専門家が泣く、セキュリティ9つの誤解と現実

専門家が泣く、セキュリティ9つの誤解と現実 1

脆弱性、ウイルス、不正侵入で人生台無し、国が危ない…というニュースの連続ですが、現実のリスクはいかほどのものなのか? 専門家にセキュリティのウソ&ホントをずばり訊ねてみました。以下が回答集。小見出しは全部「ホント」の方です。

1. 強いパスワードで世のほとんどの攻撃は追っ払える

米Yahoo情報セキュリティ最高執行責任者のAlex Stamosさんは脆弱性を見つけ、ソフトウェアの穴をどう悪用するのか考えるのが仕事。極悪ハックから単純なソーシャルエンジニアリングによる詐欺まで、あらゆる手口のものを見てきました。そのキャリアでわかったのは、大体どのユーザーにも通用する簡単なソリューションがふたつあることです。ひとつは強いパスワード、あとひとつは2段階認証です。

マスコミは最もディープで最も高度なハックのことしか扱わないので、ユーザーも「自衛手段ゼロ」みたいに感じてしまう、そこが一番の問題であって、実はそうじゃないのだ、と氏。メールでこう答えてます。

スノーデン文書が表に出て以来、メディア、セキュリティ業界、一般社会に大きなニヒリズムが浸透しているのは肌で感じるよ。「安全にしたいと思ったって、どうせなんにもできないんだからさ」とみんなお手上げで降参してるような状況ね。ハードドライブのファームウェアを改竄できる一線の諜報機関に睨まれたら大抵の人は打つ手なしっていうのは確かにそう。でもだからといってユーザーが普通にある脅威に備えることもしないとか、セキュリティのプロたるものが現実的な敵からの防御に役立つ製品を作る気なくしちゃうというのでは困る。

以下2つのシンプルなステップで、一番よくある悪質な脅威は撃退できる。

1)パスワードマネジャーをインストールして、使うサービスごとに別々のパスワードをつくる。

2)メールやSNSのアカウントは2段階認証を有効にする(認証は普通、携帯でできる)。

特に後者は重要だ。なぜなら攻撃者は何百万人という人のメールとSNSアカウントを乗っ取って、それを自動で使って他アカウントへの足がかりにしたり、もっと実入りの大きい攻撃対象のアカウントを割り出す情報集めをやるからだ。

そんなわけなので、マスコミも脅威レベル最高段階で今こんな信じられないことが可能になっている、という話ばかり広めるのはいい加減やめて欲しいよ。大多数のシナリオでは自衛は可能なのだから。

シスコのマルウェア対策グループ主幹エンジニアのAdam J. O'Donnellさんもこの意見には禿同で、こう書いてますよ。

普通のユーザーに僕からのアドバイスはこう。きちんとバックアップをとって、それでテストすること。パスワード金庫使うこと。サイトごとに別々のパスワードを使うこと。

やっぱりパスワードを強化することは簡単な割に、効果絶大なんですねー。

2. 新しい端末イコール安全とは限らない

携帯もタブレットもノートも買ってすぐは新品の香りがして、バッテリー保ちも夢のよう。でもだからといってマルウェアや脆弱性がない保証はどこにもありません。

これは今回取材したエキスパートがみな口を揃えていた点です。国際現代メディア研究所(International Modern Media Institute)技術部長のEleanor Saittaさんは、政府・法人相手のセキュリティ顧問として10年以上のキャリアをもつ方ですが、その彼女も「端末は完全にセーフな状態で生まれ、だんだん安全性が落ちていく」というのがセキュリティをめぐる最悪の神話だと言ってました。そんなこと全然ないと。今はSuperfishのような脆弱なアドウェアを搭載して売ってる端末も多いですからね(レノボのノート多数みたいに)。

だからSuperfishは大事件だったんです。バックドアを中にこしらえて、しかもそれが本当にどうしようもないバックドアだったから、誰でも通り抜けられることがわかってしまった。

誰か第三者が配るソフト、自分のコントロール外のオンラインサービスやボックスを使う場合、自分の利益は後回しになると思った方がいいですね。こうしたものは、あなたを売り物にするから。誰かに買われたか侵入されたと思った方がいいです。現状、信用対策・管理のこれと言った良い手段もないし。あのコードはあらゆる種類の人たちに使われるでしょう。

もうひとつ、iOSのFREAK攻撃でここ数日マスコミを賑わしているのが、マシン本体にバックドアがプリインストールされてる問題です。こっちは政府の要請で仕込まれてます。警察や諜報機関の捜査目的で。そうは言っても、バックドア=脆弱性なので、その気になれば誰でも悪用できるのだとSaittaさんは言ってますよ。

ここは理解しておきたい大事なポイントですけど、携帯通信網なり暗号化システムなりに監視システムを実装した段階で、もう誰でも中に侵入できるのね。自分でシステムに脆弱性を実装したんだから、そりゃ多少はアクセスは統制できるでしょう。しかし所詮、バックドアはバックドア。誰でも通れてしまうんです。

3. 最高のソフトウェアでさえセキュリティの脆弱性はある

一般には「それなりに優れたソフトやネットワークなら完全にセーフ」と思われてます。だから使ってるサービスなり製品が攻撃に対して脆弱だとわかると、怒りもする。「安全なクルマが造れるんだから、安全な携帯が造れないわけない」、「科学と技術なんだから、しかるべき手立てはあるはず」と。

しかし、グーグルChromeセキュリティ部門を率いるParisa Tabrizさんに言わせれば、そういう目で情報セキュリティを見ること自体が間違ってるんだそうな。女史曰く、情報セキュリティは医学のようなもので、純然たる科学ではなく、アートとサイエンスの両面があるって言うんですね。なぜなら技術は人間が作ったものであり、その悪用に人間を駆り立てる動機はとてもサイエンスと呼べるものではないからです。こう書いてます。

情報セキュリティは医学にものすごく似てて、 アートでありサイエンスでもあるんです。技術もインターネットも人間が造ったものだからでしょうね。誰もが完全なものが造れると思った。でもいざ造ってみると、そのあまりの複雑さに、安全なんて望むべくもないものだった。セキュアに保つにはバグはゼロにすることが要求されるんですが、もうその段階で数の論理で、われわれに勝ち目はないわけですよ。防衛側は自分が作るソフト、使うソフト(OSまでカウントしたら数百万行いくのが普通)すべてのバグをゼロにしなければならないのに対し、攻撃者はバグを1個見つけるだけで済むんですからね。

ソフトウェアにバグはつきものです。こうしたバグの一部サブセットがセキュリティを弱めます。難しいのは、どのバグ潰しにリソースを投じるかの判断で、これは主に脅威の想定モデルをベースに行います。そこで犯罪者や監視者らの動機を知ることが重要になってくるんですよ。

「完璧にセキュアなシステムなんてものは存在しない」―こう書いてきたのは、ランド研究所コンピュータセキュリティ研究員のLillian Ablonさんです。防衛側の役目は攻撃を不可能にすることではない、「高価」にすることだ、というのがAblonさんの見方です。

攻撃側が充分なリソースを投じれば、必ず侵入の糸口は見つかります。よく企業のハックや情報漏えいを語るときに、こう言いますよね。「IFが問題なのではない。WHENだ(攻撃されるかどうかを問題にする段階はとっくの昔に過ぎている。いつ攻撃されるかを問題にしなければならない、という意味)」。私はむしろ、コンピュータセキュリティの目指すべきゴールは、採算割れで攻撃側の意欲を削ぐほどに代償(カネ、時間、リソース、研究など)を高くすることだと思ってます。

4. サイトとアプリは全部HTTPSを使うべき

さて、お次はHTTPS。これもいろんな噂が流れてます。「HTTPSは遅い」、「超セキュアなサイト限定のものだ」、「HTTPSなんてなんの効果もない」などなど。でもこれ全部ウソです。電子フロンティア財団(EFF)のPeter Eckersleyさんは、数年前からHTTPSの研究をしているテクノロジストで、同財団の「HTTPS Everywhere」事業を担当している方なんですが、昨今のHTTPS不要論は危険だと警鐘を鳴らしてます。

新聞や広告ネットワークのようなサイトの管理者の中には「うちはHTTPS要らないよね、クレジットカード決済扱わないし」、「アプリもHTTPSにしなくていい」と考える人がいるけど、あれは誤解も甚だしい。ウェブのサイトは全部HTTPSを使うべき。HTTPSにしないと、サイトの閲覧データもハッカー、盗聴者、政府の監視プログラムに筒抜けだからね。アプリで処理するデータも筒抜け。その気になれば、こうしたデータを悪い方に改ざんすることさえできてしまう。

ちなみにEckersleyさんは企業と投資関係はない(EFFは非営利団体)ので、HTTPSを宣伝してもなんの得にもなりません。ただユーザーの安全のことを思って言ってるだけです。

5. クラウドは安全ではない ‐ 新たなセキュリティ問題を生むだけ

今はなんでもかんでもクラウドです。メールもクラウド、写真もIMも診断記録も銀行明細も全部クラウド。クラウドはみんなが思ってるほど危険じゃないんですが、これまで思ってもみなかった新手のセキュリティ問題を生んでいることも事実です。大手クラウドコンピューティング企業で働くセキュリティエンジニアのLeigh Honeywellさんは、身近な家を例にとってクラウドの実態を解説してくれました。

家が持ち家なら、どんな安全対策を講じているのかは自分がすべて把握してます。鍵、警報システム、窓の鉄格子など。「家の外観を損ねるからそれはやめた」というなら、それも。

家がアパートなら、他の人が管理してたりしますよね。入り口には受付があって、各フロアにもカードキーがないと入れないとか。自分が前住んでたアパートはエレベータで階のボタン押すのにもカードが必要でした! 面倒だけど安全なことは確か。警備の人が住民の行動パターンを全部把握していて、不審者が入ればすぐに気づきます(当然勘違いもあるけどね!)。個々の家主より警備員の方がデータ量は多い状態。

クラウドにデータを置くのは、こういう警備つきアパートに住むようなものだというんですね。ただしもっと奇妙なアパートです。以下はHoneywellさんの話のつづき。

クラウドサービスでは、個々の人を狙う攻撃の流れを監視するのみならず、顧客全員のデータを関連付けることができます。データ保管場所への入室は制限しなくても、ビルの入口に365日24時間係員がいて、ログと利用パターンを見張ってる、ちょっと集団免疫に近い状態ですね。

防御側には瞬時にいろんな情報が入ってきます。いろんなアカウントにログインするIPアドレスがあって、一度もログインされたことのない国からログインされてて、しかも昨日、全アカウントにあるファイルが届いていた――これはまあ、悪玉ファイルで全アカウントが侵入されたってわかりますよね。

ですが、もっと攻撃対象を絞った侵入の場合、ここまでドカドカと足跡はつきません。情報が膨大にあるクラウドシステムの防御はいわば、干し草の山から針1本探すような途方もない作業です。「ビッグデータ」と機械ラーニングで全部なんとかなると盛んにもてはやされていますが、それだって、まだ攻撃側のあるかないかの足跡の表面がやっと見えてきたかなーという段階です。熟練の攻撃者は気配を殺して動く方法も熟知してるので、探知器を鳴らすようなヘマはしませんしね。

要するに、ボット攻撃みたいな目立つのはビビッとキャッチできるけど、クラウドの森は深く、隠れるのは前より容易になってしまったと…。だからこそクラウドサービスと自宅のサーバーを選ぶ際には、一番心配な脅威のことを重々考えるべきだとHoneywellさんは言ってます。

クラウドサービスは、パソコンにHDD繋いだり、家にメールサーバー置いたりするのに比べると、遥かに複雑なシステムです。故障が心配な場所も多いし、絶えず動いてるパーツが沢山ある。そのぶん管理の人も多いわけですが。重要なことは、自分でやる方がいいのか、それとも時間・カネ・技能のある誰かに任せた方がいいのか、じっくり考えること。「ハックされる」と聞いて咄嗟に浮かぶのは誰なのか。NSA? 暇つぶしのゲーマー? 前の仕事のパートナー? 私は何年もメールは自宅のサーバーで管理していたのですが、結局は外部でホストされるサービスに乗り換えました。Gmailの人もOutlook.comの人も知ってますけど、メールサーバー管理の腕にかけては彼らの方がずっと上です。時間もかかるし。メールサーバーの管理は滅入る作業ですからね! でもある種の人にとっては手間なりの価値はあるでしょう。NSAの監視が心配で心配でしょうがない人とか。

6. 身を守るにはソフトウェアのアップデートは重要

この世にアップデート通知のポップアップ窓ほど邪魔ちんなものはありません(今まさにこの文章を訳してたら出て再起動、訳が全部消えた)。電源に差し込んで、長いこと待たされたり。だけど、これが悪者と自分を隔てる唯一の防御壁のこともあるのだと、庇っているのはシスコのO'Donnellさんです。

あのソフトウェア・アップデートの通知は別に仕事の邪魔するためだけに出てくるんじゃない。ソフトウェアに目立たない穴があってシステムを乗っ取られる心配があるから、それを塞ぐためにアップデートが出る。その方が新機能追加のアップデートより多いんだ。検出・公開されて攻撃に晒される危険がある問題をパッチで塞いでくれるのさ。手にケガしたら消毒してカットバン貼るよね? 傷口を放置したまま何日も歩き回るような真似はしない。パソコンも同じ。

7. ハッカーは犯罪者ではない

ハッカーというと悪者イメージで見られがちですが、ご案内の通り、ハッカーにはホワイトハットとブラックハットの2種類あって、前者は後者より先に侵入して穴を探し、パッチで塞ぐ善玉です。グーグルChromeのTabrizさんがこうまとめてます。

ハッカーが犯罪者というのも誤解ですね。危害を加える方法を知ってるから、その人が必ず危害を加えると決まったわけではありません。物事をもっとセキュアにするハッカーも多いんです。

ソフトウェアだけでは防御できない、だからハッカーの力が必要なのだ、と力説しているのはシスコのO'Donnellさん。

セキュリティは壁を築くというより、警備兵を動かす作業に近い。ツールだけ作っても、リソースが豊富な専属ハッカーを止めることはできない。侵入を本気で仕掛ける人は、攻撃対象が買っていそうなセキュリティツールは片っ端から買って、攻撃対象のネットワークをシミュレートしたネットワークで攻撃をテストするぐらいのことはやる。これと戦うには、優秀なツールを揃えるだけじゃだめで、そのツールを使いこなせる優秀な人を揃えないといけないんだ。

「悪玉ハッカー=仮想敵ということは滅多にない」と言うのはランド研究所のAblonさんです。逆に、こうした脅威は疑いもしない人からくるもので、その動機も単なる窃盗なんていう単純なものじゃないのだそうな。

社内の人間、インサイダーも外部の人間並みに脅威です。意図的にせよ不注意にせよ、会社を機能停止に追い込むこともできます。さらに外部にはサイバー犯、国家予算の後ろ盾のある組織、ハクティビストなど、動機も能力もまったく異なる脅威が控えているわけです。たとえば米量販チェーン「Target」と米保険会社「Anthem」に侵入したサイバー犯とソニー・ピクチャーズに侵入した国家組織とでは動機、能力などまったく違う。

8. サイバー攻撃、サイバーテロはごく稀

いくら専門家が「糞パスワードこそ最大の脅威なり」と声を大に叫んだところで、死人が出るサイバー戦争の恐怖が人心から消えることはありません。ですが、Ablonさんによると、そうしたこと起こる確率は信じられないほど低いのだそうですよ?

世界中どこからでも車のシステムに侵入できる方法は、確かにあります。ペースメーカーやインスリン注入器のように人の命に関わる一部の機器に IPアドレスがあるのも事実だし、ブルートゥースで操作できるのも事実です。が、こうした攻撃は近くからアクセスしなければ意味がないことも多いし、開発と応用に時間がかかる、かなり高度な攻撃が要求されます。もっとも、何百万台という端末が繋がると(IoT)、それだけ攻撃される面が増えるというのは、目を背けてはいけない現実ですが。

基本的にサイバー攻撃を怖がる心理は、連続殺人犯を怖がる心理と一緒です。これほど怖いものはない。ただし、これほど起こらないものもまたないんです。

サイバーテロに関しては、Ablonさんはこうアッサリ書いてます。「サイバーテロは今日に至るまで一度たりとも存在した試しはありません。... 今サイバーテロと騒がれているものは、ハクティビズムに近いものです。CENTCOMのツイッターフィードを乗っ取ってISISのプロパガンダを流したり、そういうことですからね」

9. ダークネットとダークウェブは別物

最後にこちら。これは今のサイバー犯罪報道でAblonさんが一番気になる言葉の誤用なんだそうですよ?

「ディープネット」はインターネットの一部を指す言葉。具体的には、検索エンジンにインデックスされてないため、グーグルでアクセスできないワールドワイドウェッブ(wwwで始まるサイト)のことです。「ダークウェブ」とは「www」以外のネットワークで、ユーザーは別のソフトを使わないとアクセスできなかったりします。たとえばSilk Road、違法取引市場の多くは、I2PやTorといった[ダークネットの]ネットワーク上でホストされてますね。

以上です。さあ、みなさまも今日からパスワード金庫と二段階認証使って、HTTPSのサイトだけ使って、ダークネットから仕掛けられる超高度なサイバー攻撃のこと心配する毎日におさらばしましょう。ハッカーという味方もいることだし。

Annalee Newitz - Gizmodo US[原文

(satomi)