愚か者とその愚かな p@$$w0rd はすぐに根絶されますが、2012 年が証明したことがあるとすれば、それは、セキュリティに関して最も用心深い人でも、保護対策を倍増し、ますますクラウド接続が進む世界で最悪の事態が発生した場合に被害を最小限に抑える最善の方法について考える必要があるということです。
堅固なセキュリティツールボックスは防御の中核となるのは言うまでもありませんが、基本的な行動も考慮する必要があります。例えば、LinkedInのパスワードが漏洩しても、特定の英数字の組み合わせが、あなたが利用するすべてのソーシャルメディアアカウントではなく、その特定のアカウントにしかアクセスできない場合は、ほとんど害はありません。二要素認証は、侵害を未然に防ぐことができます。ところで、あなたのパスワードは適切でしょうか?
怖がらせたいわけではありません。むしろ、2012年に起きたセキュリティ上の最大の脆弱性、失策、そして失敗からわかるように、デジタル時代に求められる予防策について、皆さんの目を覚ましてもらいたいのです。2012年は悪者にとってまさに絶好の年でした。
湖南ハッキング攻撃
2012年で最も注目を集めたハッキング事件は、何百万人ものユーザーや盗まれた決済情報の山ほどを巻き込んだものではありませんでした。2012年のセキュリティにおけるハイライト(いや、ローライト?)は、一人の男、Wiredのライター、マット・ホナンによる壮大なハッキングでした。
わずか1時間の間に、ハッカーたちはホナン氏のAmazonアカウントにアクセスし、Googleアカウントを削除し、3台のAppleデバイスを遠隔操作で消去しました。そしてついに、最終目的であるホナン氏のTwitterアカウントの乗っ取りを達成しました。なぜこれほどの破壊行為が行われたのでしょうか?それは、@matという3文字のTwitterアカウントが、非常に人気があるためだと思われます。(アカウントが一時停止される前に、ハッカーたちは人種差別的および同性愛嫌悪的なツイートを複数投稿していました。)
この壊滅的な被害は、ホナン側のセキュリティ上の不手際(重要なアカウントのデイジーチェーン、二要素認証の有効化の欠如、複数のメールアカウントで同じ基本的な命名規則を使用)と、Amazon と Apple のアカウントセキュリティプロトコルの矛盾によってもたらされたものであり、ハッカーたちは、昔ながらのソーシャルエンジニアリングの力を借りて、これらを悪用した。
一番恐ろしいのは?おそらくほとんどの人が、ホナン氏と同じような基本的な(つまり、緩い)セキュリティ対策を講じているだろう。幸いにも、PCWorldはすでに、最大のデジタルセキュリティホールを塞ぐ方法を解説している。
炎ウイルス
Flame ウイルスは 2010 年まで遡り、2012 年 5 月に初めて発見されましたが、複雑なコード ベースを持ち、エジプト、シリア、レバノン、スーダン、(最も頻繁に) イランなどの中東諸国でスパイ活動のツールとして主に使用されている点において、政府が支援する Stuxnet ウイルスと驚くほど類似しています。
Flameがシステムに侵入すると、Skypeの会話やコンピューター付近で発生したあらゆる音声を録音したり、スクリーンショットを撮影したり、ネットワーク接続を盗聴したり、すべてのキー操作や入力ボックスに入力されたデータをログに記録したりするモジュールをインストールします。つまり、これは非常に悪質なマルウェアであり、Flameは収集したすべての情報をコマンド&コントロールサーバーにアップロードします。カスペルスキーの研究者がFlameの存在を突き止めた直後、ウイルス作成者は感染したコンピューターからFlameを消去するkillコマンドを実行しました。
ホテルのドアを開ける50ドルの自作ツール
7月に開催されたBlack Hat Securityカンファレンスで、研究者のコーディ・ブロシャス氏は、Onity社製の電子ドアロックをある程度確実に開けられるデバイスを公開しました。Onity社のロックは、ハイアット、マリオット、IHG(ホリデイ・インとクラウンプラザを所有)といった有名ホテルチェーンを含む、世界中の数千ものホテルの400万のドアに取り付けられています。Arduinoマイクロコントローラーをベースに50ドル未満で組み立てられるこのツールは、小銭と多少のコーディングスキルがあれば誰でも簡単に作ることができます。テキサス州のホテルの部屋に同様のツールが侵入に使用されたという報告が少なくとも1件あります。
アルドゥイーノ確かに恐ろしい話だ。それよりも心配だったのは、オニティ社の対応だった。「ポートにプラグを差し込んで、ネジを締め直せばいい」という感じだった。
同社は最終的に脆弱性に対する実際の解決策を開発しましたが、影響を受ける錠前の回路基板の交換が必要となり、Onity社はその費用負担を拒否しています。12月のArsTechnicaの報道によると、テキサス州での犯罪が相次いだことを受け、同社は交換用基板の補助金支給に前向きな姿勢を見せているようですが、11月30日時点で、 Onity社が世界中のホテルに供給した「錠前ソリューション」(プラスチックプラグを含む)は合計140万個にとどまっています。つまり、この脆弱性は依然として広く蔓延しているということです。まさに大失敗です。
千切れ死
2011年のPlayStation Networkのダウンのような大規模なデータベース侵害は発生しませんでしたが、春から夏にかけて、小規模な侵入が相次いで発生しました。650万件のハッシュ化されたLinkedInパスワードの流出が最も注目を集めたハッキング事件ではありますが、150万件以上のハッシュ化されたeHarmonyパスワード、45万件のYahoo! Voiceログイン情報、未特定数のLast.fmパスワード、そして数百人のNvidiaフォーラムユーザーのログイン情報とプロフィール情報が公開されたことで、さらに注目を集めました。他にも挙げればきりがありませんが、要点はご理解いただけたかと思います。
結論は?ウェブサイトがパスワードを安全に保管してくれるとは限らないので、ハッカーが特定のアカウントのログイン情報を解読できた場合の被害を最小限に抑えるために、サイトごとに異なるパスワードを使用することをお勧めします。より効果的なパスワードを作成するためのヒントが必要な場合は、こちらのガイドをご覧ください。
Dropboxが警戒を解く
ドロップボックス7月、Dropboxユーザーの一部が、受信トレイに大量のスパムメールが届いていることに気づき始めました。当初は否定していましたが、その後さらに詳しく調査した結果、Dropboxはハッカーが従業員のアカウントに侵入し、ユーザーのメールアドレスが記載された文書にアクセスしていたことを突き止めました。なんと!被害は軽微でしたが、痛恨の極みでした。
同時に、ごく少数のユーザーのDropboxアカウントが外部からの攻撃を受けていました。調査の結果、ハッカーがアカウントにアクセスできたのは、被害者が複数のウェブサイトで同じユーザー名とパスワードを使い回していたためであることが判明しました。別のサービスで発生した侵入によってログイン情報が漏洩した時点で、ハッカーはDropboxアカウントのロックを解除するために必要な情報をすべて入手していました。
Dropboxの苦境は、サービスごとに異なるパスワードを使用する必要性と、クラウドをまだ完全に信頼できないという事実を改めて浮き彫りにしています。サードパーティ製の暗号化ツールを使えば、クラウドのセキュリティを自ら管理することが可能です。
サウスカロライナ州の社会保障番号が何百万件も盗まれた
暗号化について言えば、政府が基本的なセキュリティ原則に従っていればよいでしょう。
10月に発生した大規模なデータ侵害により、ハッカーがサウスカロライナ州民360万人(人口わずか460万人)の社会保障番号を盗み出した事件を受け、州当局はIRS(内国歳入庁)に責任転嫁しようとしました。IRSは各州に対し、納税申告書における社会保障番号の暗号化を明確に義務付けているわけではないからです。そのためサウスカロライナ州は暗号化しませんでしたが、後知恵で言えば、今から暗号化を開始する予定です。
明るい面としては、このデジタル窃盗事件でサウスカロライナ州民 387,000 人のデビットカードとクレジットカードの詳細も盗まれ、そのほとんどは暗号化されていたが、カードの詳細がプレーンテキストで盗まれた 16,000 人にとっては、あまり慰めにはならないだろう。
Skypeの重大なセキュリティ欠陥
11月、Skypeユーザーは一時的にアカウントのパスワードリセットをリクエストできなくなりました。これは、アカウントに関連付けられたメールアドレスさえ知っていれば、誰でもSkypeアカウントにアクセスできる脆弱性が研究者によって発見されたためです。アカウントのパスワードやセキュリティの質問ではなく、メールアドレスだけでアクセスできたのです。
Skypeは、この脆弱性が世間の注目を集めるとすぐに修正しましたが、被害は既に拡大していました。この脆弱性はロシアのフォーラムで拡散され、閉鎖される前から悪用されていました。
ハッカーが150万枚のクレジットカード番号を盗む
4月、ハッカーたちは、政府機関、金融機関、世界中の約100万の店舗などで利用されている決済処理サービス「グローバル・ペイメンツ」のデータベースから、なんと150万件ものクレジットカード番号を「エクスポート」することに成功した。
幸いなことに、侵害はほぼ封じ込められました。Global Paymentsはハッキングの影響を受けたカード番号を特定することができ、盗まれたデータにはカード番号と有効期限のみが含まれており、カード所有者の氏名や個人を特定できる情報は含まれていませんでした。しかし、被害は続きました。6月、Global Paymentsは、ハッカーが同社の加盟店アカウントを申請した人々の個人情報を盗んだ可能性があると発表しました。
Microsoft Security Essentials が AV-Test 認定に不合格
いやはや、これは恥ずかしい話ですね。AV-Testは独立系情報セキュリティ機関で、定期的に市場の主要なマルウェア対策製品をすべて集め、大量のマルウェアを投入し、その猛攻撃に各ソリューションがどれだけ耐えられるかを検証しています。11月末にAV-Testは24種類のコンシューマー向けセキュリティソリューションを対象にこのテストを行いましたが、AV-Testの認定基準を満たせなかったのはたった1つだけでした。それはMicrosoft Security Essentials for Windows 7です。
MSEはテストにおいて、よく知られたウイルスに対しては確かに良好な防御力を示しましたが、ゼロデイ攻撃に対するセキュリティ対策は、実に不十分でした。ゼロデイ攻撃に対する保護スコアは64で、業界平均を25ポイントも下回っています。
失敗ではなかった:ノートンのソースコードが公開された
一見すると恐ろしい話に聞こえます。悪質なハッカー集団がシマンテックの人気セキュリティユーティリティ「ノートン」のソースコードを入手し、それをパイレート・ベイに公開して世界中に公開したのです。なんとも恐ろしい! 世界中で販売されている膨大な数のパッケージ型システムにプリインストールされている防御策を、悪者が思うままに突破するのを阻止できるものは何もありません。そうですよね?
違います。ソースコードは2006年にリリースされたNorton Utilities製品のものでした。シマンテックの現在の製品はその後、根本から再構築されており、両製品に共通するコードはありません。つまり、2006年のソースコードの公開は、現在のNorton加入者にとって何のリスクもありません。少なくとも、過去5年間にアンチウイルスソフトを更新していればなおさらです。
