日立ソリューションズは、毎年「情報セキュリティの日」(毎年2月2日)に合わせて「セキュリティイベント」を開催している。このイベントは、2006年から連続で開催されており、今年は記念すべき10回目として1月30日に行われた。今やすっかり名物となった『セキュリティいろはかるた』を使った有志企業対抗のかるた大会とともに、セキュリティ分野の専門家を招いたユニークなセミナーも毎回人気となっている。
「セキュリティリスクを正しく理解し正しく怖がることが第一歩」と語る辻氏
セミナーの第1部では、ソフトバンク・テクノロジー シニアセキュリティエバンジェリスト 辻伸弘氏が登壇した。辻氏は、国内外のサイバー犯罪やサイバー攻撃の調査・取材や、セキュリティインシデントのリサーチ、ソーシャルメディアで情報を発信しながら、自宅では趣味としてハニーポットの運用やIDS(侵入検知システム)による監視を行うなど、セキュリティ分野では攻撃者側の視点と手段を熟知する専門家として注目の人物だ。
そこで、「セキュリティ対策以前 ~正しく知り、正しく怖がる第一歩~」と題した辻氏の講演の内容をご紹介しながら、今一度セキュリティの基本に立ち返った心構えを学んでみたい。
セキュリティリスクには「正しく怖がり」「対策を諦めること」が重要
2014年はHeartbleedやShellshock、IEのゼロディなど、脆弱性の当たり年となったと振り返る辻氏は、「セキュリティリスクが次々を報じられる中で、そもそも自社の“どこにある”“何を守りたいのか”を正しく理解した上で、正しく怖がることが大事だ」と、企業の情報セキュリティに取り組む姿勢を改めてアドバイスした。
企業によって守りたい大事なものは異なるが、ある開発系企業では、盗まれて困るものがソースコードなどの著作物ではなく、顧客情報だったそうだ。
そしてもう一つ、心得てほしいこととして「諦めること」が必要だという。マルウェア感染や内部不正、インターネット経由による情報窃取、SQLインジェクションなど、世の中にある数多くの脅威に、全て対策することは無理だと諦めることが現実的で大事だというのだ。もちろん、そのために最善を尽くすという前提で。
続いて、辻氏は昨今の脆弱性の傾向について解説を進める。Windowsにおいては2008年10月のマイクロソフトセキュリティ情報「MS08-067」(Serverサービスに存在する脆弱性の解決)を最後に、攻撃者側がアクティブに通信を発生させてターゲットへの侵入を成功するようなクリティカルな脆弱性が存在しなくなったため、最近ではブラウザ、Java、Acrobatなどの個別のアプリがターゲットになるケースが多いという。
例えば、2014年9月に発見された「Shellshock」(LinuxなどUNIXベースOSに使われている「GNU Bash」に存在する危険な脆弱性)は業界に大きな衝撃を与え、シェル(コマンド実行環境)のショックは現在も続いている。
攻撃方法は意外なほど単純で、攻撃者は脆弱性のあるウェブサーバにShellshockのBashに存在するバグ(CVE-2014-6271)を含む簡単な文字列を送信するだけで、本物のユーザーと同じコマンドを実行でき、かつリモートからシステムに認証なしで任意のコマンドを実行できるようになる。
また、最近の攻撃者の多くはサーバのリモートエクスプロイトを誇るような幼稚な愉快犯ではなく、ドライブバイダウンロード(ウェブサイトを閲覧しただけで不正プログラムをダウンロード/実行する攻撃手法)やRAT(Remote Administration Tool:コンピュータを管理者権限で遠隔操作するためのバックドアを仕掛けるツール)などを設置して水面下で静かに制御の奪取を目論む。
