text
インシデント対策
エンドユーザーが知っておくべきこと
1.フィッシングとは
金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを搾取する詐欺。「釣り」を意味する「fishing」が語源だが、偽装の手法が洗練されている(sophisticated)ことから「phishing」と綴るようになったとする説がある。
代表的な手口は以下のとおり。
メールの送信者名を金融機関の窓口などのアドレスにしたメールを無差別に送りつけ、本文には個人情報を入力するよう促す案内文とWebページへのリンクが載っている。リンクをクリックするとその金融機関の正規のWebサイトと、個人情報入力用のポップアップウィンドウが表示される。メインウィンドウに表示されるサイトは「本物」で、ポップアップページは「偽者」である。本物を見て安心したユーザがポップアップに表示された入力フォームに暗証番号やパスワード、クレジットカード番号などの秘密を入力・送信すると、犯人に情報が送信される。
URLに使用される特殊な書式を利用して、あたかも本物のドメインにリンクしているかのように見せたり、ポップアップウィンドウのアドレスバーを非表示にするなど非常に巧妙な手口を利用しており、「釣られる」被害者が続出している。
対応策としては、送信者欄を信用しない、フォームの送受信にSSLが利用されているか確認する、メールに示された連絡方法(リンクなど)以外の正規のものと確認できている電話番号やURLなどから案内が本物かどうかを確認する、などが挙げられる。
1ー1.ワンクリック詐欺
メールを使用していると、どこからメールアドレスを入手したのか出所不明なメールを受信することがある。Webページを開設している場合は、管理者への連絡先としてメールアドレスを公開しいるとSPAM業者の格好の餌食となる。本節では、SPAMメールを起点としたフィッシングを紹介する。
日本国内の場合、SPAMというとたいていの場合は出会い系とかアダルトサイト系の内容に特化したものが多い。これは、男性・女性・年齢に関係なく配信されている。
下記のリンクをクリックすれば、お宝映像をご覧いただけます。
こんな文言のメールを見たことがないだろうか。
多くの場合、ワンクリック詐欺のWebページへと誘導する『餌メール』というものだ。気になるからと、クリックするのはやめた方がよい。心当たりがないのであれば、無視をするのが賢明だ。SPAMメールというのは配信している業者の立場からしても、無視されるのが前提だ。配信した何割かが何らかの反応をしてくることにターゲットを絞っている。そのため、配信数をとにかく増やして結果として顧客数を増やしていくのがねらいだ。
メールに記載されていたURLでWebページへと誘導し、ページ中の画像やリンクをクリックしただけで料金を請求する『ワンクリック詐欺』が横行している。情報処理推進機構のによれば、ワンクリック詐欺に関する相談件数は2005年頃から急増し、2006年の5月段階では月200件以上の相談が寄せられているという。
(1)ワンクリック詐欺増加の要因
主要なものの1つに、ワンクリック詐欺を試みる組織が工夫が考えられる。
かつては、ページ中の画像やリンクを1回でもクリックすれば料金請求の画面が現れる、至って単純なものだった。対策としては単にクリックをしさえしなければ良かった。
しかし、最近では、正規の契約のページのように1回のクリックでは契約成立とはしないで、年齢確認のダイアログを表示して[OK]ボタンをクリックしたら登録完了と料金請求の画面を表示させる。このようにすることで、誤って確認画面で[OK]ボタンをクリックしてしまったと錯覚させて、料金を支払わなければならないと誤解させるのが常套手段となっている。
一般的に確認画面が表示されて[Yes]か[No]のボタンをクリックしなければならない状況では、たいていの人間は[Yes]をクリックしてしまう。これは日本人だけに限らず、欧米人でも同じ傾向がある。人間のセキュリティホールをついた巧妙な方法とも言える。
(2)ワンクリック詐欺の最近の手口
基本的に相手に『言い逃れが出来ない』、『逃げ切れない』と思わせるのがこの種の詐欺の常套手段だ。代表例としては、個人情報を収集するプログラムが動作しているように見せかける手口がある。
年齢確認や同意確認のダイアログで[OK]ボタンをクリックすると『プロバイダ情報取得中』とか『個人情報収集中』といった文言が書かれたダイアログが表示される。ダイアログボックス中ではプログラムが実行されている事を思わせるプログレスバーが増加していき100%に達すると、閲覧者のOSの種類やIPアドレス、利用しているプロバイダ名称などを表示した画面に切り替わる。
タネを明かすと、ダイアログボックスのプログレスバーはFlashやアニメーションGifなどの動画を表示させているだけで、実際にはプログラムは実行されていない。かつては、実際にプログラムを閲覧者のPCにダウンロードさせて自動実行させる手口があったが、現在ではウィルス対策ソフトなどがプログラムの実行を阻止するので最近では使われなくなった。次に閲覧者の情報取得だが、これはJavaScript等の閲覧者のブラウザソフト上でのみ実行されるスクリプト言語使って画面に表示させているだけの昔からあるジョークプログラムの手口を流用しただけなので、問題はない。
そもそも閲覧者の情報とはいえ、OSの種類やIPアドレス、利用しているプロバイダ名称程度の情報は通常のWebアクセスで取得される情報で、そこから個人を特定することは通常ではあり得ない。殺人事件などの捜査で警察が捜査令状を手にプロバイダに乗り込むような状況でない限り、この程度の情報で個人を特定されることはないことを覚えておこう。
(3)ワンクリック詐欺での注意点
ワンクリック詐欺のサイトでは、『間違って登録した場合はこちらまで連絡してください』とメールアドレスや電話番号を表示している場合が多い。これは、なんだかおかしくないだろうか。明らかな詐欺行為を目的として閲覧者を誘導して詐欺にかけているのにもかかわらず、わざわざ救済するのだろうか。せっかく捕まえた獲物をわざわざ解放する道理がどこにあるのだろうか。
『フィッシング』だけにバスフィッシング同様に ”キャッチ・アンド・リリース” ということはあり得ない。明らかな罠と考えておいた方がよい。
書いてあることは一見したところ親切な対応のように思えるだろうが、連絡しても契約を取り消すどころか料金を支払うように説教されたり、個人情報をたくみに聞き出されたりするので、決して連絡を取るようなことはしないでいただきたい。
従来ならば、ワンクリック詐欺サイトといえば、出会い系サイトやアダルトサイトと相場が決まっていたものだが、最近ではこの図式は成り立たなくなりつつある。有名な例では『芸能界の裏話教えます』、『確実に儲かる投資情報教えます』といった文言の詐欺サイトが増えつつある。とくに、『芸能界の裏話教えます』といったサイトは検索エンジンで芸能人の名前を検索すると上位の検索結果として表示されるので特に注意が求められる。
1ー2.国内でのフィッシング被害
日本ではあまり報道はされていないが、『フィッシング詐欺』が大きな問題になりつつある。
現在のところ、日本国内ではネットオークションのユーザーIDとパスワードを盗み出してオークション詐欺に悪用することが主流となっている。ネットオークションを利用されている方は是非注意していただきたい。
ネットオークションのIDを盗み出す手口としては、ネットオークションの運営企業から送られてきたように見せかけた偽メールで偽のWebサイトに誘導して個人情報を入力させる方法だ。この手法は2003年頃に米国を中心には流行しだし、現在でも通用している。
フィッシング対策の業界団体であるAnti-Phishing Working Group(APWG)には2006年11月の1ヶ月だけで37,439件のフィッシングを目的とした偽サイトが世界中から報告されている。その1年前の2005年11月にはたったの4630件だったことより、急激な勢いで増加していることは明白だ。
ただし、フィッシングサイトの多くは英語圏の人々を対象としているようで多くは英文サイトとなっている。現在のところ、日本語の偽メールや偽サイトを目にすることは希であることは幸いだ。セキュリティの専門家の中には日本国内での脅威は比較的少ないと見積もっている風潮もあるが、その反面既に多数のフィッシング被害が国内で発生している側面もある。警察庁の調べでは2006年上半期の段階で、他人のIDとパスワードを使用した不正アクセスの4割近くがフィッシングによって詐取されたものであった事が分かっている。
ネットオークションやオンラインゲームへ勝手に他人のID・パスワードを使用してログイン(=なりすまし)することは『不正アクセス禁止法』に犯するのは周知のことだが、実際に不正アクセス禁止法で検挙されたもののフィッシングが占める割合は比較的多い。2005年上半期の段階での『不正アクセス禁止法』による検挙数は198件だが、そのうちフィッシングによる検挙はたったの1件しかない。ここ数年でフィッシングによるなりすましが、ハッキングの常套手段になりつつある。
(1)オークション詐欺の手口
2003年頃から『Yahoo!オークション』のIDとパスワードが盗難に遭う被害が目立つ。関係者によると、国内のインターネットオークションユーザーをねらうフィッシングの多くはYahooを語るのがほとんどらしい。
フィッシング詐欺を行う者は、盗み取ったIDを使って正規のユーザーになりすましてオークション詐欺に及ぶ。一般的に知られている手法として、架空の出品を行い落札代金を搾取したり、落札した商品を代金を支払わずにだまし取って転売を行うなどがある。
(2)フィッシングの手口
基本的な手口としては、まずYahooを名乗って「ただちにユーザー・アカウントの更新手続きをしないと、Yahooオークションが利用できなくなります。」といった旨のメールを不特定多数に送りつける。このメールには、アカウント情報更新用Webページへのハイパーリンクが貼られている。メールを受信したユーザーがあわててメール本文中のリンクをクリックすると本物のYahooオークションのアカウント管理サイトそっくりの偽サイトにアクセスさせられる。
偽サイトで旧パスワードと新パスワードを入力して[送信]ボタンをクリックすると、画面が遷移して何事もなかったかのように今度は本物のYahooのログイン画面が表示される。この一連の流れは通常のアカウント情報更新処理と同じであり不審な点が伺えないため騙された事には気がつきにくい。実際に、騙されたことに気が付いていないユーザーもかなり多い。
このようにして盗まれたアカウントは、すぐには悪用されないケースが増えている。そのアカウントの利用者評価が上がるまでストックされたり、他の同業者(=オークション詐欺)に転売されたりすることもあるなど犯罪が巧妙化してきている。
上記のようなメールで誘導されたWebページでアカウント情報を更新した事のある方はすぐにパスワードなどを変更した方がようだろう。
1ー3.タイポスワッティング
タイポスクワッティング(Typo squatting)という言葉は、スペルが難しい。はじめてこの単語を目にした日本人の多くは正確に発音出来ないだろう。そのため、難解で高度な技術のように思われるかもしれない。実際にはそのようなことはなく、いたって単純な手法で誰もが経験をしたことのあるキーボードからの誤入力を期待した攻撃手法だ。
(1)誤入力したユーザーをサイトに誘導
Webサイトにアクセスする方法として最もオーソドックスな方法としてキーボードから直接URLを打ち込む方法がある。このとき、『404 Not Found』とURLをタイプミスをして表示された経験は誰にでもあるのではないだろうか。タイポスクワッティングという手法は、このようなタイプミスをしたユーザーを自分のサイトに誘導し、不正な行為を働く。
タイポスクワッティングの "Typo" とは、入力時のミスを示す言葉で、いかにも造語っぽい響きがあるが印刷の誤植を示す表現としても使われる一般的な英単語だ。
タイポスクワッティングによる攻撃者は予めユーザーがタイプミスしそうなスペルのURLのサイトを用意しておくことから始まる。標的とするサイトのURLのうち1文字だけキーボードの配列上近い文字に置き換えたり、文字を連続して脱落させておいたり、といかにも打ち間違えそうなドメインにしておく(例 : www.yagoo.co.jp)。
では、タイポスクワッティングのサイトにアクセスしてしまうとどうなるのかを実例を踏まえて解説していく。
小生は試しにGoogle(http://www.google.co.jp)のURLをいいかげんに打ち込んでワザと誤入力してみた。すると、Googleとは全く関係のない消費者金融のWebページが現れた。日本語のサイトであったので、WHOISデータベースでドメインの情報を見ると、Googleの運営とは無関係の会社名が現れた。サイトの内容を確認していくと、主要なコンテンツはWebサイトの広告だったのでタイプミスよりWebページへ誘導させて広告を表示させることで広告収入をねらっているようだ。やり方として非常に効率の悪い商業活動にしか思えないのは、小生だけではないはずだ。
単純にアクセスさせてユーザーをガッカリさせるジョークサイトもあれば、上記の例のように広告を見せるだけの害の少ないサイトもある。だが、中にはアダルトサイトの勧誘やワンクリック詐欺が仕掛けられているサイトもある。さらに悪質になると、ネットバンクにそっくりのWebサイトが用意されていて個人情報を盗むフィッシングサイトやスパイウェアを送り込むサイトもあるのでよく注意をしていただきたい。
(2)タイポスクワッティングの特徴
タイポスクワッティングの特徴としてはここまでに述べてきたように、ユーザー自身によるキーボードの誤入力をキッカケとしていることだ。攻撃側はユーザーがよくアクセスしてくるサイトとそっくりなWebサイトを用意しておき、ユーザーがタイプミスしてアクセスしてくるのをひたすら待つ。元来の『攻撃者』のイメージとはかけ離れた非常にネガティブかつ地味な方法だが、アクセス数の多い有名なWebサイトにターゲットを絞り込んでおけばそれなりの脅威となってくる。
セキュリティの観点から考察すると、フィッシング詐欺が顕著になってきた2005年頃からタイポスクワッティングが増加の一途を辿っている。
タイポスクワッティングで迷惑を被るのはWebサイトにアクセスするユーザーだけではなく、ターゲットが本来アクセスしようとしたWebサイトの運営者側でもある。よく似たドメイン名のWebサイトがあればWebサイトや企業にとって大きなイメージダウンに繋がる。
タイポスクワッティングへの現状把握として、実際にどのようなWebサイトが公開されているのか非常に気になるところだ。だが、意図的にソレらしきURLを打ち込んでもタイポスクワッティングのサイトにはなかなかお目にかかれないもの。
小生が幸運(!?)にもアクセスすることの出来た数少ない例では社内研修の担当講師をしているときに遭遇したことがある。
社員向けのポータルサイトの説明をするために打ち慣れたURLを打ち込むと、プロジェクタのスクリーンいっぱいに見慣れないアンチウィスルソフト(= AntiVirus Pro 2006)の販売ページが表示された。一瞬、Webサイトの書き換えを疑ったが、URLを見直してスペルが一部誤入力していたことに気付いて、受講者に"タイポスクワッティング"と" ※1 スパイウェア"の話をしてその場を収めた。
※1 AntiVirus Pro 2006 は巷で『インチキセキュリティ対策ソフト』と言われるスパイウェアだ。バージョンアップを重ねる毎に手口が巧妙化しているが、実際のウィルスを駆除する機能はない。名前が老舗のウィルス対策ソフトによく似ていることから、このようなソフトウェアがあることを知らないユーザーはわざわざ購入してまでして導入する事もあるので注意が必要だ。
(3)タイポスクワッティングの問題点及び対応策
小生の例のように、よく似たドメイン名を見つけた場合どうすればよいのだろうか。
単にドメイン名が似ているだけでは、そのドメインを差し止めたり、別のドメインに強制移行させることは出来ない。ドメインを取得した人物や団体が、タイポスクワッティングを行うという明確な意図の下で取得したとは断定できないからだ。
容易に行い得る対策の1つとして、紛らわしいドメインは他者に取得される前に取得しておくことだ。基本的にドメイン名は申請者順で取得するものなので、タイポスクワッティングの温床となる前に買い占めておくことが有効だ。
上記に対して、インターネットユーザー側で行うべき対策としては、よくアクセスするWebサイトはブラウザのブックマークに登録しておき、直接URLを打ち込まないようにする。初めてアクセスするURLに対しては、あわてずによくURLを確認して誤入力をしないように気をつければ、タイポスクワッティングの有効な対策となりうる。
Internet Explorer 7 に代表される最近のWebブラウザや Norton Internet Security に代表されるパーソナルファイアウォール製品にはよく知られるフィッシングサイトなら事前に警告する機能が実装されているので、導入するのも有効だ。
1ー4.怪しいWebサイトから身を守る
これまでに述べてきたように、Webサイトで気をつけなくてはならないものに『ワンクリック詐欺サイト』と『フィッシングサイト』がある。
(1)攻撃者はメールからやってくる
インターネットユーザーがワンクリック詐欺の魔手にとらわれるキッカケとしては様々だが、よくありがちなモノとして "SPAMメール" のリンクをクリックしてしまったことが発端となることもある。
ワンクリック詐欺を仕掛けるために送られてくるメールの典型例としては『援助交際』のお誘いの "迷惑メール" だ。大人としての平均的な思慮分別があれば、確実に胡散クサイことは明白だが、現在でもこのようなメールが流通していると言うことはそれなりに効果を発揮しているからなのだろう。
近年では、引っかかる側の不注意が原因とは一概に言及できないほど手口が巧妙化したメールが最近では増えている。例えば、宛先を間違えて送りつけてしまったように装ったり、仕事の取引先を装ったりする。また、インターネット上の懸賞サイトを装ったりするものまである。
フィッシングサイトに関しては、個人情報を盗み出すニセサイトへメールのリンクで誘導されることが多い。例えば、オンラインバンクなどを装って、ユーザー情報の再認証が必要であるといった旨をリンク付きのメールで送りつけてきたりする。送りつけられたメールのリンクをクリックすると、一見したところ、ホンモノとも思えるほどソックリなWebサイトが現れ、入力した口座番号やID、パスワードなどが盗まれてしまうことがあるのでよく気をつけよう。
このように、怪しいWebサイトというのは手口が非常に巧妙だ。その反面、駆使される工学的な技術としては非常に単純で稚拙なモノが多いが、それらを組み合わせることで攻撃者の実体をたくみにカモフラージュしている。
(2)様々な手口でターゲットを追いつめる
ワンクリック詐欺を成功させるための前提として、ターゲットのPC内部の情報を抜き取ったように見せつけることが必須だ。
攻撃者の観点にたって考察してみよう。
いかにしてターゲットを騙し、こちらの誘導に従わせるかがワンクリック詐欺を成功に導く重要なファクターとなりうる。その為には、ターゲットの動揺を誘わなければならない。
Webサイトを閲覧中に突然、『情報を取得中』と書かれた画面上でプログレスバーが進行した後に、パソコンのグローバルIPが表示される。
たいていの場合、この状況ではPCの内部情報を取得しているようなことは皆無だ。せいぜい、Webアクセス時に使用したIPアドレス、ホスト名、ポート番号程度しか取得されていいないことがほとんどだ。この程度の情報は、Webページに JavaScript を埋め込んでおくことで、表示させることが可能だ。
やや手口が巧妙な例では、利用中のISP名とともに "ISPの登録者様名義に料金を請求する" といった内容を表示するWebサイトもある。実は、難しいようでいてIPアドレスからISP名称を調べることは簡単だ。しかし、ISPが分かったとしても、サービス利用者の個人情報を調べることはことのほか難しい。
ただし、Webサイト閲覧時にダウンロードした実行ファイルやActive X コントロールをダウンロードした場合にはこの限りではない。
例えば、デスクトップ画面上に請求書画面を表示したり、メールアドレスなどの情報を取得して毎日請求メールを送ってきたりする。また、より悪質な場合にはでは ActiveX の脆弱性を利用してPCの遠隔操作をしてくる場合もありえる。
初期設定のままWindows XP SP2 でInternet Explorer を使う場合は ActiveX を自動実行する設定にはなっていないが、確認のポップアップが上がってきた場合にはついつい許可してしまったり、セキュリティ設定レベルを『中』から『低』へと低くしていると知らないうちに実行してしまっているかもしれない。
Active X やアクティブスクリプトを実行さえしなければ安全、というのは早合点だ。人間の心の隙をついた攻撃、例えばフィッシングサイトではこの対策は無効だ。
フィッシングサイトでは、ホンモノのサイトのWebページレイアウトや画像をソックリそのまま流用していたりするので、一見したところでは偽サイトとは看破することは出来ない。少し前までは、SSLの鍵マークをチェックするなどである程度は防ぐことが出来たのだが、今ではあまり有効ではない。
(3)フィッシングサイトの狡猾さ
SSLの鍵マークでホンモノかニセモノかを見極める判断方法は最近では全く役に経たないほど巧妙なフィッシングサイトというモノが増えている。SSLによるサイトセキュリティの目的は、通信の暗号化(=ドメイン認証)と通信相手の実在の確実性の証明(=実在認証)の2つだ。
まず、ドメイン認証について述べると当サイトへも言及で出来ることだが、SSLというのは暗号化通信が出来ればよいのであれば、正規の認証局ではなく個人認証局であれば誰でも構築することが出来る。それも匿名でだ。この場合、Webサーバーと接続クライアントPCとの間の通信がSSLで暗号化されているので通信内容の盗聴とセッションハイジャックによる第3者による改ざん及びなりすましを防ぐ事は出来る。だが、SSLで通信する相手がよく似たドメイン名のフィッシングサイトではないという保証がない。
次に実在認証についてだが、これは主に個人情報を扱う会員制サイトやオンラインショッピングのサイトに求められるセキュリティだ。ベリサイン社や日本ジオトラスト社のように公式に認められているSSL証明書発行機関がそのウェブサイトの身元が確かであることを一定の基準に沿った審査基準で証明している。匿名では証明書を取得できないためSSL通信相手がフィッシングサイトではないという保証が出来る。
暗号化通信をするだけを目的としたSSLサイトは個人認証局で認証した証明書が使用されているため『"www.xxxx.xxx"に発行された証明書を持つ、この固有名を検証できませんでした。このサーバーのルート証明書がありません。』という警告メッセージが出るがSSL証明書発行機関が発行した証明書を使用している場合はこのようなメッセージは表示されまい。実は、ドメイン認証の証明書はSSL証明書発行機関からでも匿名で取得できる。そのため、一見しただけでは ※2 ドメイン認証 なのか 実在認証 かの見分けがつかないので、正規の認証機関から発行された証明書を使用したフィッシングサイトというのが存在できる。
※2
じつは、この手法への対抗策として米CA/Browser Forumによって標準化された次世代のSSLサーバ証明書である『EV SSL証明書』を使用すればよいのだが、Internet Explorer 7 を使用していないと効果が発揮されないので、現状では現実的な対応方法ではないといえる。
また、 クロスサイトスクリプティング(=XSS) を使用したフィッシングサイトも登場している。これは、攻撃者があらかじめ用意したWebページにホンモノのWebページへのリンクを用意しておくのだが、このリンクがクセモノだ。リンクに偽サイトの画面を生成するスクリプトを書き込んでおく。すると、ユーザーがそのリンクをクリックした際に、いったんホンモノのサイトへ送られたスクリプトがホンモノのサイトを経由して戻ってきてフィッシング用の入力画面を生成する。表示された入力画面はホンモノのWebサイトからの指示のようにしか見えない。実際どこをどう見ても、ユーザーからはホンモノのサイトにしか見えない。しかし、入力画面に投入したデータはフィッシングサイトへと送られる寸法だ。
(4)Anti DNS Pinning
本来、WebブラウザはWebページに記述されているスクリプトに情報を読み出させないように動作にある程度の制限を掛けている。しかし、その制限はしばしばバグが見つかるのが常識だ。ココでは、外のサイトへと勝手に接続してしまう "Anti DNS Pinning" という攻撃手法を紹介しておこう。
Anti DNS Pinning が仕掛けられたWebページにアクセスすると、ページ中に記述されているスクリプトが攻撃者のWebページにアクセスする。このとき、攻撃者のWebサイトは後の攻撃のためにあえて応答を返さない。すると、ブラウザは改めてDNSサーバーにWebサイトのIPアドレスを問い合わせる。このとき、攻撃者の用意したDNSサーバーは攻撃先のWebサイトのIPを応答する。その結果、ブラウザは同じドメインだと判断してスクリプトに攻撃先のWebアクセスを許可してしまう。
ワンクリック詐欺のような悪質なWebサイトの場合、スクリプトを悪用してユーザーの情報を読み出そうとする。
Webブラウザがスクリプトを実行しないように設定しておけば、ひとまず安全と言及できるが、最近のサイトのほとんどは某かのスクリプトを使用している。スクリプトを実行しないようにブラウザを設定しておけば、脅威は未然に防げるが、うまく表示できないサイトなどがあり却って不自由だ。操作が煩わしいだろうが、とりあえずはブラウザの設定でスクリプトの実行を停止しておき、必要なときにその都度スクリプトを実行するように設定すると言うが当たり障りのない対応なのかもしれない。
2.スパイウェア
スパイウェアとは、通常ユーザーの適切な同意を得ずに、広告の表示、個人情報の収集、コンピュータの構成の変更などの特定の動作を実行するソフトウェアを総称する。
多くの場合、広告を表示するソフトウェア (=Adware) や、個人情報や機密情報を追跡するソフトウェアと連動していることが一般的だ。
広告を表示したりオンライン操作を追跡したりするソフトウェアが、すべて不正なソフトウェアというわけではない。たとえば、無料の音楽サービスにサインアップしサービスの "代償" として相手側の広告の受信に同意するなんてことがある。条件を理解した上で同意した場合、正当な交換条件と判断した、とみなされる。企業がユーザーのオンライン操作を追跡してそのユーザー向けの表示広告を判断することにユーザーが同意する場合もある。
スパイウェアには、コンピュータに変更を加えて、操作の邪魔になったり、処理速度の低下または異常終了の原因になったりするものが少なからずある。このようなプログラムは、Web ブラウザのトップページや検索ページを変更したり、ブラウザに不要なコンポーネントを追加したりする機能を備えていたりする。多くの場合、スパイウェアの活動によって変更された設定を元の状態に戻すことがは非常に困難であることが多い。
どのような場合であれ、該当のソフトウェアが行う動作をユーザーが理解しているか、またソフトウェアをコンピュータにインストールすることに同意しているか、という点が重要な判断ポイントだ。
スパイウェアがシステムに侵入する方法は多数存在する。一般的な仕掛けとしては、音楽またはビデオ ファイルの共有プログラムなどの、ユーザーが使用を目的としてソフトウェアをインストールしている最中に、別のソフトウェアをユーザーにわからないようにインストールするという方法が常套手段となっている。
2ー1.最近のスパイウェア
(1)インチキセキュリティソフト
Webブラウズをしている最中に突然、『あなたのパソコンはウィルスに感染しています』とポップアップ画面が表示されたらいかがだろうか?
多くの方はあわてる事だとは思うが、そういうときほど落ち着いて考えてみよう。貴殿が現在使用しているウィルス対策ソフトからの警告メッセージか否かよく確認してみて欲しい。最近ではニセのセキュリティソフトを売り込むためのメッセージとして表示されることがあるからだ。
たとえば、以下のキャプチャ画像のような画面が表示されたら画面に書かれていることを鵜呑みにしないで、速やかにそのサイトから立ち去ることをお勧めする。
上記のキャプチャは WinAntiVirus Pro 2007 というインチキウィルス対策ソフトの販売促進のWebサイトのものだ。このように嘘のメッセージを表示して、セキュリティソフトを詐称したプログラムをインストールさせるスパイウェア混入の手法が増えてきた。
WinAntiVirus Pro 2007 は一見したところ、通常のウィルス対策ソフトの用に見えるが、その実体はウィルス対策ソフトのフリをしたスパイウェアなので、ウィルスの駆除などはしない。この手法を用いてターゲットのパソコンにプログラムをインストールするのは WinAntiVirus Pro 2007 以外にも多くある。インチキセキュリティソフトはウィルスではないので内部のデータを消去したりすることは基本的にはないが、内部情報のインターネットへの流出やSPAMメールの配信などの機能を持ったものもある。また、この類のプログラムはインストールされると既インストール済みのセキュリティソフト( = ウィルス対策ソフト、パーソナルファイアウォール、等)を無効化して、ウィルスの侵入を助長したりするので楽観視して見くびらない事が賢明だ。
コンピュータウィルスに感染した場合は、情報処理推進機構(=IPA)に届け出るものなのだが、2006年3月以降、上記のようなインチキセッキュリティソフトに関する届け出が毎月増加している。
IPAに出された届け出の中には代金請求(= 架空請求)のポップアップメッセージが頻繁に表示されるために根負けして代金を払い込んでしまった、という事例もある。ポップアップメッセージの表示が目障りだからと、請求された料金は支払ってもムダだ。インチキセッキュリティソフトにはユーザー管理の仕組みは実装されていないのでポップアップのメッセージは表示され続けるからだ。
IPAへの相談件数増加の理由として、インチキセキュリティソフトの売り込みのメッセージや販売ベンダのWebサイトの日本語化が進んでいることが上げられる。
アメリカではインチキセキュリティソフトは rogue anti-spyware (=詐欺的なスパイウェア対策ソフト)と呼ばれ、何年も前から問題視されてきた。今まで、日本でそう言ったソフトウェアで問題にならなかったのはポップアップメッセージやソフトウェアの操作メニューが英語表記であったため、日本のユーザーのほとんどは何か木にはなってはいても英語を読み下すのが億劫なためひたすら無視してきたことが伺われる。逆説として、英語に堪能である程度コンピュータのセキュリティを気にする方、ごく少数が被害に遭っていたことが予想される。
最近では、ポップアップメッセージだけではなく、インチキセキュリティソフトのUIの日本語化も進んできている。明らかに、インチキセキュリティソフトを売り込む側が日本のユーザーをターゲットに的を絞り込んできたことが伺える。
”怪しいサイトにアクセスしないから無問題” とお考えの方も多いかと思う。だが、慢心は悲劇を招くことを肝に銘じておいて欲しい。一見まともに見えるサイトや個人のWEBページ、または上記で述べたタイポスクワッティングを使用したサイトではインチキセキュリティソフトを導入させる仕掛けが用意されている事はザラなので、用心に越したことはない。インチキセキュリティソフトの制作者はアフィリエイト・プログラムを利用することでソフトウェア配布に協力をしたWebサイト管理者に謝礼を支払っているためこの類の嘘のメッセージを表示させてインチキセキュリティソフト配布Webへ誘導するサイトが減ることはそうそうないだろう。
基本的にはWebブラウザにセキュリティホールが内包されていなければ、Webサイトにアクセスしただけではインチキセキュリティソフトをインストールされることはない。OSやブラウザが出力する警告メッセージに対して、ユーザーが『開く』や『実行』を選択しなければ問題はない。警告メッセージに対して無条件で『開く』や『実行』を選択するのではなく、よく考えて判断してから応答することが正しい対策となりうる。
現在ではウィルス対策ソフトにこの種の脅威への対抗する機能が追加されているし、スパイウェア対策ソフトというモノも販売されている。導入して適正に運用すればかなり有効な対策となる。
ただし、 WinAntiVirus Pro のようなインチキセキュリティソフトにはウィルスやスパイウェアへの検出・削除機能は当然ないので導入及び運用にはくれぐれもご注意いただきたい。
(2)動画好きをねらうスパイウェア
日本ではブロードバンドが普及して、ブロードバンド利用者一人あたりが占めることの出来る帯域幅は諸外国と比較しても広い。
英国を例に挙げると平均で512kbps、広帯域の場合で2Mbps程度。また、データ圧縮技術も非常に高性能なためブルードバンドと圧縮技術を組み合わせることで、ストレスレスで大きな容量のファイルの転送も可能としている。
このようなインターネット利用環境の拡充に伴い、有料のものから無料のものまでWeb経由での動画配サービスが増えている。まさしく、 " You Tube " のような動画共有サイトは花盛りといったところだ。
" You Tube " 以外にも様々な動画ファイルを無料でダウンロードさせてくれるWebサイトも数多く存在する。貴殿の周囲にもそのような動画配信サイトを毎日のように閲覧されている方は少なからずいるのではないだろうか。
動画配信サイトは色々な意味で話題に上る事が多いが、本稿では動画配信サイトご利用の際の注意点を幾つか紹介させていただくものとする。
話題に上ることが少ないので注意を促しにくいが、動画配信サイトの閲覧者(=動画好き)をターゲットとしたスパイウェアの存在が多数確認されている。
スパイウェアが作られる主要な動機の1つとして、『お金儲け』が挙げられる。
例えばアドウェアの場合、広告主から料金を徴収する。また、架空請求するプログラムや偽セキュリティソフト等は、それらをインストールしたユーザーにお金を振り込ませる。
スパイウェアの作者は様々な工夫を凝らしてユーザーにインストールを行わせる。セキュリティベンダの調査によると、最近とくに多いのが動画を見るためのプレイヤソフトや動画のコーデックにスパイウェアを潜ませているケースが増えてきている。スパイウェアを仕込んだプレイヤソフトや動画ファイルのコーデックスを配布するWebサイトの手口は大方似通っている。基本的に、下記に示すような ”誘い文句” でユーザーにインストールをさせようとする。
このサイトに置かれている動画(このサイトで配信している動画)は独自形式なので、ご覧いただくには専用のプレーヤー(コーデック)をインストールする必要があります。
”誘い文句” につられたユーザーは警戒心を抱くことなく、プレーヤーに見せかけたスパイウェアをインストールする。この類のスパイウェアの特徴として、インストール後に『本ソフトの購入料金をお支払いください』といった請求画面を10分沖くらいの間隔で画面に表示する。料金請求の画面が画面一面に表示されるため目障りで仕方がないので、ユーザーは請求画面が表示されなくなると思いこみ、渋々料金を支払う事が多い。ただし、指定どうりに料金を支払っても請求画面が表示されることはない場合がほとんどだ。
小生の勤務先でも同様の問い合わせが年間で数件程度ある。そのような場合は、 "料金を支払わない"、"請求画面で表示されている連絡先(メールアドレス、電話番号)に絶対に連絡しない" 、ことを助言している。
一旦『○×という動画を見たい!』と言う欲求がわき上がってしまえば、その欲求を抑え込むことは難しいことだろう。貴殿のその気持ちはよく分かる、だが、どれほど魅惑的な動画に思えても相手の指示するままに何の疑いもなく、プレイヤやコーデックをインストールすることはあまりにも好ましくはない。まずは、インストールする前にそのサイトやソフトウェアなどが信頼するに値するかをじっくりと検討してみよう。
スパイウェアに感染する危険を冒してまで見るほどの価値のある動画が果たしてあるのだろうか。インターネットは "黄金郷" ではないのだ。黄金郷伝説に魅入られた人間がどのような最後を迎えたのかよく考えてみよう。
小生は、あえて 火中の栗を拾う ような事をするほどの価値はないと思うのだが、いかがだろうか。
3.正規のドメイン名をつかった攻撃
(1) DNSamp
インターネットというものは、その普及率の高さから今では『※3誰でも』接続できる。その上、自分の考えたことが『何でも』できる環境といって過言ではない。これがインターネットの最大の魅力なのだが、裏を返すと最大のウィークポイントともなりうるのだ。
※3
小生は数年前、新宿の地下道で寝泊まりをしている人たちが携帯電話のiモードからインターネットにアクセスしている光景を見たことがある。現在では、『ネットカフェ難民』という人々が存在するご時世なので、かなり経済状況が悪くてもインターネットに接続できる。現在では、インターネット利用の敷居はかなり低くなっている。
技術的な制約の範疇の中において、誰もが何でもできるということは、悪意を持った利用者ならば悪いこともできてしまう。その1つの結果として、最近問題となっているマルウエアの氾濫が挙げられる。このような不正なソフトウエアが自分や他人のコンピュータに進入してデータの盗用など様々な被害を及ぼしている。その中の一つにDoS(denial of service)アタックやDDoS(distributed denial of service)アタックというものがある。
(1-1) DoSアタック
DoSアタックとは攻撃の対象とされるサーバーのサービスを妨害する事を目的としている。具体的には、攻撃の象に対して過剰なアクセス(例:F5攻撃)やトラフィックを過剰に増やしたりしてサーバーを高負荷の状態に陥れたり、サーバーが接続している回線を輻輳させ、他の正当なユーザーからのアクセスを妨害したりする。
実際にはルーターやファイアウォールの設定などでブロックされるため、DoSアタックのパケットが攻撃対象のサーバーに届くことはない。だが、1つ1つのパケットを可能な限り大きくして大量のパケットを送りつけることで攻撃対象のサーバーが接続しているネットワーク帯域の大部分をDoSアタックのパケットで使用されれば他のユーザーからのレスポンスは著しく低下するに違いない。
高速回線が普及している現在では、個人でブロードバンドを契約している場合でも40-50Mbps程度の速度はザラにある。ボットを仕掛けて個人の環境を悪用すれば、数Gbps単位のトラフィックを作り出すことも難しくはない。DoSアタックのような前世紀から存在する単純な攻撃手法でも、現在では十分に有効な攻撃手法となりうるのだ。
DoSアタックの手法としてはいくつか考えられるが、本稿ではその中でも比較的対応が難しく、エンドユーザー1人1人の協力がなければ対策を講じることのできない攻撃手法「※4DNS Amplification Attacks(DNS Amp)」について詳しく見てみることにしよう。
※4
2006年7月頃から、各セキュリティ関連組織が『DNS amp』という攻撃に対して注意を促している。
国内のインターネット利用者が一堂に会するJANOG会議でも対策の必要性が議論されたほどだ。
(1-2) DNS Ampに用いられる二つの手口
DNS Amp とは複数のコンピュータから大量のパケットを攻撃対象に向かって送りつけて回線帯域をパンクさせるDDoSアタックの1種だ。DNS Ampを成立させるための技術は2つ。1つはIP Spoofing、もう1つは DNS Open Relay Resolver。
■ IP Spoofing
IP SpoofingはIPアドレスを詐称する技術だ。インターネットで利用するIP(internet protocol)では、パケットの先頭に送信元アドレスと送信先アドレスを付けて送信先ホストに届ける。受信側では、適切な処理を施した返送パケットを生成し、受信したパケットの送信元アドレスを送信先アドレスに変えて返送する。
このとき、送信元アドレスが詐称されていれば、まったく関係のないホストにパケットを到着させることが出来る。送信元ホストを攻撃対象のアドレスにし、そのパケットを無防備なホストに送りつければ、そのホストがパケットを攻撃対象に返信してしまう。こうすれば直接攻撃しなくとも別のホストを経由して攻撃できるのだ。
上記で言うところの『無防備なホスト』は、「中継ホスト」とか「踏み台」と呼ばれる。どのようなホストでも踏み台になり得るが、適切な設定をしてさえいれば攻撃に加担することを回避できる。「無防備」で「ずさんな管理」をしている「油断した」ホストだけが踏み台となる事をよく肝に銘じておいて欲しい!
ただし、踏み台となるホストが1台では、それほど大きな問題にはならない。
(1)踏み台ホストで返送するパケットの大きさを増幅する
(2)大量の踏み台ホストを用意して一斉に攻撃する
という二つを組み合わせることで、直接攻撃するケースに比べて数十、数百倍という攻撃能力を持つようになるのだ。このうち(1)を実行するために「DNS Open Relay Resolver」が使われる。
■ DNS Open Relay Resolver
DNSはホスト名の問い合わせに対してIPアドレスを返すという、インターネットには欠かせないサービスの1つだ。DNSには、IPアドレスとホスト名を変換する以外に、ホストの情報やメールサーバーの情報を問い合わせる等の様々な機能がある。これらの機能に基づく情報は、リソース・レコードというレコードに書かれています。IPアドレスであれば「Aレコード(名前に対するIPアドレスを示すレコード)」、メールサーバーであれば「MXレコード(該当ドメインのメールサーバーのアドレスを示すレコード)」となる。
この中に、テキスト情報をやりとりするための「TXTレコード」というものがあり、比較的大きな情報を扱えるのが特徴。今回説明する攻撃において、このTXTレコードをどのように使うかを詳しく見ていくものとする。
[手順1]
攻撃者は自分が用意したDNSサーバーに大きなサイズのレコード情報を登録しておく。前記でも述べたように、DNSのレコード情報に存在するTXTレコードを使用して大きなサイズのTXTレコードを作成する。
[手順2]
攻撃者は用意したTXTレコードをインターネット上で公開されているサーバーにキャッシュさせる。
(攻撃準備完了)
[手順3]
攻撃対象を攻撃するときにはボットを使う。
[手順4]
ボットネットはデータをキャッシュしたDNSサーバーにTXTレコードを要求するDNS要求パケットを送る。だが、この時送信元IPアドレスを詐称(= IP Spoofing )する。
[手順5]
[手順4]では要求パケットに含まれるデータはわずか数十バイトであるのに対して、要求パケットを受け取ったDNSサーバーがターゲットマシンに送るのはDNSでやりとりできる最大サイズ(= 4096バイト)のTXTレコードを格納したDNS応答パケットになる。
このようにしてインターネット上に公開されているDNSサーバーを使ってデータを増幅(= Amplification)するわけだ。サイズが小さい問い合わせ要求をDNSサーバーで数十倍、数百倍という大きな応答パケットにして攻撃できる。想像してみよう。仮に、1万台のホストが3000バイトのデータを返送した場合、10000×3000=30Mバイトとなる。これを1秒間に10回繰り返したならば、300Mバイト/秒=2.4Gビット/秒というトラフィックになって攻撃できてしまうのだ。こうなると、いかに100Mビット/秒のFTTHにサーバーをつないでいたとしてもひとたまりもなく回線帯域を占拠されてしまい、サーバーは一瞬にして通常のサービスを提供できなくなってしまう。
■ 対策として
現在、インターネット上で公開されているDNSサーバーの多くはキャッシュ機能を有効にしているので、DNS Ampの踏み台として利用される危険性がある。最後に、 DNS Amp 対策について語っていこう。
1番効果的な対策は、DNSのオープンリレーな設定をやめる事が挙げられる。オープンリレーとは簡単に述べると、インターネットからの問い合わせをすべて受け付けて処理すること。あるドメインのプライマリ、またはセカンダリのDNSサーバーとなっているDNS(= DNSのコンテンツ・サーバー )は、インターネットから広く問い合わせを受ける必要があるので実質的な対策は難しいだろう。そのような場合は、公開DNSサーバーのキャッシュ機能を無効にして自身に登録されているレコード情報にだけ応答するように設定すればよい。ただし、その設定を行うと社内ユーザーがこのDNSを用いて名前解決を行うことが出来なくなってしまう。その対応としては、DNSサーバーを別途用意して、社内ネットワークからだけの問い合わせだけに対して応答するように設定すればよい。
実際にDNS Ampで最も多く利用されているDNSサーバーは、このような単なるリゾルバにもかかわらず、インターネットから広く問い合わせを受けてしまう「オープンリレーなリゾルバ」なのだ。オープンリレーなリゾルバの設定を変更するだけで、DNS Ampのような攻撃はかなり少なくなる、と考えてよい。
もう一つの対策として、IP Spoofing対策を適切に講じることが挙げられる。IP Spoofingは送信元アドレスを詐称しているので、ルーターなどで詐称されたアドレスを利用したパケットを中継しないようなパケット・フィルタを適用することで対策が可能だ。
DNS AmpをはじめとするDoSアタックによって引き起こされる攻撃については、攻撃対象となるサーバー自身での対策は非常に難しいものがある。この場合は、むしろインターネットに接続している各ホストがそのような攻撃を引きこさないように注意深く運用していく責任を負っていくことが求められる。
(2) ドライブバイ・ファーミング
ドライブバイ・ファーミング(= drive-by pharming)とは、ユーザーから個人情報を盗み出す最近の手法だ。この手法の仕組みとしては、自宅に置かれているブロードバンド・ルーター(=ブロードバンドルーター)の設定を書き換える。設定が書き換えられたことに気が付かないユーザーのWebアクセスを偽サイトに誘導する。そこでID/パスワードやクレジットカード番号などの個人情報を盗み出す。
ほとんどのブロードバンドルーターは、ユーザーが※5Webブラウザで各種設定を変更できるようになっている。ドライブバイ・ファーミングはそこを狙う。
悪意のあるユーザー(=クラッカ)はWebページを用意し、そこにブロードバンドルーターの設定を変更するスクリプトを埋め込んでおく。何かのきっかけでユーザーがそのWebページにアクセスすると、ユーザーのWebブラウザがスクリプトを読み込んで実行し、ブロードバンドルーターの設定を書き換えてしまう。
スクリプトが書き換えるのは、ブロードバンドルーターがDHCPサーバーとしてPCに配布するDNSサーバーのIPアドレス情報。このアドレスを、クラッカが用意したDNSサーバーのIPアドレスに変える。PCのDNS設定は定期的に更新されるので、やがてPCが持つDNSサーバーのアドレス情報も書き換わる。この結果、Webアクセス時のIPアドレスの問い合わせ先がクラッカのDNSサーバーになり、クラッカの思い通りにアクセスを誘導されてしまう。
ブロードバンドルーターの設定画面や設定変更時に使うID/パスワードの初期値は※6メーカーごとに決まっている。書き換え用のスクリプトは、それに合わせて作られている。ブロードバンドルーターのパスワードを初期設定のまま変更せずに実運用している非常に危険なのだ。本稿を閲覧している貴殿にお心当たりがあれば、ただちに初期パスワードから変更することをお勧めする。
ドライブバイ・ファーミングを発見したシマンテックは、「ブロードバンドルーターのパスワードを変えておけばほぼ安全」としている。
※5
有名・無名問わずホームユース向けのブロードバンドルータはことごとく、Webブラウザから各種設定をすることが出来るようになっている。
AirMacのように専用ユーティリティからのみ設定が出来る製品も販売されているようだが、設定方法に汎用性がないためか徐々に姿を消しつつある。
※6
多くのブロードバンドルータは初期設定のままだと、外部ネットワーク(=インターネット)からルーターの管理画面にアクセスできてしまう。出来れば、ローカルネットワークからのみ管理画面にアクセスできるように設定を変更しておくことが好ましい。
コンピュータセキュリティネタを扱っているサイトを巡回していくと、主要なルーターの型番とデフォルトパスワードの一覧情報が掲載されているWebサイトが多数存在する。管理画面にアクセスしてきた第三者はそれらの情報を元に、ルーターの設定を書き換えることが出来てしまうのでルーターの管理者IDとパスワードはデフォルトのモノを使わないように心がけよう。
4.番外編 − ポッド・スラーピング
ポッド・スラーピング(= Pod Slurping)とは、USBストレージを利用して企業ネットワークから情報を盗み出す不正行為をしめす。この用語はセキュリティ分野で最近登場したもので、主にiPodなどのUSBストレージを使って企業ネットワーク内部から重要なデータを根こそぎ盗み出される可能性がある事を示唆している。
このポッド・スラーピングという言葉自体、まだほとんどなじみがなく、国内で取り立てて目立った事件は起こっていない。また、iPodなどの携帯メディア機器が引き起こす脅威について騒ぎすぎだと思う方もいるだろう。たしかに、この脅威は今に始まったことではない。それが今頃になって問題としてクローズアップされるのは、社内からデータを持ち出すのが以前よりもはるかに容易になったからだ。携帯用のZipドライブは昔からあり、これを利用すれば容易に資料をダウンロードすることができた。しかし、現在ではそれよりもはるかに小型・軽量で大容量の機器が普及しているからこそ、セキュリティ関係者は憂慮しているのである。ポッド・スラーピングはいつ・どこの企業で事件が起こったとしても不思議ではない状況にまで来ているのだ。近い将来、大事件が起こって話題になる可能性は十分あることは間違いない。
『ポッド・スラーピング』の "slurp" とは、『音を立てて食べたり飲んだりする行為』を示す英単語だ。イメージとしてはスープなどをズズーッと音を立てて飲んだり、パスタをズルズル音を立てて食べるようなものだ。ここから転じて、工学的には企業内の重要データを無作法に根こそぎ吸い出す行為を slurp という単語を使って表現している。
また、海外では ポッド・スラーピング という単語のニュアンスがやや異なる場合もある。海外では主に、携帯用ゲーム機を改造するためにファームウエアを吸い出すハッキング技法のことを slurp と呼んだり、 DRM (著作権保護機能)がかかった音楽データをiPodなどから不正に抜き出す行為をポッド・スラーピングと呼ぶ事もある。
■ ポッド・スラーピングの手順
具体的に、ポッド・スラーピングがどのような手順で実行されるのかを見ていこう。
まず、データを盗もうとする攻撃者は、社内にある他人のPCにiPodを接続する。昨今の携帯音楽プレーヤの普及により、会社のPCにiPodをつないでいても、さほど不自然ではないのであえて不正行為を行おうとしているとは思うまい。iPodの愛用者ならば、単なる充電中と平和な予想をしてしまうかもしれない。
実際には充電などではなく、水面下で着々と悪事を働いているのが、この手法の怖いところだ。攻撃者は、iPodの中に入っているポッド・スラーピング用のプログラムをつないだPCで実行するだけでよい。携帯音楽プレーヤの多くは、PCからはUSBディスクに見えるため、中にプログラムを入れておけば実行はいたって簡単だ。知らないうちに実行されたポッド・スラーピング用プログラムは、PCの中やLAN上の共有フォルダをくまなく検索して、データと思われる ".doc" や ".xls" 、 ".pdf" などの拡張子が付いているファイルを見つけると片っ端からiPodにコピーする。
本章では、iPodを題材として取り上げているが、iPodでなくともUSBハードディスクやUSBメモリでもポッド・スラーピングは可能だ。携帯型音楽プレーとして使えるリムーバブルストレージとしてポピュラーな製品がiPodだったので、本章ではiPodを題材として取り上げた。
ポッドスラーピングの道具として取り上げてしまうと、さもiPodが悪者のように思えてしまうかもしれないが、iPodは悪くない。これはアメリカの銃社会の問題でも同様のことが言えるが道具は道具でしかないのだ。使い手によって善くも悪くもなり、結局は使い手次第、という事に帰結してします。道具の使い方を違えれば、それがどのような問題を引き起こすのか、ポッド・スラーピングはその事を我々に再考する機会を与えれくれた。技術知識のない人の多くは、職場にあるiPodが引き起こしかねないセキュリティ問題を理解できないだろう。社内に設置されているPCには標準でBluetoothやFireWireが装備され、Wi-Fi機能が組み込まれているのが現在では当たり前の環境となっている。明確なセキュリティ・ポリシーを施行して社内のPCを適切に運用させていかなければ、このような便利な機能がすべて、データを盗んだり、頼まれもしないものをコンピュータに仕込んだりする手段に悪用されかねない。
英国のセキュリティ・ベンダーGFIの発表によれば、ポッド・スラーピングによって、ローカルのPC内のデータなら、2分以内に100Mバイト程度の容量はコピーできてしまうらしい。たったの1〜2分程度なら、iPodをつないだことを誰にも気づかれずに盗むことが可能だろう。通常は、どのファイルを外部ディスクにコピーしたかを逐一記録しているPCなんて基本的にはないので痕跡すら残らない。
■ ポッド・スラーピングへの対策
ポッド・スラーピングの脅威にどう対処すればよいかをここでは考えていこう。
現状ではどんな企業にも通用する万能な防御策はない。しかし、携帯型ストレージ機器によるデータ盗難のリスクを検討し、そうした機器の社内利用を禁止または制限するために時間と資金を投じるかどうか、については早急に意思決定すべきだ。その前提の上で、1つの手段として、※7すべてのPCのUSBポートを物理的に使えないようにすることが考えられる。金融機関などセキュリティに厳しい企業は実際にこうした対策をとっていることが多い。ただし、一般の企業では実効性がないためにセキュリティ専門家は否定するケースも少なくはない。
では、どうするのがよいのだろうか?
基本は利用できるUSBデバイスに制限をかけたり、席を離れるときはPCをロックするといった対策だ。さらに有効な対策の1つとして、従業員や訪問者に『監視していますよ』というメッセージを強く伝わる形で見せることが挙げられる。そのためには、デスクトップ管理やネットワーク監視のシステムが有効となる。
最近では、PCにつないだだけでプログラムが自動起動するタイプのUSBメモリーが出始めたり、ペン型のUSBメモリーなど一見した程度ではUSBストレージに見えないようなデバイスが増加しているため、ますますポッド・スラーピングをしやすい状況になっているのが現状だ。事件が起こる前に、ポッド・スラーピング対策を事前にしっかりと考えておく事が何よりの対策になることを肝に銘じておいてほしい。
※7
セキュリティを真剣に考えている企業では、USBポートを撤去した特別仕様のPCを使用するのはもはや常識だ。また、特別仕様のPCをわざわざ発注する余裕のない企業でも、社員にPCを配布する前にUSBポートに瞬間接着剤を流し込んで物理的に使用不可能にする程度のことは対策として実施するのは当然となっている。