IPAが毎年販売している「情報セキュリティ白書」、アンケートに答えるとPDF版が無料で読めるということで、主婦の嗜みとして読んでみました。
きれいにまとめようとすると時間がかかって旬を逃すため、まずは「第1章 情報セキュリティインシデント・脆弱性の現状と対策」について、気になった事件や用語をメモ付きで抜き出してみました。
Wanna Cryptor
WannaCryじゃなくてCryptorになってる。2017年に世界を席巻したランサムウェアですが、実は身代金による被害は(振込人を特定する機能を持たず)比較的少なかったらしい。
ただ、ワームのような自己増殖機能を持っていたために感染はかなり拡大して、病院や鉄道などのインフラサービスにも波及し大きな話題になった、と*1。
この自己増殖機能は「EternalBlue」というワームの機能で、CVE-2017-0144のSMBv1の脆弱性を悪用している*2。ちなみにASLR回避機能付き。
EternalBlueについては以下のPDFが面白そう。
ETERNALBLUE: A PROMINENT THREAT ACTOR OF 2017–2018 - VIRUS BULLETIN
ビジネスメール詐欺
企業に「振込先が変わったんでよろしく」という送金依頼メールを出して金銭をせしめるという技術的にはなんの面白みもない詐欺。ただ被害額はかなり大きくて、ドイツでは数百万ユーロ*3、国内でもJALが4億円近く騙し取られている*4。
振込先が変わったならそれ相応の確認をしないんだろうか?と思いますが、JALの件では本来の取引先に変更を確認するメールを送り、本来の取引先から本当だという返信があったらしい(ただしそのメールが本物だったかは不明)*5。
DDoS攻撃の傾向
booter
DDoS攻撃を請け負うサービスの名前。表向きは負荷テストを実施する代行業者を装っている*6。
Mirai
2016年に流行ったIoT機器を対象とした感染した機器をDDoS攻撃の踏み台にするウイルス。やってることは単純な辞書攻撃でログイン→C&Cサーバからボットをダウンロード(自身がC&Cサーバにもなる)というオーソドックスなものですが、ソースコードがGithubなどに公開されているので亜種がいろいろ出ている。
マルチベクトル型攻撃
DoS攻撃にはDNSのリフレクター攻撃とかSYN FLOODとかいろいろあるわけですが、複数のレイヤに対して同時にDoS攻撃を仕掛けるのが流行り*7。資料にあった例では、DNS/NTPのリフレクター攻撃・SYN FLOOD・Webアプリケーションに対する巨大なファイルのPOST(POST FLOODっていうのかな?)の3つ。しかもその結果から、ターゲットの弱点を判断するらしい。そこを自動的にやるかどうか知りたくて参照先(The Top 10 DDoS Attack Trends - Impreva)をザッと読んだけど見つけられず。
偽警告・偽サイト
マウスポインタを非表示に
「ウイルスに感染しています」というポップアップを表示してセキュリティソフトに見せかけたウイルスを購入・インストールさせる手口は大昔から存在していますが、最近は本来のマウスポインタを非表示にしてブラウザ上にマウスポインタのアニメーションを表示し、勝手に動いているように見せかけたり、手口が巧妙になっている*8。CSSのcursor:noneを使っているのかな?
ワンクリック請求の無料相談
ワンクリック請求自体は目新しいものではありませんが、請求画面を消す方法を検索すると、「無料相談」「返金可能」をうたいつつ解決はしないけど費用を請求する探偵業者が出てくるらしい*9。SEO頑張ってるんですね。
ばらまき型メール・標的型攻撃
特に目新しいことはなかったのだけど、常日頃思っているのは、組織は従業員に「あやしーめーるはひらかないよーにしましょー」というだけで対策した気になんなよ?ってこと。メール添付型ウイルスの訓練とか流行ってるみたいですけど、ばらまき型のような汎用なものならともかく、攻撃者が本気になって偽装したメールがあやしいものかどうかを一利用者が判断するのはもはや不可能です。いや、よっぽど訓練すれば分かるようになるかもしれないけど、そんなコストをかけられるのか?完璧な訓練を施したとして、添付ファイルやURLを含む全てのメールについて、メールの送信元が偽装されているかどうか、ヘッダを見て正規の送信元のドメインと見比べる?送信元(に見える組織)に本当にこのメールを送ったのか問い合わせる?一人でも、一度でも開いてしまえば感染してしまうものについて、感染を完璧に防ぐことの方にコストをかけるより、感染することを前提とした対策の方が現実的なんですよ。
もちろんある程度の訓練は必要だとは思いますけど、組織は「あやしーめーるはひらかないよーにしましょー」というだけで対策した気になって、あとはあやしーめーるをひらいた従業員の責任ですってなってるじゃないですか。それじゃあ感染したことがわかっても隠蔽しますって。いっそ感染を報告した人は表彰するくらいしてほしい。そういう意味で、情報セキュリティ事故対応アワードみたいなものが世間に周知され評価されるといいですね。
あとは、利用者のスキルに頼らないシステム的な対策を積極的に取り入れてほしい。実行ファイルを一度サンドボックスで実行してみてから受信させるやつとか、PDFをテキストファイルに変換しちゃうやつとか、ありますよね、メールの無害化ってやつ。本気で感染を完全に防ぎたいなら、それくらいやれよっていいたい。知識や経験にばらつきのある従業員に全てを押し付けるなと。
この話は個人的に本当に腹が立っているので長々書いてしまいましたが、白書の方でも、個人に責任を押し付けない、(よほど悪質でなければ)感染しても責めない体制の重要性を説いてほしいなと思いました*10。
感想
技術的に面白いものはあんまりなくて、手口が巧妙になっているだけという印象。技術的に頑張るより人を騙す方が簡単に稼げるってことですかね。同じくIPAが公開している情報セキュリティ10大脅威2018を見ても、不当請求や人材不足といった「人」寄りの脅威が多い印象。あ、でもEternalBlueは楽しそう。ASLR回避のいい教材っぽいので文中のPDFは読んでおきたいところ。
2章・3章についても気が向いたら書こうと思います。