うはずだ。それの白物家電版と思ってくれればよい。
家電「連携」とはなにか?
今、日本の家屋のほとんどは「省エネ」住宅。簡単にいうと「密閉度」が異様に高い。これは夏のエアコンの効率を考えてのことだが、日本住宅の密閉度は「北欧並」。ところが、この密閉度の高さと、生活の仕方が変わって、一般住宅の空気環境は悪化する一方、というと驚かれるだろうか?
室内空調の要素は、「二酸化炭素量」「温度」「湿度」「空気中の浮遊物」。浮遊物には、物理的に小さい「PM2.5」、その他「黄砂」「花粉」「アレルゲン」「黴菌」「ウイルス」「有機化学物質」などがあげられる。空調というのは、これら全てを人間が住む上で適切にコントロールすることだ。一番よい空調とも言えるのは自然の森で、植物が実に見事にコントロールしてくれる。実は、これを人工的にコントロールしようとすると大変なのだ。「二酸化炭素」だが、今の密閉度だと、まだ生命の危険にさらされることはないにしても、ちょっと狭い部屋だと、数時間で「頭がぼんやりする」レベルまで上がる。空調家電で有名なのはエアコンであるが、エアコンには二酸化炭素を統べる機能はなく、これは換気するしかない。ところが花粉の季節だと、花粉症の人は窓を開けたくないという矛盾にみまわれる。花粉を除去するには空気清浄機に頑張ってもらう必要がある。
また冬場、空気は乾燥する。女性なら肌の手入れも兼ねて、加湿機を作動させるところである。ところが温度が低いと、空気が保持できる水分量は減る。結局、大量の結露を招くことになる。高温多湿の日本は、空気中を浮遊するカビの胞子は、他の地域より多く、水と栄養素さえあれば、冬場でもかびる。ちなみに換気がしっかりしていない仮設住宅で天井一面がかびているのを見て、ぞっとしたことがある。密閉度が高いと、カビの浮遊量は直ぐ上がる。「アスペルギルス症」などカビ起因の病気が出てくることになる。これも温度が下がるのを感知して、除湿に切り替われば、カビの発生を抑えることができる。ところが生活習慣が変わり、都会では洗濯を部屋干しするのが主流。密閉度が高いため、逃げ場のない湿度は水となり、カビをますます増長させる。
これに対し、空調家電の基本機能を考えると、換気扇が二酸化炭素量と除湿、エアコンは温度管理と除湿、加湿器は加湿、除湿器は除湿、空気清浄機は浮遊物除去とバラバラ。外気の浮遊物の状態と換気のタイミング、温度と湿度の適切なコントロールなど、色々な連携が必要なのに家電は複合機能を持たない。となると、これこそAIによる家電連携が望まれる。「省エネ住宅」は、連携空調によりはじめて「健康住宅」になる。
ホームシステムの下準備
実用化されると便利なホームシステムだが、実用化までに克服しなければならない問題が幾つかある。1つめはネットへの常時接続だ。今用いられているのは「Wi-Fi」だが、Wi-Fiは大量の情報を流せるため、強い電波が必要とされる。微弱になると直ぐ切れてしまう。家の全部屋、十分な電波を届けるのは、ちょっと一苦労。場合によっては、中継時に電波増幅したりしたりする必要もある。コンセント数も問題だ。何より、接続の確実性をどう保証するのかは、大きな課題になる。
先月、パナソニックは、NTTとLPWA(Low Power Wide Area)の実証実験することを発表した。1つの手だと思う。しかし海外メーカーがWi-Fiでホームシステムを構築しつつある今、LPWAの入り込む余地は残されているのだろうか?お得意の「ガラパゴス化」になる可能性はどうなのだろうか?
また、家電にWi-Fiなどの通信システムを組み込むことが必要になる。家電の価格が高くなるか、何か機能が削除される可能性がある。その上、導入しづらいのも事実だ。例えば、注文住宅でホームシステムを入れたいとした場合、ハウスメーカーはかなり入れやすいですが、昔の流れを汲む工務店は、新システムは苦手なことが多い。
ホームシステムのビジネスプランは?
IoTが、いろいろなことに使えるのは分かってもらえたと思うが、ビジネスプランは、どう考えるべきなのだろうか? ホームシステムを入れるのに、まずお金が掛かる。次にネットの回線料。問題はそこからだ。実際は、サブAIと呼ばれる音声認識システムの使用料。そしてユーザーの要求するオーダーに従って、家電に指示を出す、クラウドの使用料が必要だ。インターネットはネット上にある情報はただで使えるというのが、元々の概念だったが、今はそうはなっていない。ただのゲームをインストールしたら、ハマってしまい、ゲーム内課金で小遣いがなくなったなんて話しも良く聞く。
数年前、ある家電メーカーから、このクラウドのユーザー使用料に5万円/月という値を聞いたことがある。瞬時に思ったのは「あり得ない!」だ。というのは、ホームシステムはエンターテイメントではないので、高い金額設定はあり得ないのだ。
総務省の統計データーによると、2人以上世帯の月平均支出額は、28万3027円/月。内、通信費は、1万3270円/月。実はこれ教育費の1万1062円/月を上回る。クラウド費を別に取るなら、数百〜千円台。電気料金の基本料金程度ならというのが、いいところだろう。
パナソニックはNTTとの共同実験で、NTTが有する「AIエージェントサービス」の使用も視野に入れるとしたが、最終的にどうなるのだろうか?
かかわる企業が増えれば、増えるほど、料金は高くなりそうだ。
ベンチャーの参入はあるのか?
では、視点を変えて、ホームシステムへベンチャーの参入はあるのだろうか? 分野によっては「ある」と思われる。具体的には「連携」を使うところだ。空調家電の連携は、家電メーカーも未だに手を付けていない分野。また連動に関する研究は、メーカーの研究報告の中にも出てきていない。むしろ、大学の環境工学科の方が基礎理論は、早く組み立てるような気がする。理論が組み上がれば、Wi-Fiだと、すでに実用化されているエコーネットライトで、家電に指示を出すことができる。あくまでも可能性だが、米MITから出たボーズのように、日本の大学発のベンチャーもあり得るのだ。
国が推すホームシステムHEMSは?
数年前から国が推しているホームシステムにHEMSがある。HEMSは、ホーム・エネルギー・マネージメント・システムのこと。太陽電池を組み合わせ、エネルギーを管理、最終的にはZEH(ゼロ・エネルギー・ハウス)につなげる考えだ。元々の予定では、2030年の新築一戸建ての内、50%はZEHになる。
その元になるHEMSだが、まだほとんど普及していない。私も2013年に導入しようと試みたが、2つの理由で断念した。1つ目は、前の項にある「Wi-Fi」の問題。2つ目は、収支が合わない。10万円前後ならと思ったのだが、太陽電池抜き、電気の節約だけで回収しようとすると、10年近く掛かる計算。さらに付記すると、節約はできても、面白くなさそう。前述の通り、便利でも、面白くなければ、高いお金は出せないのが人間だ。
ホームシステムは、各部屋の家電をネットでつなぐのがイロハのイだ。一端組んでしまえば、それに乗せて、いろいろなことができる。しかし、一番の問題は、それ自体に誰がお金を出すのかということだ。10万円で全てがつながり、めでたし、めでたしと言うならまだしも、100万円プラスなら、新築の家を建てる時でも考え込んでしまう。
普及のために必要なのは、理屈ではなく、魅力的な効果を見せること。同じ様に「コネクト(つながる)」システムにクルマがあげられ、こちらは順調そうだ。少なくともクルマは動くため、効果を見せやすい。つまり、それが「いいなぁ」となるとお金を出してもらえるのだ。ホームシステムは、今、飛び始めるステージに立っている。が、残念ながらまだ翼を持っているとは言えない状態だ。
IoTサイバーセキュリティの脅威を報告
~横浜国立大学とBBソフトサービス~
大学ジャーナルオンライン編集部
2018年3月31日http://univ-journal.jp/20009/
横浜国立大学とソフトバンクグループのBBソフトサービス株式会社は、IoT機器を狙ったサイバーセキュリティ脅威の一般消費者への影響を調査(2017年6月~2017年12月)。その最終報告書を公開した。
調査では、一般家庭を想定した「コネクテッドホーム試験室」で、国内で一般に販売されているインターネット接続機能のある家電、IoT機器などを設置。それらに対するサイバー攻撃、マルウェア(悪意のあるソフトウェア)の感染などを観測し、家庭のネットワーク環境にどのような影響を及ぼすか、また、将来におけるリスクと対応策などについて研究した。
調査によると、2017年7月は1日当たり約3.1万IPアドレスからのアクセス、1日当たり約1.9万IPアドレスからの不正侵入を観測。2017年11月には1日当たり約4.6 万IPアドレスからのアクセス、1日当たり約2.9万IPアドレスからの不正侵入を観測。11月に入って大幅な攻撃の増加を確認した。
LAN内部では、ルーター機器による隔離によって、現存するIoTマルウェアの感染を防いでいる状況を確認。しかし、守りの要であるルーター機器への侵入を許すとその限りではないことが確認された。また、「コネクテッドホーム試験室」での擬似攻撃実験では、生活環境で攻撃による影響(例:テレビや照明が勝手についたり消えたりする)が発生した際の恐怖感など心理的影響を与えることが可能であることも確認できた。
このほか、一般消費者向けの家庭内ネットワークを守るIoTセキュリティボックス製品の保護性能も調査。その結果、IoTマルウェアによるポートスキャンやフィッシングサイトへの誘導など、実在する脅威に対する一定の有効性が確認できたものの、マルウェア感染を防げないケース、感染の事実を検知できないケースも確認された。また、擬似攻撃などの未知の攻撃手法への対応は不十分な面も確認された。
研究グループでは、今回の調査結果から、一般消費者のIoTセキュリティ対策として、①家庭内のルーター機器、IoT機器の保護機能の強化、②IoT機器の通信の暗号化、認証機能の実装とガイドラインの整備、③IoTマルウェア対策への継続した評価の3つを提言。今後、IoT技術によって実現する高度ネットワーク社会において、一般消費者はそのリスクを前提とし、自衛のための知識や対策を検討する必要性を指摘した。
【感染は旧タイプからスタート!?】
型落ちの「IoT機器」を使い続ける危険性
2018年04月15日 11:15 http://blogos.com/article/290675/
「サイバーデブリ」の大量発生がもたらす事態
サイバー攻撃を目論むハッカーたちは、脆弱なネットワークを探している。
PCやスマホといった情報端末はもちろん、ゲーム機にテレビ、さらには白物家電や自動車まで、様々な機器がネットでつながる時代を迎えている。いわゆるIoT(モノのネット接続)化が進むが、それに伴うサイバーデブリの大量発生が社会問題を引き起こすという。デブリとは、壊れて散乱した破片や残骸を意味し、いわばガラクタである。
サイバーデブリとは、プログラム更新などの保守が実施されず、セキュリティ面が脆弱なまま使われ続けるIoT機器のことだ。これはネット上で容易に遠隔操作でき、サイバー攻撃者の操り人形として悪用されやすい。
情報セキュリティ大学院大学の後藤厚宏学長はこう話す。
「IoT機器を介したサイバー攻撃はすでに現実となり、2016年10月にはサーバー運営企業が攻撃を受けたことで米アマゾンなどの通信サービスが不安定となる障害が発生。同年11月にはドイツテレコムが契約者に提供するルーターが攻撃され、90万人に被害が及びました」それにもかかわらず、「国が何らかの規制を行うのか、業界側でルールを定めるのか、議論は始まったばかり」(後藤学長)という状況だという。現時点で可能な対策はユーザーの自衛のみで、古くなった機器を使い続けるのは避けるべきだ。さもなければ、知らぬ間にサイバー攻撃の加担者となるだろう。(金融ジャーナリスト 大西 洋平 写真=AFLO)
【IOTサイバー攻撃関連リンク】
【対策見直し本舗】
サイバー攻撃、その対策 意味ないかも
2018/3/28 6:30 https://www.nikkei.com/article/DGXMZO28644710X20C18A3X30000/
サイバー攻撃による企業の情報流出被害が相次いでいる。企業は不審なメールは開かないように呼び掛けたり、パスワードを定期的に変更させるなど対策を強化しているが、社員に負担を強いる割に効果が疑問視される対策が少なくない。情報セキュリティーの専門家らに取材した。
ハッカーがウイルスを仕込んだメールを、社員がうっかり開いてしまう被害が頻発している。多くの企業は社員が不審なメールを開かないように、模擬メールを送信するなど攻撃を防止する訓練を強化している。
IT(情報技術)部門は開封率を引き下げようと、2度、3度と訓練を繰り返す。回数を重ねれば開封率は下がっていくが、社員数が多い大企業ではゼロにすることは確率論的に難しい。ハッカーからすれば、開封する社員が1人いれば十分。誰かが開封するまで何度でもメールを送ってくる。開封率がゼロにならない以上、不正侵入を許してしまうリスクは訓練前とさほど変わらない。
情報セキュリティーのS&J(東京・港)の三輪信雄社長は「不審メールの訓練は開封率低下を目標にするのではなく、不審なメールに気づいてIT部門に報告する社員を増やすことを目的にすべきだ」と指摘する。IT部門に報告する社員がいれば全社員に注意喚起し、不審メールを監視強化して攻撃を防ぐことができる。
セキュリティーに詳しい情報安全保障研究所(東京都三鷹市)の山崎文明主席研究員は「メール訓練は役に立たない」と言い切る。山崎氏が勧めるのは、米グーグルや米マイクロソフトをはじめとするIT関連企業・団体が共同開発した「DMARC(ディーマーク)」と呼ぶ技術だ。
メール送信者のIPアドレスや電子証明書をもとに、実在する企業のメールアドレスを勝手に使う「なりすまし」を見破れる。ただ、ハッカーが「O(英字のオー)」を「0(数字のゼロ)」に変更するなど、本物と1字違いのメールアドレスを使う場合がある。これだとDMARCも検知できない。
メール関連のセキュリティー製品を販売する米プルーフポイントで、マーケティングを担当するアデニケ・コスグロフ氏は「1字違いメールアドレスの検知には、次世代のメール監視システムが有効だ」と指摘する。
社員が送受信するメールから、通常の状態を人工知能(AI)の機械学習で把握する。いつもは連絡のない相手からメールで突然、やり取りが始まるなど、不自然な動きがあると「異常」が起きている可能性があるとして知らせる仕組みだ。プルーフポイントをはじめとするセキュリティー企業が実用化している。
多くの企業が取り組みながら、情報セキュリティー専門家の大半が「何の意味もない」と口をそろえるサイバー攻撃対策もある。それは「メールの添付ファイルの開封に必要なパスワードをメールで通知する」もの。通常、添付ファイルの暗号化からパスワードを通知するまでの一連の操作をシステムで自動化する。
添付ファイルが第三者の手に渡っても、中身を盗み見られないようにする対策と位置づけられている。ただ、パソコンやサーバーがハッキングされてファイルを添付したメールが流出するのであれば、パスワードを知らせるメールも抜きとられると考えられる。ファイルを守る効果は薄く、受信者にパスワードを入力させる手間を増やしているだけという。
三輪氏は「パスワードはメールではなく電話で知らせたり、事前に会議で決めたりすべきだ」と主張する。「面倒だ」と訴える社員が多ければ、山崎氏は「ダウンロードサイトを活用してみてはどうか」と提案する。
ファイルをダウンロードできるウェブサイトのリンクをメールで知らせる方法だ。セキュリティーが確かなダウンロードサイトを選び、ダウンロードできる期間を短く設定し、ダウンロード回数も1回に限れば、ファイルが第三者の手に渡るリスクを抑えられる。
社内システムにログインするパスワードを2、3カ月に1回、社員に変更するように求める企業も多い。パスワードが外部に流出しても、頻繁に更新していれば第三者がログインできないので安全だ、と考えているためだ。だが定期的なパスワード変更は効果が薄いという指摘が出ており、総務省もセキュリティー関連の指針から「パスワードを定期的に更新しよう」という記述を3月にやめている。
米ノースカロライナ大学もシステム利用者に3カ月ごとにパスワード変更を義務付けていた。同大の研究チームが5万個のパスワードを分析した結果、更新時に一定の規則に従って少しだけ変更したパスワードが多く見つかった。
例えばパスワードに含まれる数字の「1」を更新時に「2」「3」と増やしていく。あるいは最後の文字を先頭に移動させる。頻繁な更新を義務付けると、利用者は忘れないように類推しやすいパスワードを設定していた。
研究チームが類推機能を持つソフトを使ったところ、更新したパスワードの4割を3秒以内に割り出すことができた。これでは定期的にパスワードを変更しても不正侵入を許してしまう。
山崎氏は「頻繁にパスワードを更新することは利用者の負担を増やすだけ。類推がしにくい長くて複雑なパスワードを設定すべきだろう。更新は必要ない。仮にするとしても1年に1回程度が限度だ」と指摘する。
三輪氏も「自分だけが理解できる文章をパスワードに設定すれば、長くても覚えやすい。定期的なパスワード変更に意味がないとは言えないが、防止効果について深く考えずに更新を義務付けるのはナンセンス」と強調する。
0 件のコメント:
コメントを投稿