セキュリティのぜい弱性を突く攻撃やフィッシング詐欺などのプロ犯罪に対抗するために,世界各所で毎年開催しているセキュリティ分野の会議がある。その1つが日本で開催する「PacSec」だ。2008年11月12日から東京で開催される「PacSecカンファレンス2008」のために来日した,同会議の主催者であるDragos Ruiu氏に,2008年11月現在のセキュリティの最新トレンドを聞いた。
PacSecは1年ぶりだが,セキュリティ攻撃のトレンドに変化はあるか。
セキュリティにとって1年間はとても長い。私にとって,1年前のことなど忘却の彼方だ。この1年で,トレンドは,まったく変わったと言ってよい。
PacSecに応募されてきた発表論文を見るに,今年は大きく2つの傾向がある。1つは,仮想マシンやFlash/Silverlightなど,Webブラウザまわりの環境を狙った攻撃が目立つ点だ。もう1つは,ライブラリやハードウエアなど低レイヤーのぜい弱性を狙った攻撃が目立つ点だ。
低レイヤーのぜい弱性を狙った攻撃とは何か。
低レイヤーを狙った攻撃についてカンファレンスで発表される論文の例を,2つ紹介しよう。1つは無線LANの暗号通信技術の1つであるWPA1(WPA-TKIP)を900秒以内に破れる,というもの。Erik Tews氏という学生の論文であり,一般向けには11月6日に発表したばかりのホットな話題だ。
対策として今言えることは,WPA1ではなくWPA2(WPA-AES)を使うことと,ネゴシエート時に旧製品に合わせてWPAにダウングレードすることのないように設定することだ。もしWPA-TKIPを使い続けなければならないのであれば,データ暗号鍵を生成する際のベースとなるキーを120秒ごとに“Rekey”(変更)するべきである。
もう1つの低レイヤーを狙った例は,スイスの研究者から寄せられたもので,NIC(ネットワーク・インタフェース・カード)に中継攻撃用のSSHサーバーを送り込んで稼働させてしまう,という攻撃だ。一般に,クライアント・マシン上で動作しているセキュリティ・ソフトは,CPUを用いて動作するプログラムの挙動しか監視しない。NICを狙うのは新しく効果的だ。
Webブラウザ関連の攻撃で,目立った動きはあるか。
Websense Security LabsのStephan Chenette氏の論文を紹介しよう。Webブラウザ上で動作させる攻撃用スクリプトを,細かく複数の素片に分割して,分散する複数のWebサーバーを経由して送り込む,という攻撃だ。
セキュリティ・ソフトは,個々の素片では問題を検知できず,スルーしてしまう。そして,Webブラウザ上で複数の素片が1つの攻撃用スクリプトへと構成される,という仕掛けだ。この攻撃では,実際に被害事例が出ている。
攻撃者はどういう人物か。最近の傾向はあるか。
金銭目的のプロ犯罪者としての傾向が,どんどん強まっている。クレジット・カードなど金融関連のデータが狙われ,被害金額も年々多くなっている。
金融機関はセキュリティ強度が高いため,攻撃の対象にはならない。もっと攻撃しやすい,セキュリティ強度の弱いところが,ピンポイントで狙い撃ちされる。個人やECサイトだ。
例えば,流通店舗のT.J. Maxxでは,無線LANのWEPを破られて,4500万件のクレジット・カードおよびデビッド・カードの情報が盗まれている。つい先日,関係者が捕まったばかりだ。
