真冬に悪意のある人物が暖房を止め、再び暖房をつけるのに1,000ドルを要求したらどうなるでしょうか?あるいは、小さな都市の電力を人質に取られたらどうなるでしょうか?個人、企業、そしてインフラ技術に対するこうした攻撃は、サンフランシスコで開催されたRSAカンファレンスで水曜日に講演したSANS Instituteのセキュリティ専門家にとって最大の懸念事項の一つでした。
これらの脅威の一部は消費者を直接標的としていますが、企業を標的とする脅威であっても、その影響が感じられるまでしばらくは経たないかもしれませんが、最終的には消費者にまで浸透する可能性があります。
七つの致命的な攻撃
SANS によると、最も危険な攻撃ベクトル 7 つと、それらに対して何ができるのかを次に示します。
1. ランサムウェア: ランサムウェアは20年以上前に登場しましたが、その後、非常に恐ろしいマルウェアへと進化を遂げました。暗号化ランサムウェアは、ファイルを暗号化し、解除と引き換えに金銭を要求するものです。SANS Instituteの講師であるエド・スコウディス氏によると、ランサムウェアはウイルスのように拡散し、データを個別にロックし、金銭と復旧のために犯罪者に連絡を取らざるを得なくなるため、犯罪者にとって理想的な攻撃手段となっています。
できること:「ネットワーク衛生」を実践しましょう。システムにパッチを適用し、マルウェア対策ソフトウェアを使用し、権限とネットワークアクセス制御を設定して感染リスクを制限しましょう。一度感染したPCは、ネットワーク上の他のPCに感染が広がるのを防ぎましょう。ランサムウェアは実際に人間によって監視されており、彼らと交渉することも可能です。「身の丈に合わないように見せかけるのが最善策です」とスコウディス氏は述べ、支払額を減らす努力を促しました。
2. モノのインターネット(IoT)。消費者向け製品の進化の次の段階は、接続性です。ベビーカメラから歯ブラシまで、あらゆるものが無線プロトコルを使用して相互に接続し、インターネットに接続しています。その結果、ハッキングに対して脆弱になっています。さらに悪いことに、Miraiワームが示したように、IoTデバイスは今や攻撃プラットフォームとなっています。
できること:デフォルトのパスワードを変更しましょう。スマートホーム機器でパスワード変更ができない場合は、返品するか、カスタムパスワード設定に対応したファームウェアの入手を待つか(あるいはメーカーに申請してください)、あるいは対応を依頼してください。また、接続されたデバイスを保護するために、リモートアクセスを無効にしたり、IoTデバイス専用のホームLANを別途用意したり、IoTデバイス専用のクラウドアカウントを用意したりといった対策も有効だとスコウディス氏は述べています。
3. ランサムウェアとIoTの融合。昨年、オーストリアのホテルがハッキングされ、キーカードシステムが混乱に陥りました。こうした攻撃は最終的に家庭にも波及し、スマートサーモスタットを人質に取られ(例えば40度に設定され)、身代金を支払わされるまで放置される可能性があります。
対策:現時点では、この種の攻撃は理論的な段階に過ぎません。しかし、家のリフォームを始める際には、考えるべき点です。どの程度の自動化が行き過ぎなのでしょうか?「人間と機械の適切なバランスとは一体何なのか、自問自答する必要があります」と、SANSのインダストリアル&インフラ担当ディレクター、マイケル・アサンテ氏は述べています。
マーク・ハックマン SANS 研究所が提供した、2015 年に当時のウクライナの発電所に対して行われた攻撃の概要。
4. 産業用IoTへの攻撃。 2015年と2016年に、正体不明のハッカーがウクライナの発電所を攻撃しました。彼らは、自動化・分散化システムの普及を悪用し、電力会社を標的にしました。幸いにも、最初の対応者はすぐに手動でブレーカーを切り替え、電力を復旧させることができました。しかし、常にそうであるとは限りません。パシフィック・ガス・アンド・エレクトリックやコン・エジソンのインフラがハッキングされたらどうなるでしょうか?
できること:消費者としてできることは限られています。インフラ組織は、インテリジェントシステムを導入するか、それとも停止するかを決断しなければなりません。自動化を強化して規模を拡大すれば電力コストを削減できますが、その代償として外部からの攻撃に対する脆弱性が高まる可能性があると、アサンテ氏は警告しています。
マーク・ハックマン SANS 研究所が提供した、2015 年のウクライナ発電所への攻撃の概要。
5. 弱い乱数生成器。SANS インターネット・ストーム・センター所長のヨハネス・ウルリッヒ氏によると、真にランダムな数値は、優れた暗号化、Wi-Fiのセキュリティ確保、そして幅広いセキュリティアルゴリズムの基盤となる。しかし、「ランダム」な数値生成器は真のランダム性を持たないため、その基盤となる暗号化は容易に解読されてしまう。これは犯罪者に有利に働き、これを悪用して「安全な」暗号化接続を解除される可能性がある。
できること:これはデバイスメーカーが解決すべき問題です。ただし、「安全」とされているネットワークが、実際には想像以上に脆弱である可能性があることを覚えておいてください。
6. Webサービスへの過度の依存。 アプリやソフトウェアは、DockerやAzureなどのサードパーティサービスと連携し、それらを組み込むケースが増えています。しかし、これらのアプリが期待通りのエンティティに接続しているのか、あるいは攻撃者が介入してデータを盗み、偽の情報を返しているのか、確かなことはわかりません。
対策:これも開発者にとっての問題です。しかし、ウルリッチ氏はモバイルアプリの脆弱性がますます高まっていると警告しています。つまり、アプリがユーザーのデータを盗もうとしていなくても、アプリが接続していると考えている「サービス」が盗もうとしている可能性があるということです。
7. NoSQLデータベースに対するSoQL攻撃。 これは開発者にとってもう一つの問題ですが、収集されるユーザーデータに影響を与える可能性があります。長年にわたり、SQLデータベースの入力フィールドに実行コードを強制的に挿入するSQLインジェクションは、インターネットの脅威の一つでした。現在、開発者がSQLからMongoDBなどのNoSQLデータベースに移行するにつれ、これらのデータベースが本来あるべきほど安全ではないことが分かってきています。
