ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

セキュリティの脅威は確実に増えていますがそれを誰にでも分かりやすく伝えるのは難しいという話

2013.06.11

マルウェアなどインターネットセキュリティ方面の脅威はとんでもないことになりつつありまして、ロシア発の恐るべき最先端トロイらしき悪質な一品も出てくる始末。でも啓蒙はなかなか追いつかないのが実情のようで。

山本一郎です。加齢臭の脅威に怯えています。

ところで、Androidのマルウェアについて気になる報道がありました。

「最も洗練されたAndroidトロイの木馬」発見~急速に凶悪化するマルウェア(INTERNET Watch 2013/6/10)

このマルウェアはこれまで知られていなかったAndroidの脆弱性2つと、端末管理者特権昇格脆弱性を悪用。感染後は被害者に知られることなく潜み、攻撃者からのSMSメッセージによって、アドレス帳や残高を含むほぼすべての情報を抜き取ることが可能だという。INTERNET Watch
この記事から読み取れることは、Androidという今まさに世界中で急激に普及しつつあるプラットフォームの一つにおいて、従来とはまったく次元が異なる高度な技術を利用した攻撃が始まったという事実です。ロシアの法人向けのセキュリティ関連会社では、顧客に対して広く「社員にAndroidを使用させないように」という警告を発するなど、状況は急速に悪化しています。

このマルウェアは今のところ、ロシアの限られた場所でしか流通していないとされていますが、これがいつ他の地域に広まるかは誰も予測できませんし、その可能性がゼロでないことは明かです。

一連のマルウェアの開発元については、とあるロシアの地方都市にある多国籍IT関連開発会社のサテライトオフィスに勤務するロシア人技術者が詳しい事情を知っているのではないかという憶測も流れております。だとすると、あまりにも画期的なマルウェアすぎて世界中で問題になった際に、この多国籍IT企業に対して賠償を求める声が上がるのかもしれません。

また、電子メールを対象にした攻撃でも、国家規模での関与を疑わせるような事例が普通に起きているという報告があります。

外国政府に販売されたスパイツールが、米国民を標的に(WIRED.jp 2013/6/9)

このツールの利用には大規模なインフラが必要で、通常の人や組織が容易にコピーしたり、利用したりできるものではないWIRED.jp
当然、このような攻撃の対象は日本も含まれています。やや扇情的な見出しではありますが、産経新聞が特集記事の中でメールを使った攻撃事例を取り上げていました。

標的型メール「また中国か」技術情報、無防備な日本企業(MSN産経ニュース 2013/6/3)

まずはセキュリティー意識の薄い社員らのパソコンに侵入、しばらく潜伏しながら、メールのやり取りを観察し、社内ルールにのっとった文面で幹部社員やシステム権限者にメールを送付する。受け取った者は不信感を抱かず添付ファイルをクリックして感染。知らないうちにパソコンが遠隔操作され、大量の機密情報が抜き取られる。MSN産経ニュース
「セキュリティー意識の薄い社員」が狙われる場所はなにも会社のPCだけではありません。個人所有のPCやスマホを入口にして、そこから会社のPCへとたどり着く可能性も十分にあるわけです。最近では、ゲームプラットフォーム大手のGREEがAndroidを媒介としたマルウェアに侵入されて一部情報が流出するという騒ぎがありました。

まさに最初にあげたようなスマホを狙ったマルウェアなどは、最終的に企業・組織といった大規模ネットワークへの侵入を狙っていると考えるべきでしょう。本来であれば十分なセキュリティを確保できるいるはずのネットワークも小さな綻びから破られてしまうという、まさに千丈の堤も蟻の一穴よりの言葉通りです。

ただ、セキュリティについての啓蒙は難しいですね。つい先日もフジテレビのバラエティ番組「ほこ×たて」2時間スペシャルで、「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティプログラム」と銘打った企画が行われたわけですが、これが識者から見てどうにも納得のいかない内容だったようです。

「ほこ×たて」セキュリティ対決の結果に視聴者困惑編集で誤解?(ねとらぼ 2013/6/9)
フジテレビ『ほこ×たて』の『ハッカーVSセキュリティ会社』がひどいとネットで話題に(ガジェット通信 2013/6/10)
ほこたて「最強のハッカー VS 最強セキュリティ」でフジテレビ側の編集が酷いと話題に(NAVERまとめ)

誰にでも分かりやすくという趣旨で番組を作っていく中で、何か本質的なところが違ってしまったようです。確かにハッカーとセキュリティという言葉だけを取り出せばセンセーショナルですが、そこで行われていることはアクション映画のような派手なことは一切ありませんから、視聴者が退屈せずしかも一目見て理解できるような話にするのは難しかったに違いありません。それにしても、もう少しセキュリティの大事さをより広い層に認知してもらえるような形には出来なかったのかと感じた次第です。

もっとも、テレビマンに上記のような複雑怪奇なるネットセキュリティの世界を理解しろといってもなかなかむつかしいところではあるのでしょうが。