私は悪意のある人物がガンブラーに学び、クラウドサービスのアカウント情報の窃取を試みるのではないかと考えています。

『企業や組織が直面する10大脅威、IPAが発表 - ITmedia エンタープライズ』 http://www.itmedia.co.jp/enterprise/articles/1003/31/news039.html

先日IPAより起業や組織が直面する10大脅威が発表されました。

その中で私が注目しているものが5つあります。これらは組み合わせて一つの大きな脅威となりそうです。

2位　「アップデートしていないクライアントソフト」

3位　「悪質なウイルスやボットの多目的化」

6位　「被害に気づけない標的型攻撃」

8位　「正規のアカウントを悪用される脅威」

9位　「クラウドコンピューティングのセキュリティ問題」

まだ被害が完全に収まったとは言えませんが、ガンブラーは非常に大きな騒動を巻き起こしました。ガンブラーは脆弱性のあるPCに感染して「FTPのアカウント情報を盗む」という動作をしていました。また、Koobfaceというワームはfacebookやtwitterといったソーシャルメディアのアカウントを盗むという動作をしていました。ガンブラーは「まさか企業の公式サイトで感染しないだろう」と、Koobfaceは「まさか友人のアカウントが乗っとられていることはないだろう」とガードが甘くなってしまうという点が大きな特徴であったように思います。

『Gumblarの新しい亜種が突出、感染サイトの4割で検出 - ITmedia News』 http://www.itmedia.co.jp/news/articles/1001/26/news024.html

『SNSマルウェアの「Koobface」亜種が激増、攻撃効果を認識か - ITmedia News』 http://www.itmedia.co.jp/news/articles/0907/07/news024.html

先日はオバマ大統領のTwitterカウントを乗っ取った犯人が逮捕されました。HackerCrollと名乗るこの25歳のフランス人男性は、IT技術の面で特にすごい腕前を持っていたわけではなく、いわゆる「ソーシャルエンジニアリング」の手口でアカウントを乗っ取ったと報道されています。これは2009年にTwitter管理者がハッキング被害にあった件と同じものかもしれません。ここではアカウント情報（IDとパスワード）の使い回しが狙われました。

『オバマ大統領のTwitterアカウント乗っ取り犯が逮捕 - ITmedia News』 http://www.itmedia.co.jp/news/articles/1003/25/news042.html

『Twitterにハッキング、侵入にYahoo!メールを利用 - ITmedia News』 http://www.itmedia.co.jp/news/articles/0905/01/news026.html

クラウドコンピューティングの魅力のひとつに、インターネットにつながってさえいればいつでも、どこでも、どのようなデバイスからもアクセスできることが挙げられます。もちろん特定の企業のIPアドレス以外からの接続をすべて遮断することもできますが、出先の営業マンも在宅勤務も会社もサービスを利用できるということはとても便利です。

その反面、脆弱性のあるPCでそういったサービスを利用するということはガンブラーのようにアカウント情報を盗まれてしまう可能性を高めると考えられます。脆弱性のあるPCが1台見つかった場合、どのような攻撃が行われるでしょうか。

1. 特定企業に狙いをつけ
2. SNS・ブログ等の調査から社員候補をピックアップし
3. 社員候補に狙いを定めて攻撃を仕掛け
4. その会社で用いられているSaaSサービスのアカウント情報を盗み
5. SaaS上に登録された情報を収集した上で
6. （場合によっては）
7. 被害者本人になりすましてSaaS上で「要注意情報.pdf」等のファイル名でウイルスをばら撒く
8. 結果、企業に直接的なダメージを与えたり、大規模な情報漏えいを引き起こさせたりする

というような攻撃が行われた場合、これをガードすることは容易ではないと思われます。

特定企業を狙うのは、むやみにウイルスを拡散させることは対策ソフトで検知されるリスクが上昇するからです。それならばインターネット上を巡回して、大手企業の関係者を探してその人にだけ攻撃をしかけたほうがいいでしょう。（標的型攻撃）

アカウント情報を窃取するためには、まずキーロガーやバックドア機能を有したマルウェアを送り込むという手法があります。（ウイルスやボットの多目的化）

TwitterやGmailなどのWebサービスのパスワードやパスワードリマインダーから取得を試みたり、ということが行われるでしょう。（正規のアカウントの悪用）

企業内の管理されたネットワークに接続されるPCであれば脆弱性を残すPCは接続しないということが可能かもしれません。しかし自宅などからPCの接続を許可する場合、企業内の管理とは異なった管理手法が必要になり、追加で専用のソフトウェアを購入する等それなりの費用が生ずるかもしれません。（アップデートしていないクライアントソフト）

FTPのアカウント情報を盗むマルウェアでは、メジャーなFTPクライアントソフトがターゲットにされました。仮に企業が独自に作ったアプリケーションを狙おうと思うとそれなりに調査をしなくてはなりませんし、転用が効かずワンオフになってしまいます。しかしシェアの高いSaaSであれば、そのアカウント情報を盗み取るウイルスを作ることはコストパフォーマンスの良い行為であると言うことができるでしょう。

相対的に判断した場合、各社でそれぞれに作られるシステムとクラウドなシステムとを比較した場合に、クラウドなシステムが技術的に劣るとは思いません。むしろ大手のSaaSベンダーなどでは優秀な人材を惜しげもなく投入しており、非常に高いセキュリティを誇っているように思います。しかし上に述べたようにユーザの利用形態であったり、悪意のある人物からの狙われやすさであったりというシステム周辺の部分では、まだまだ注意深く見ていかなくてはならないように思います。

最後に、悪意のある人物はTwitterもSNSも商用サイトも別け隔てなく攻撃すると思われます。ですので企業のIT担当者が企業のセキュリティインシデントだけを学び、TwitterやSNSを「あれは遊び」と切り捨てることは非常にリスクの大きなことであると思われます。このエントリはそういった思いをこめて書きました。

Microsoftのコンテナ型データセンターが一歩前進するようです。

『Microsoft コンテナ DC 第4世代 ITPAC を Silverlight で！ « Agile Cat — Azure & Hadoop — Talking Book』
http://agilecat.wordpress.com/2010/03/31/microsoft-%E3%82%B3%E3%83%B3%E3%83%86%E3%83%8A-dc-%E7%AC%AC4%E4%B8%96%E4%BB%A3-itpac-%E3%82%92-silverlight-%E3%81%A7%EF%BC%81-cloud-cloudcomputing-azure-silverlight/

リンク先によれば、現在のコンテナは水と冷却設備を必要とするとのこと。そのため簡単な建物を有することが前提になるようです。また、コンテナ自体に補助電源がないため、外部に緊急発電装置を有した電源設備を必要とします。そのため電源のキャパシティがデータセンターの限界になります。

それが少量の水で冷却を行い、コンテナ自身に補助電源を有するようになればどうでしょうか。冷却設備は必要でなく、電源も一系統のありふれた電源を供給すればよくなります。建物も不要となり、立地条件は大幅に緩くすることができますし、世界のいずれかの工場で製造されてから世界のいずれかの地で稼動するまでの期間も短くなることでしょう。この考え方と構造は「ITPAC」と呼ばれるそうです。

「自律」を求めるのはアメリカのお国柄なのかもしれません。今から90年ほど前の1918年に創業を開始したフォード車のリバーリュージュ工場は東京ドーム173個分に相当する土地に発電所から溶鉱炉、ガラス工場に港までを供えていたそうです。この工場で作られていたのはあの有名な「T型フォード」です。T型フォードはそのような工場で大量生産されることによりコストダウンされ、初めて大衆の手に届く自動車となりました。が、後に高性能な自動車が現れたことでT型フォードは時代遅れとなり、フォード社は危機に陥ることになります。

ではコンテナ型データセンターも同じ過ちを繰り返すでしょうか。すなわち、大量に製造したサーバ入りコンテナが古くなり、googleなどが新造した強力なデータセンターに打ち負かされるでしょうか。私はそのような心配はないと思っています。なぜならばITの世界は自動車と異なり、ハードウェアとソフトウェアが別々だからです。工場の製造ラインで大量生産と多品種生産を両立することは大変です。しかしITの世界ではハードウェアを大量生産してコストを下げ、多種多様なソフトウェアを走らせることができます。もちろん、GPUコンピューティングが主流になるような大きな転換があれば事態は変わるかもしれません。

さてそのように自律したデータセンターが世界の主流となったとしても、それを日本に誘致して得られるものは土地代と電気代くらいしか思い浮かびません。運用も高度に自動化されるでしょうから、わざわざ現地の人を雇う必要もなく、警備や清掃など誰にでもできる雇用しかもたらなさないのではないかと思います。法人税はというと、Amazonジャパンの追徴課税の件もあり判断は難しいと思われます。が、恒久的施設とみなされれば法人税が高いので逃げて生きますし、恒久的施設でないならば利益は本国からの委託手数料のようなものに限られるでしょうから税収も見込めないと思われます。

また、日本の港は振るっていません。東京港ですらコンテナ取り扱い個数の多い港のTOP20に入れていません。コンテナ輸送のコストは取り扱い個数の多さに反比例して安くなりますので、世界的に見れば取り扱い個数が多いとはいえない日本の港は高コストな港と認識されています。陸送コストも高いです。個人的には北九州のひびきコンテナターミナルか北海道のどこかをデータセンター特区にしてしまうのがいいと思っています。