脅威5 ウェブサービスからの顧客情報の搾取

こちらは、利用者にはこれで全てと言えるようなセキュリティ対策はありません。SQLインジェクション、ディレクトリ・トラバーサルといった、Webサイトの管理者のミスによって生まれたセキュリティリスクなのです。

まず、Webサイト管理者はなにをすべきでしょうか。ライブラリ、ファイヤーウォール、そして、アプリケーションのフレームワークのバージョンアップを普段から心がけるべきでしょう。セキュリティ対策の基本ですね。

また、JPCERTなどが出しているメーリングリストに登録し、セキュリティに関する情報に常に目を通すことが大事となります。

次に、利用者側はどうすべきでしょうか。Webサイトによっては、閲覧するだけでマルウェアをダウンロードするものや、Flashなどによってマルウェアに感染させられるものがあります。Googleは、マルウェアに感染したサイトを教えてくれるので基本的には大丈夫だと思いますが、リンクやバナーを不用意にクリックしないように心掛けましょう。そして、ブラウザやFlashなどのプラグイン、ブラウザの拡張機能は最新のものを使うべきです。

そして、Webサイトでは、基本的に、メールアドレスとパスワードによる認証方法が多く、二段階認証やキャプチャなどのセキュリティレベルを上げる仕組みを取り入れていなかったりします。

前にもお伝えしたのですが、大手銀行は大体オンラインバンキングのためのスマートフォンアプリを用意しています。スマートフォンアプリは、Webサイトでは実装の難しいゼロ知識証明を取り入れることができます。ゼロ知識証明の中でも、特にチャレンジ・レスポンス認証は有名で、気の利いたエンジニアは、当たり前のように設計に取り入れるでしょう。

例えば、 Google Play に Android の時刻設定を狂わせて、アクセスするとアプリの一覧は表示されないと思います。Jumper のアプリも時刻設定を狂わせると、情報を取ってきたり遊ぶことができなくなります。これらは、チャレンジ・レスポンス認証に端末の時刻を含ませることで、暗号の強度を高め不正にアクセスしにくくしているのです。

結論になりますが、Webサイトとスマートフォンアプリがある場合、なるべく、スマートフォンアプリを利用するようにしましょう。もちろん、スマートフォンのOSバージョンやアプリも常に最新にすることを意識しましょう。

脅威6 ハッカー集団によるサイバーテロ

こちらになると、個人や組織ではなく、世界的な視野で考え、対策することが必要となってきます。

サイバーテロといってもイメージが湧かない人がいると思いますが、米国の SONY Pictures Entertainment(SPE) への攻撃を思い出してみてください。昨今起こっている、サイバーテロは、ハッカーのちょっとした遊びのような感覚を受ける人が多いかと思いますが、それは、まさに平和ボケといえます。

僕らは、日本の1国民として国家の防衛、特に、サイバーテロへの備えをきちーっとしていかなくてはいけません。

これから IoT の時代になり、ありとあらゆる機器がインターネットと繋がれていきます。すでに、エアコンがスマホで操作できるようになりました。今後、電気の使用量を自動的に解析してくれてベストな料金プランを提案してくれたり、電車の遅延の解決にクラウドが用いられるようになっていくでしょう。

ここで、今までの人だったら、どんな情報が抜かれるんだろうと不安になるところです。しかし、n次元チャンネルを読んでいる皆さんは、そこで止まってしまってはいけません。

便利さと引き換えに、日本は、どんどんサイバーテロの危険に犯されるようになっていきます。気をつけないと、知らず知らずのうちに国際テロの手先として、僕らのコンピュータやスマホ、ルータと言った通信機器が扱われて、足跡がついてしまう。

ハイスペックな機器は、更に巧妙なハッキングの手足となり、ロースペックな機器は、DDoS攻撃の手段とされるでしょう。日本が今後なんらかの戦争で敗戦した際には、国際司法裁判所でサイバー空間での戦争の戦犯として扱われるリスクすらあります。

結局、僕らとしてはどうすればよいのか。便利さと引き換えになっているものを常に考えることです。今後は、個人情報が抜かれることに怯えるだけでは足りません。あえて、ハッキングされやすい古い OS を使っている方は、その便利さになにを失っているのかをきちーっと考えるべきです。国家の安全保障も一人ひとりが担っている。そのように意識すべきです。

では、対策方に移りたいと思います。一番簡単な対策は、使っていない通信機器は、電源オフにすること。いちいちオンにする手間がかかりますが、常時オンになっている通信機器があれば、ハッキングされ、僕らが犯人に仕立て上げられる可能性があります。

例えば、僕の話ですが、旅行に行く際は、僕が家からインターネットに接続する可能性はゼロになります。基本的にスマートフォンからか、テザリングしての通信になります。家のルータとモデム、そして、それらを経由して通信するテレビなどの通信機器も不要となります。それらは、きちーっとコンセントを抜くことで電源を切ります。

本日(2016/01/20) JPCERTが、Cisco製のネットワーク機器の脆弱性が発表されました。オフィス用の機器でこれなので、家庭用のルータなどももちろん危険性をはらんでいることでしょう。以下に、JPCERTの発表の一部を掲載しておきます。

【4】複数の Cisco 製品に脆弱性

    情報源

      US-CERT Current Activity

      Cisco Releases Security Updates

      https://www.us-cert.gov/ncas/current-activity/2016/01/13/Cisco-Releases-Security-Updates

    概要

      複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、

      任意の操作を行ったり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの

      可能性があります。

ちなみに、Wifiルータは、ハッキングすると通信の有無に関わらず一発で室内に人がいるかいないか解ってしまいます。回折する電磁波の変化をWifiルータは読み取ることができるのです。Wifiルータがハッキングされることは、人の存在の有無をもハッカーに伝えることになるのです。

もし、武器を積んだドローンなどの無人機とこのようなハッキング技術が組み合わさったらどうでしょう。戦争で狙われるのは常に個人です。人工知能を搭載したドローンは、弾薬を節約するために、確実に人が居ることが解っている部屋を優先的に狙っていくことは容易に想像が付きます。

ちょっと怖い話になりましたが、サイバーテロは、もう少し身近に感じて、遊びやゲームとかと一緒にしないことが、セキュリティリスクを回避する第一歩となります。

まとめ

さて、脅威6まで見てきました。いかがだったでしょうか。本当のところ脅威10まで見ていくべきでしょうが、ここまで見てきて、次元の上がっている皆さんには、情報セキュリティ10大脅威 2015は、以前よりもさらに読みやすいものになっているのではないでしょうか。

本ブログや、情報セキュリティ10大脅威をより詳しく見て、セキュリティ対策に関する知識と知恵をつけていっていただけると、この上ない喜びと感じるところでございます。

一人ひとりが、個人の銀行口座を守るという視点から、集団を守る視点へ。集団を守るという視点から、国家を防衛するという視点を持てるようになると嬉しいです。