2014 年は、大規模なデータ侵害から Web の根幹に関わる脆弱性まで、さまざまなセキュリティ事案が発生しましたが、その中で重要度を判断するのは難しいことです。単に興味を引くだけの出来事もあれば、オンラインセキュリティにおける大きなトレンドを示す出来事もあります。過去の名残に過ぎない脅威もあれば、将来を指し示す脅威もあるのです。
この 1 年にオンラインセキュリティの世界で発生した 4 つの重要な事件を振り返り、そこから得られた(または得るべき)教訓と、来年予想される出来事を考察します。
Heartbleed 脆弱性および ShellShock(Bash Bug)脆弱性の発見
今年の春、Heartbleed 脆弱性が見つかりました。Heartbleed は OpenSSL の深刻な脆弱性です。OpenSSL は、SSL プロトコルと TLS プロトコルの最も普及している実装として、多くの有名な Web サイトで使用されています。攻撃者は、Heartbleed 脆弱性を悪用して、ログイン情報や個人データ、さらには復号鍵といった機密情報を盗み出し、セキュア通信を解読できる可能性があります。
続いて秋口には、Linux および Unix、さらには Unix ベースである Mac OS X の多くのバージョンに搭載されている Bash(シェルと呼ばれる共通コンポーネントの 1 つ)の脆弱性が見つかりました。
ShellShock または Bash Bug と呼ばれるこの脆弱性によって、攻撃者は、侵入先のコンピュータからデータを盗み取ることができるだけでなく、そのコンピュータを制御してネットワーク上の他のコンピュータにアクセスする可能性もあります。
Heartbleed 脆弱性と ShellShock 脆弱性によって、オープンソースソフトウェアのセキュリティに注意が向けられ、電子商取引で使われているきわめて多くのシステムの根幹に関わっていることが明らかになりました。ベンダー独自のプロプライエタリソフトウェアで脆弱性が見つかった場合は、そのベンダー 1 社が提供するパッチが必要になるだけです。しかし、オープンソースソフトウェアの場合には、膨大な数のアプリケーションやシステムに統合されている可能性があるため、管理者はさまざまなベンダーが提供するパッチを必要とします。ShellShock 脆弱性と Heartbleed 脆弱性では、パッチの提供状況や有効性について多くの混乱が発生しました。これを契機に、オープンソースの脆弱性に関して、MAPP プログラムのように足並みを揃えた対応の必要性が認識されることを願っています。
オープンソースプログラムでは、今後もこのような新しい脅威が見つかるでしょう。それらが攻撃者にとって新しい攻撃対象になる可能性がある一方で、最大のリスク要因はやはり、適切なパッチが適用されていない既知の脆弱性です。今年のインターネットセキュリティ脅威レポートによると、正規の Web サイトの 77 % で悪用可能な脆弱性が放置されています。したがって 2015 年は、攻撃者は Heartbleed 脆弱性や ShellShock 脆弱性を悪用すると共に、パッチが適用されていない多数の脆弱性をまんまと悪用し続けることでしょう。
組織化されたサイバースパイ活動とサイバー妨害工作の可能性: Dragonfly および Turla
Dragonfly グループは、2011 年にはすでに活動が確認されており、当初は米国とカナダの航空防衛企業を標的としていましたが、2013 年の初めに主にエネルギー企業に狙いを変えています。このグループは複数の経路で攻撃を仕掛ける能力を備えており、大掛かりな攻撃活動を実行して、産業用制御システム(ICS)機器メーカー数社のソフトウェアにリモートアクセス型のトロイの木馬を感染させました。これにより、攻撃者は、ソフトウェアがインストールされているシステムにアクセスすることができ、標的組織に侵入してサイバースパイ活動を実行する足掛かりができたのです。さらに、それらのシステムの多くでは、石油パイプラインやエネルギー網など、重要なインフラの制御に使用されるICSプログラムが稼働していました。これらの攻撃においてサイバー妨害工作は確認されませんでしたが、攻撃者が妨害工作を実行できる能力を持ち合わせており、いつでも攻撃を仕掛けることができたのは間違いありません。おそらく、攻撃の開始を待ち構えていたところで、実行前に中断したのでしょう。
また、Dragonfly は、標的の組織に侵入するために標的型のスパムメール攻撃や水飲み場型攻撃を実行していました。Turla マルウェアの背後にいるグループも、同様に多段階の攻撃戦略を用いており、スピア型フィッシングメールや水飲み場型攻撃を使って標的を感染させます。水飲み場型攻撃では標的を極度に絞り込んだ侵害機能が用いられ、特定範囲の正規の Web サイトを侵害して、事前に指定した IP アドレス範囲からアクセスした標的のみにマルウェアを配布していました。さらに、攻撃者たちは、重要度の高い標的のために最も高度な監視ツールも用意しています。ただし、Turla の動機は Dragonfly とは異なります。Turla の攻撃者は大使館や政府機関を標的として長期的な監視活動を実行しており、これはきわめて典型的なスパイ活動です。
Dragonfly の攻撃と Turla の攻撃のどちらにも、国家が支援している活動に見られる特徴があり、高度な技術力と豊富なリソースが認められます。これらのグループは、複数の経路で攻撃を仕掛けたり、多数のサードパーティの Web サイトを侵害したりできる能力を備え、サイバースパイ活動を目的としているようです。Dragonfly はさらに、妨害工作を実行する能力も備えています。
こうした攻撃は、ほぼ毎日観測される多数のサイバースパイ攻撃のほんの一例です。問題は世界中で発生していて静まる気配はありません。Sandworm などによる攻撃でも、多数のゼロデイ脆弱性が悪用されています。高度な技術リソースや潤沢な資金力を踏まえると、これらの攻撃は国家が支援している可能性が高いでしょう。
狙われたクレジットカード
盗んだクレジットカードやデビットカードのデータを闇市場で販売して儲けるために、こうしたカード類は犯罪者の格好の標的となっています。今年は、店頭レジ端末(POS)システムを狙って消費者の決済カード情報を盗み取る大規模な攻撃が何件も発生しました。米国が主な標的となった原因として、磁気ストライプのカードよりも高度なセキュリティを提供する、EMV(Europay, MasterCard, and VISA)と呼ばれる「チップアンドピン」方式のシステムが採用されていないことが挙げられます。攻撃に使用されたマルウェアは、決済カードの磁気ストライプから読み取られた情報を、暗号化される前に盗み取ることが可能です。この情報を使ってカードを複製することができます。EMV カードの取引情報は一回限りの暗号化が毎回行われるため、犯罪者が決済データの有用な部分だけを選んで別の購入に再利用するのは困難です。ただし、EMV カードも不正なオンライン購入に利用される危険性があります。
また、今年は、近距離無線通信(NFC)技術を利用して iPhone を「仮想財布」として利用する Apple Pay も開始されました。NFC とは、ハードウェアデバイスから近くにある別の物理オブジェクト(Apple Pay の場合は店のレジ)に、データを無線で送信する通信手段です。
NFC 決済システムは目新しいものではありませんが、多くのスマートフォンで NFC 規格がサポートされるようになれば、来年はこの技術を利用する消費者も増えると予想されます。NFC システムは磁気ストライプよりも安全性が高いとはいえ、依然として犯罪者に悪用される可能性があることには注意が必要です。ただし、犯罪者は個々のカードを標的とする必要があるので、今年米国で発生したような大規模な侵害や盗難は起きないでしょう。しかし、決済カードデータを安全に保管していない小売業者を NFC 決済システムが保護してくれるわけではありません。保管されたデータは、引き続き厳重に保護する必要があります。
法執行機関との協力体制の強化
最後は、よいニュースをお伝えします。今年は、国際的な法執行機関が、サイバー犯罪者の摘発に向けてオンラインセキュリティ業界との協力を深め、従来よりも活発かつ積極的に活動した事例が多く見られました。
Blackshades は、初心者レベルのハッカーから高度なサイバー犯罪グループにいたるまで、さまざまな攻撃者によって使用されている有名かつ強力なリモートアクセス型のトロイの木馬(RAT)です。2014 年 5 月、FBI、欧州警察組織、その他複数の法執行機関は、Blackshades(別名 W32.Shadesrat)に関連するサイバー犯罪活動の疑いで数十名を逮捕しました。今回の一斉摘発において、シマンテックは FBI と緊密に連携し、関与した容疑者たちを追跡するための情報を提供しています。
そのちょうど 1 カ月後、FBI、英国の国家犯罪対策庁、その他複数の国際的な法執行機関は、シマンテックを含め複数の民間パートナーと協力して、非常に危険な 2 つの金融詐欺活動、Gameover Zeus ボットネットと Cryptolocker ランサムウェアネットワークに対する大規模な摘発作戦を実行しました。この結果 FBI は、双方の脅威によって使われていた大規模なインフラを押収しています。
これらの摘発作戦を含めて継続的な取り組みは行われているものの、サイバー犯罪が一夜にしてなくなることはありません。長期的な成功のためには、民間のパートナーと法執行機関が協力を継続することが必要です。サイバー犯罪活動がますます急速に高度化していくなか、サイバー犯罪者を摘発して活動を停止させるべく、今後もこの協力活動が続くことを期待します。
以上が、2014 年のオンラインセキュリティにおける 4 大事件です。まだ 2015 年まで数週間あるので、もちろん新しい事件が発生する可能性もあります。しかし、将来何が起きようとも、シマンテックはお客様を保護することをお約束いたします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。