CanSecWestセキュリティカンファレンスが今週バンクーバーで開催されます。CanSecWestカンファレンスの一環として、毎年恒例のPwn2Ownコンテストが開催されます。このコンテストでは、セキュリティ研究者たちがハッキングの専門知識を披露し、パッチが完全に適用されたシステムを悪用して侵入する技術を競います。セキュリティ研究者たちは毎年、この難題を驚くほど容易に克服しているようです。
2人のセキュリティ研究者が、フルアップデートされたiPhone 3GSをわずか数秒でハッキングすることに成功しました。これはiPhone 2.0がハッキングされた初めての事例です。過去2年間、フルパッチ適用済みのMacBookへの侵入で有名なチャーリー・ミラー氏が、再びMacBookのハッキングに成功し、Pwn2Own賞を受賞しました。別の研究者は、ASLRやDEPといったMicrosoftのセキュリティ制御を回避し、64ビット版Windows 7システムに侵入しました。
企業がセキュリティに関してすぐに学ぶべき教訓が2つあります。まず、Appleのハードウェアとソフトウェアを使用するだけでは、十分な防御策にはなりません。Mac OS XオペレーティングシステムはWindowsよりも本質的に安全であるという一般的な認識がありますが、実際には、Macが攻撃や侵害を受けにくい主な理由は、市場シェア92%を誇るこのプラットフォームが、マルウェア開発者にとって市場シェア5%のプラットフォームよりもはるかに高い投資収益率を約束しているからです。
皮肉なことに、Mac OS Xプラットフォームを標的としたマルウェアの脅威は確かに存在しないものの、Macユーザーは本来備わっているセキュリティに対する認識によって、別の面でより脆弱になっています。多くのMacユーザーは、このプラットフォームがセキュリティの脅威から逃れられないと確信しているため、セキュリティ上の懸念に全く気づいていません。しかし残念なことに、フィッシング攻撃や個人情報窃盗は、セキュリティ技術というよりもソーシャルエンジニアリングの産物であり、この認識の欠如がMacユーザーをより騙されやすくしているのです。
Pwn2Ownから得られる2つ目の教訓は、ハードウェアやソフトウェアのプラットフォームを問わず、ブラウザがセキュリティの新たな弱点となっているということです。iPhoneのハッキングは、モバイルウェブブラウザSafariの未知の脆弱性を悪用しました。Charlie MillerによるMacBookへの攻撃も、Safariウェブブラウザを経由してオペレーティングシステムに侵入しました。また、64ビット版Windows 7への侵入は、Internet Explorer 8の脆弱性を悪用していました。
Internet Explorerを捨てて「より安全な」ウェブブラウザに乗り換えるべきだという主張とは裏腹に、最近の調査では、Internet Explorer 8はソーシャルエンジニアリング攻撃に対する防御力において、他のブラウザよりも大幅に優れていることが示されました。ブラウザが稼働しているオペレーティングシステムプラットフォームも、ブラウザのセキュリティに大きな影響を与えます。
しかし、Pwn2Ownコンテストから得られる最大の教訓は、どのプラットフォームがより安全か、あるいはどのブラウザが最も早くハッキングされたかということではありません。重要なのは、十分な努力とリソースを持つ攻撃者に対して、あらゆるプラットフォームとブラウザが脆弱であるということです。
今年初めに中国で発生した Operation Aurora 攻撃の標的となった組織が、Internet Explorer 以外の Web ブラウザを使用していれば、攻撃や侵入を回避できたのではないかという誤解がよくあります。
この認識は、攻撃者がInternet Explorerのセキュリティホールを発見し、それを悪用するエクスプロイトを開発し、Internet ExplorerをデフォルトのWebブラウザとして使用している標的を探し出して攻撃し、侵入したというものです。この論理は、マルウェア攻撃の従来のモデルとほぼ一致するため、妥当に思えます。
しかし、標的型攻撃は正反対のアプローチをとります。標的を特定し、その標的が使用しているオペレーティングシステム、アプリケーション、Webブラウザを調査し、それらの製品を精査してセキュリティ上の脆弱性を見つけ出し、その特定の標的を侵害することを目的としたエクスプロイトを開発します。
Windows 7 の代わりに Mac OS X を使用したり、Microsoft Internet Explorer の代わりに Google Chrome を使用したりしても、攻撃者が標的型攻撃を仕掛けるのを防ぐことはできません。
セキュリティを諦めて放棄しろと言っているわけではありません。ただ、セキュリティ対策を「万能薬」と捉えてはいけないと強調したいのです。適切なオペレーティングシステムやWebブラウザ、あるいは適切な都市を選ぶことさえ重要ではありません。
これらの選択肢に関わらず、セキュリティを維持する上で決定的な要因となるのは、依然として認識と常識です。iPhoneとMacbookに対するPwn2Ownエクスプロイトはどちらも、ユーザーを悪意のあるWebページに誘導して攻撃を実行していました。ユーザーがセキュリティリスクを認識し、不明なリンクや怪しいリンクをクリックしないという常識を持っていれば、このような攻撃は成功しないでしょう。
もしかしたら、AppleはOpera MiniウェブブラウザをiPhone向けに承認して、ユーザーにSafariよりも安全な別の選択肢を与えるべきなのかもしれない。念のため。
トニー・ブラッドリーは、 『Unified Communications for Dummies』の共著者です。 @Tony_BradleyPCWとしてツイートしています。Facebookページをフォローするか、[email protected]までメールでご連絡ください 。
