クラウドサービスからのウイルス対策はアカウント情報の保護から?
私は悪意のある人物がガンブラーに学び、クラウドサービスのアカウント情報の窃取を試みるのではないかと考えています。
『企業や組織が直面する10大脅威、IPAが発表 - ITmedia エンタープライズ』 http://www.itmedia.co.jp/enterprise/articles/1003/31/news039.html
先日IPAより起業や組織が直面する10大脅威が発表されました。
その中で私が注目しているものが5つあります。これらは組み合わせて一つの大きな脅威となりそうです。
2位 「アップデートしていないクライアントソフト」
3位 「悪質なウイルスやボットの多目的化」
6位 「被害に気づけない標的型攻撃」
8位 「正規のアカウントを悪用される脅威」
9位 「クラウドコンピューティングのセキュリティ問題」
まだ被害が完全に収まったとは言えませんが、ガンブラーは非常に大きな騒動を巻き起こしました。ガンブラーは脆弱性のあるPCに感染して「FTPのアカウント情報を盗む」という動作をしていました。また、Koobfaceというワームはfacebookやtwitterといったソーシャルメディアのアカウントを盗むという動作をしていました。ガンブラーは「まさか企業の公式サイトで感染しないだろう」と、Koobfaceは「まさか友人のアカウントが乗っとられていることはないだろう」とガードが甘くなってしまうという点が大きな特徴であったように思います。
『Gumblarの新しい亜種が突出、感染サイトの4割で検出 - ITmedia News』 http://www.itmedia.co.jp/news/articles/1001/26/news024.html
『SNSマルウェアの「Koobface」亜種が激増、攻撃効果を認識か - ITmedia News』 http://www.itmedia.co.jp/news/articles/0907/07/news024.html
先日はオバマ大統領のTwitterカウントを乗っ取った犯人が逮捕されました。HackerCrollと名乗るこの25歳のフランス人男性は、IT技術の面で特にすごい腕前を持っていたわけではなく、いわゆる「ソーシャルエンジニアリング」の手口でアカウントを乗っ取ったと報道されています。これは2009年にTwitter管理者がハッキング被害にあった件と同じものかもしれません。ここではアカウント情報(IDとパスワード)の使い回しが狙われました。
『オバマ大統領のTwitterアカウント乗っ取り犯が逮捕 - ITmedia News』 http://www.itmedia.co.jp/news/articles/1003/25/news042.html
『Twitterにハッキング、侵入にYahoo!メールを利用 - ITmedia News』 http://www.itmedia.co.jp/news/articles/0905/01/news026.html
クラウドコンピューティングの魅力のひとつに、インターネットにつながってさえいればいつでも、どこでも、どのようなデバイスからもアクセスできることが挙げられます。もちろん特定の企業のIPアドレス以外からの接続をすべて遮断することもできますが、出先の営業マンも在宅勤務も会社もサービスを利用できるということはとても便利です。
その反面、脆弱性のあるPCでそういったサービスを利用するということはガンブラーのようにアカウント情報を盗まれてしまう可能性を高めると考えられます。脆弱性のあるPCが1台見つかった場合、どのような攻撃が行われるでしょうか。
- 特定企業に狙いをつけ
- SNS・ブログ等の調査から社員候補をピックアップし
- 社員候補に狙いを定めて攻撃を仕掛け
- その会社で用いられているSaaSサービスのアカウント情報を盗み
- SaaS上に登録された情報を収集した上で
- (場合によっては)
- 被害者本人になりすましてSaaS上で「要注意情報.pdf」等のファイル名でウイルスをばら撒く
- 結果、企業に直接的なダメージを与えたり、大規模な情報漏えいを引き起こさせたりする
というような攻撃が行われた場合、これをガードすることは容易ではないと思われます。
特定企業を狙うのは、むやみにウイルスを拡散させることは対策ソフトで検知されるリスクが上昇するからです。それならばインターネット上を巡回して、大手企業の関係者を探してその人にだけ攻撃をしかけたほうがいいでしょう。(標的型攻撃)
アカウント情報を窃取するためには、まずキーロガーやバックドア機能を有したマルウェアを送り込むという手法があります。(ウイルスやボットの多目的化)
TwitterやGmailなどのWebサービスのパスワードやパスワードリマインダーから取得を試みたり、ということが行われるでしょう。(正規のアカウントの悪用)
企業内の管理されたネットワークに接続されるPCであれば脆弱性を残すPCは接続しないということが可能かもしれません。しかし自宅などからPCの接続を許可する場合、企業内の管理とは異なった管理手法が必要になり、追加で専用のソフトウェアを購入する等それなりの費用が生ずるかもしれません。(アップデートしていないクライアントソフト)
FTPのアカウント情報を盗むマルウェアでは、メジャーなFTPクライアントソフトがターゲットにされました。仮に企業が独自に作ったアプリケーションを狙おうと思うとそれなりに調査をしなくてはなりませんし、転用が効かずワンオフになってしまいます。しかしシェアの高いSaaSであれば、そのアカウント情報を盗み取るウイルスを作ることはコストパフォーマンスの良い行為であると言うことができるでしょう。
相対的に判断した場合、各社でそれぞれに作られるシステムとクラウドなシステムとを比較した場合に、クラウドなシステムが技術的に劣るとは思いません。むしろ大手のSaaSベンダーなどでは優秀な人材を惜しげもなく投入しており、非常に高いセキュリティを誇っているように思います。しかし上に述べたようにユーザの利用形態であったり、悪意のある人物からの狙われやすさであったりというシステム周辺の部分では、まだまだ注意深く見ていかなくてはならないように思います。
最後に、悪意のある人物はTwitterもSNSも商用サイトも別け隔てなく攻撃すると思われます。ですので企業のIT担当者が企業のセキュリティインシデントだけを学び、TwitterやSNSを「あれは遊び」と切り捨てることは非常にリスクの大きなことであると思われます。このエントリはそういった思いをこめて書きました。