大手企業でも、小規模なホームオフィスでも、ハッキングされる可能性は変わりません。そして、そのリスクはクレジットカードの不正利用よりも深刻です。ユーザーとネットワークを保護するためのヒントをいくつかご紹介します。エンタープライズクラスのセキュリティ専門家でさえ、見落としがちな対策です。
誰が標的になる可能性があるか、どのように、なぜ標的になるのかを知る
Googleを含む米国企業への攻撃が最近報道されているのを見て、多くの経営者は「自分のサーバーには攻撃者が狙うような価値の高いデータは置いていないから、そんなことは起きない」と考えているかもしれません。しかし、多くの攻撃は標的を絞ったものではなく、自己選択によるものです。つまり、攻撃者は収集したメールアドレスリストに何千通ものメッセージを送信することで広範囲に攻撃網を広げ、リンクをクリックするか、メールに埋め込まれた画像にピンバックするなどして反応したユーザーを、自ら攻撃対象として選びます。
標的型攻撃、あるいは「スピアフィッシング」として知られるようになった攻撃は、より危険なものです。優れた攻撃者は、標的組織のウェブサイト、SECへの四半期報告書(公開組織の場合)、プレスリリースなどを精査し、主要人物の氏名とメールアドレスを入手します。
それが失敗した場合、攻撃者はおそらく業界のカンファレンスや講演イベントを徘徊するでしょう (スライドショーはほとんどの場合、講演者の名前、役職、電子メール アドレスとともにカンファレンスの Web サイトにアーカイブされています)。また、ソーシャル ネットワーキング サイトもチェックします。ハッカーにとっては、Facebook のファン ページや LinkedIn のプロフィールから誰が責任者であるかを突き止めて、簡単に餌を仕掛けることができるからです。
一般的なスパマーが量を求めるのに対し、スピアフィッシング攻撃者は質を求めます。機密文書を日常的に扱う幹部や、会社のファイルサーバーで高い権限を持つ幹部は、潜在的な標的です。組織図のトップに飛びつき、スピアフィッシング攻撃者が狙いを定めるのはCEOだと考えがちですが、CEOの秘書についても考えてみてください。秘書は、CEO宛てに毎日何百通もの見知らぬ送信者からのメールを受け取ることに慣れており、すべての受信メールの整理を任されている可能性が高いです。秘書はストレスを感じ、締め切りに追われ、重要なメッセージの遅延を避けるプレッシャーにさらされている可能性が高いため、コンピュータセキュリティに関する判断を誤る可能性が高くなります。
同様の理由から、組織の顧問弁護士や専属弁護士も格好の標的となり、特にAdobe PDF攻撃においてはその傾向が顕著です。弁護士は、弁護士同士や企業間で、定期的に大容量のPDF形式の報告書を交換しています。お気に入りの有力な知的財産法律事務所の偽装アドレスから、偽の差し止め命令メールを送り、悪意のあるペイロードを含むPDFを添付するといったことは、決して想像に難くありません。弁護士はそのようなメールをためらうことなく開封するでしょう。そして、PDF内のペイロードが実行されると、弁護士のマシンは事実上、攻撃者に「乗っ取られる」ことになります。
餌には乗らない
競争情報や企業スパイを狙ったスピアフィッシング攻撃では、被害者が餌に食いつく可能性が高くなるよう、被害者に合わせてカスタマイズされたメッセージ(メール、インスタントメッセージ、ツイートなど)が使われる傾向があります。研究機関のトップクラスの原子核物理学者が、レプリカのロレックス時計や天然の男性機能向上剤の広告リンクをクリックする可能性は低いでしょう。しかし、有名な原子核物理学シンポジウムのパネルディスカッションの講演者への招待メッセージであれば、その餌はほぼ抗えないものとなるでしょう。
2010年には、ほとんどのユーザー(特にテクノロジー系の従業員)はパスワードのリセットや「セキュリティ強化中」というメッセージに疑念を抱くだろうと思われるかもしれませんが、それでも驚くほど多くのユーザーがそのような策略に騙されるでしょう。私の会社であるSpecial Ops Securityは、組織や政府機関との評価の一環として、企業内の標的ユーザーを意図的にフィッシングし、暗号化されたウェブサイト上でクリックスルーと取得したパスワードの両方を追跡する、管理された実験を実施します。
私の同僚2人は、CIOが従業員に対して模擬「スピアフィッシング」を実行できるセルフサービスポータルをPhishMe.comで立ち上げました。これは非常に刺激的な演習なので、強くお勧めします。
パスワードリセットメールを防ぐために、固有のメールアドレスを使用する
近日発売予定の新製品に関する標的型メールや、集団訴訟の和解通知を記載した悪意のあるPDFに騙されることはないだろうと思うなら、パスワードリセットやソーシャルネットワーキングの通知メッセージといった、常に存在する類のメールがあります。大規模なウェブサイトでは残念ながら必須となっているため、ほとんどのウェブサイトには「パスワードを忘れた場合」という機能があり、アカウントへのアクセスを可能にするためのメールを送信します。
さらに、私たちはサイトから新しい友達リクエストや、他の人が投稿した自分の写真に関する通知メールが届くのを期待するように訓練されています。これは人間の心理にとって特に魅力的な提案です。「昨晩のあなたのこの面白い写真を見ましたか?」というメッセージをクリックせずにいられるでしょうか?
FacebookやMySpaceが本当にメールを送信したのか、それとも偽装されたのか、どうすれば見分けられるのでしょうか? いずれは電子署名とDNSレベルのセキュリティが十分に導入され、こうした偽装メッセージは効果を失ってしまうでしょう。それまでの間、メッセージが本物であることを確認するために私が使っている方法が一つあります。私が利用するソーシャルネットワーキング(あるいはeコマース、航空会社など)のウェブサイトには、それぞれ独自のメールアドレスが割り当てられています。
幸運にも独自のドメイン名とメールサーバーをお持ちの場合は(Google Apps は最適です)、 [email protected] と [email protected] を作成できます。サイトからのメールを装った通知メッセージが届いたものの、「宛先」アドレスが一致しない場合は、そのメッセージは極めて疑わしいと考えて、すぐに削除してください。
独自ドメインを持っていない場合や、[email protected] のアドレス体系が簡単に推測されてしまうのではないかと心配な方のために、メールを偽装するサービスがいくつかあります。私のお気に入りはSneakemail.comです。月額わずか2ドルで、無制限の数のメールエイリアスを作成できます。このサービスでは、ウェブサイトごとに異なるメールアドレスを使用し、すべてのメッセージを「本物の」メールボックスに転送できます。返信もこのサービスが処理してくれるので、ウェブサイトがあなたの本当のアドレスを知ることはありません。
パスワードリセットの通知が、そのサイトの専用アドレスではなく、職場のメールアドレスに直接届いた場合、それは良くてもスパム、最悪の場合はフィッシング詐欺だと分かります。嬉しい副次効果として、あなたの情報を第三者と共有する悪質なウェブサイトを見つけることができます。私はかつて、ある航空会社のマイレージクラブにのみ登録していたメールアドレスに、ある企業から複数の迷惑なオファーが届いたことがあります。言うまでもなく、私はクラブのプライバシー部門に連絡し、ログを提出して、すぐにそのアカウントを解約しました。
メール内の何もクリックしないでください
原則として、私はメール内のリンクは絶対にクリックしません。たとえ既知の送信者からのリンクであってもです。適切にフォーマットされたHTMLメールであれば、大きな「ここをクリック」ボタンのすぐ下にURLが記載されているはずです。通常は「お使いのメールソフトでリンクが許可されていない場合は、以下のURLをコピーしてブラウザに貼り付けてください」というセクションに記載されています。それでもURLが見つからない場合は、メールソフトをプレーンテキスト表示に切り替えて(Gmailでは返信メニューから「元のメッセージを表示」オプションを使用できます)、URLを見つけてください。
どうしてもクリックしたい場合は、まずURLをハイライト表示して、WebブラウザのGoogle検索バーに貼り付けます。少なくとも、クリップボードに取り込まれたHTMLやリッチテキスト形式のURLは削除され、純粋なプレーンテキストのURLが残ります。これにより、www.yahoo.com.com.attacker.evil.ruのような難読化トリックのほとんどが除去されます。DNS(ドメインネームサーバー)はURLを右から左に読み取る(つまり、evil.ruのサイトにアクセスしている)のに対し、人間はURLを左から右に読み取る(おそらくyahoo.comのサブセクションにアクセスしていると考える)ことに気付かないかもしれません。
さらに、URLを検索エンジンに送信することで、www.paypa1.com(小文字の「L」ではなく数字の「1」)へのリンクを送信するようなホモグラフ攻撃からも保護されます。最初の数個のリンクから何かがおかしいことは明らかですが、国際化ドメイン名(IDN)の場合はさらに複雑になる可能性があります。Googleがリンクのサニティチェックを行い、リッチテキスト形式を削除するのにかかる総コストはゼロです。
早期にパッチを適用し、頻繁にパッチを適用する
パッチ適用は絶対に必要であり、(ほぼ常に)完全に無料です。こんなことを言わなければならないのは驚きですが、今すぐ最初に確認すべきことは、すべてのパッチが最新の状態になっているかどうかです。iCal/Outlookのリマインダーを設定して、毎月実行しましょう。Microsoftはセキュリティアップデートを第2火曜日にリリースするため、毎月第2水曜日が最適なタイミングです。あるいは、住宅ローンや家賃の支払いと関連付けて、小切手を切る際にアップデートの有無も「確認」しましょう。
Windows Updateをダブルクリックするだけではダメです。Microsoft Update(Windows Updateの派生版)を有効にしていないと、Microsoft Officeのアップデートは受け取れません。でも、それだけではありません!Adobeのサイトにアクセスして、FlashプラグインとPDFリーダーのアップデートも忘れずに行いましょう。Firefoxはユーザーの介入なしにアップデートをプッシュ配信してくれますが、メジャーリリースへのアップグレードは行いませんので、Firefoxのサイトも確認してみてください。
私はろうそくに火を灯し、MicrosoftがWindows UpdateのインフラをすべてのWindowsソフトウェア発行者に開放し、一元化された場所から、自動で、ワンクリックでアップデートをプッシュできるようになる日を待ち続けています。その日が来るまでは、SecuniaのPersonal Software Inspector(個人ユーザー向け無料)のようなソフトウェアを使ってみてください。このソフトウェアは、コンピューター上のすべてのソフトウェアをスキャンし、セキュリティパッチが不足している箇所を一元的に確認できます。
以前、ITマネージャーのネットワーク監査を行ったことがあります。彼らはウイルス対策シグネチャを5分ごとに更新していると自負していましたが、重要なサーバーにはInternet ExplorerとAdobeの標準バージョンがそのまま残っており、OSのパッチは2007年版が適用されていませんでした。Googleへの攻撃が成功したのは、従業員が古いWebブラウザを使っていたためだと主張する報道もあります。
先週、GoogleはGoogle AppsとGoogle Docsサービスのサポート対象ブラウザからIE 6を削除すると発表しました。メーカーがより新しく、より安全なバージョンのソフトウェアをリリースしたら(Internet Explorer 6と7をお使いの皆さん、まさにその通りです)、最新バージョンにアップグレードしましょう。インストールの進行状況バーを5分ほど確認する時間は、こうした新しい技術が提供するセキュリティを考えると、十分に価値があります。
ハードウェアもアップデートが必要です。ハードウェアの在庫を確認し、ファームウェアのアップデート(ソフトウェアパッチと同じくらい重要)を確認してください。年に2回は、メーカーのWebサイトでネットワークポートを備えたハードウェアを確認してください。ルーターやスイッチだけでなく、複合機、レストランのPOS端末、ブルーレイプレーヤー、PBX、Twitter対応のコーヒーメーカーなども対象です。
ボブに安全なネットワークの運用を止めさせないでください
お客様からよく、「ボブがそう言っている」という理由でサーバーにパッチが適用されていない、とクレームが寄せられます。ボブは開発マネージャーや営業担当副社長であり、カスタムアプリケーションは最新のサービスパックでは動作しない、あるいはセキュリティ機能がすべて無効になっている古いWebブラウザが必要だ、などと。これは、私の考えでは許容できないビジネスリスクです。社内の特定の部門で、最新のセキュリティパッチを適用できないソフトウェアが使用されている場合、IT部門は機密ネットワークと非機密ネットワークを分離するのと同じように、ネットワーク内の該当サーバーを分離する必要があります。
さらに、パッチが適用されていないサーバーはインターネットに接続すべきではありません。スタッフは、危険なパッチ未適用サーバーには、専用の「安全性の低い」ネットワークに接続された専用コンピューター(メールの閲覧やインターネットの閲覧に使用しているコンピューターとは別のコンピューター)からのみアクセスする必要があります。
企業が情報セキュリティを真剣に受け止めなければ、情報窃盗や高額なシステム障害を避けることはできません。汚染の恐れがわずかにあるピーナッツバターの瓶は、リコール開始から数時間で店頭から撤去されます。数百人の従業員の給与計算を処理する金融サーバーには、既知の脆弱性が残っていても、何ヶ月も稼働させられています。ボブがそう言ったからといって、パッチを適用していないサーバーを運用するべきではありません。
P2PのPは個人的なもので、ビジネスではありません
あまり一般的ではないことを言わせていただきますが、P2Pは職場のコンピュータでは使うべきではありません。P2P(ピアツーピア)ネットワークから悪意のあるソフトウェアが侵入するリスクは、BitTorrentやKaZaaの正当な必要性をはるかに上回ります。個人のコンピュータでは、依然として使用はお勧めしませんが、正当な理由がいくつかあることは理解できます。シェアウェアアプリケーションを入手するには、信頼できるウェブサイトをご利用ください。
P2Pに参加する必要がある場合は、それらの機能には管理者以外の別のユーザーアカウントを使用してください。P2Pネットワークからダウンロードしたソフトウェアは、管理者アカウントで実行しないでください。また、これらのダウンロードは必ず複数のウイルス対策ソフトウェアでスキャンしてください。Norton Internet Security 2010などの堅牢なセキュリティパッケージをまだインストールしていない場合は、Virustotal.comで疑わしいダウンロードを素早くスキャンすることをお勧めします。技術に精通したパワーユーザーであれば、仮想マシンでP2Pソフトウェアを実行し、ホストオペレーティングシステムを隔離することをお勧めします。
ネットワークを確立する
会社と自宅のルーターのDNSリゾルバーをOpenDNSに切り替えましょう。今すぐ実行してください。私は待っています。インターネットサービスプロバイダーが提供するデフォルトのDNSを使う理由はありません。OpenDNSはクエリを高速化する巨大なキャッシュと、一部の企業にとって魅力的な無料のウェブサイトフィルタリングサービスを提供しています。フィルタリングを希望しない場合でも、堅牢で安全なDNSインフラストラクチャにより、DNSレベルでの既知の攻撃から保護されます。
OpenDNSサーバーは通常、デフォルトのISPサーバーよりも応答が速いため、5分ほど再設定するだけでインターネット接続がよりスムーズになります。OpenDNSのウェブサイトでは、自宅のルーターや会社のActive DirectoryドメインコントローラーをOpenDNSのリゾルバーに変更する簡単な手順が説明されており、世界中にインフラを展開しているため、どこにいても迅速な応答が得られます。
パワーユーザーや職場でIT担当者の方々には、サーバーとワークステーションの両方でホストベースのアウトバウンドファイアウォールを使用することを強くお勧めします。未知のプロセスや新しいプロセスがアウトバウンド接続を確立しようとしたときに通知を受け取ることは絶対に不可欠です。こうすることで、たとえウイルス対策やマルウェア対策の防御をすり抜けてしまったとしても、その途中でそれを捕捉することができます。もちろん、ポップアップが表示されるたびに「承認」をクリックするような、技術に詳しくないユーザーには役に立ちません。
社内では、アウトバウンドファイアウォールルールを導入しましょう。私が関わっている企業の多くは、ユーザーに対してアウトバウンドポリシーを「すべて許可」しています。これはかつては許容されていたかもしれませんが、今世紀において、このような寛容なポリシーでビジネスを運営することはお勧めしません。まずは、ユーザーをアウトバウンドのHTTPとHTTPSのみに制限することから始めましょう。これで全てを保護できるわけではありませんが、許可されていない可能性のあるアウトバウンド接続の大部分を遮断できます。また、OpenDNSを使用して不適切なウェブサイトへのアクセスを制限することもできます。
最も重要な点(そして最も見落とされがちな点)は、サーバーとDMZネットワークでは、明示的な送信接続(メールサーバーへの送信SMTPなど)を少数のみ許可することです。最新のパケットインスペクションファイアウォールは、WebサーバーがWebページへの受信リクエストに応答できるほど高性能ですが、Webサーバーが外部への接続を開始する正当な理由はほとんどありません。
もちろん例外もあります(例えば、取引先との在庫交換やオフサイトデータバックアップなど)が、一般的にほとんどのサーバーは情報を求めるインバウンドリクエストに応答し、自ら接続を開始することはありません。ハッカーがサーバーに侵入した場合、まず最初に行うことの一つは、サーバーを使って別のマシン(組織内またはハッカーのネットワーク内)に接続することです。windowsupdate.microsoft.com(および同様の更新サイト)へのアウトバウンドアクセスに関するルールを設定することは全く問題ありません。「すべて許可」という包括的なポリシーは、トラブルを招くだけです。
Steven Andrés は、Special Ops Security の創設者兼 CTO です。
