あらゆるモノがハッキングされる、2014年最も危険な7つの攻撃手段とは：2014年のサイバー攻撃動向、SANS専門家が予想

モバイルや無線などのプラットフォームは大きなリスクをもたらし、「あらゆるモノのハッキング」がエンタープライズ環境に投げ掛ける脅威も増大している。

[Kathleen Richards，TechTarget]

1．モバイルや無線が攻撃手段に使用される

　モバイルや無線などのプラットフォームが攻撃に使われるようになり、こうしたプラットフォームがもたらすリスクはマルウェアにとどまらなくなった。SANSによると、Bluetoothを使った無線式のスキミングは過去1年で急増。侵入テストのカリキュラムを率いるSNASインストラクターのエド・スコウディス氏は、「これはほんの表面をかすっているにすぎない」と話す。Bluetoothは周波数ホッピング方式を取っていることやセキュリティツールが欠如しているために、無線スキミングは検出が難しい。

2．RFIDスキミングにも注意

　さらに、ホテルや小売店のようにRFIDカード（非接触ICカード）などの識別（ID）情報を使う環境でのRFIDスキミングも要注意だ。「攻撃者はわれわれと同じ理由でモバイルを使う」とスコウディス氏。基本的な対策として、端末のスイッチを切ることや、機内モードでの利用が挙げられる。独自仕様のハードウェアを使っている端末であっても、自分は安全だと思うのは間違いだと同氏は言い、ハードウェアのリバースエンジニアリングはそれほど難しくないと指摘した。

3．音を使ったRSA鍵の抽出

　セキュアなネットワークやエアギャップ（インターネットに接続しないネットワーク）を使ってシステムを孤立させる方法も通用しなくなりつつあると同氏は言う。最近の事例として、2013年に報告された低帯域幅の音響分析、つまり音を使ったRSA鍵の抽出や、同年秋のbadBIOS（コンピュータのBIOSに感染するマルウェア）の事例（真偽はともかく）のようなサイドチャネル攻撃を引き合いに出した。エアギャップはUSBデバイスやパーベイシブな無線、DNS解決を使って橋渡しすることもできる。エアギャップのみに頼ったセキュリティモデルは他の方策、つまり深層防御が必要だ。「エアギャップはよく言っても低レイテンシの接続のようなものだ」とスコウディス氏は話す。

4．IoTによってあらゆるものがハッキングされる

　IoT（モノのインターネット）については頻繁に誇大な騒ぎが起きるものの、「あらゆるモノのハッキング」がエンタープライズ環境に投げ掛ける脅威は増大している。サーモスタット、暖房・換気・空調（HVAC）などあらゆる装置が、HTTPSではなくHTTPのWebインタフェースを搭載し、カスタムのプロトコルを持っている。そうした機器の基盤となっている組み込みシステムのリバースエンジニアリングに加え、Webカメラ上で組み込みLinuxのroot権限を攻撃者に乗っ取られた事例も過去1年で膨大な件数が報告された。

　いずれは「列車、航空機、自動車」もハッキングされるようになるかもしれないとスコウディス氏は言う。複数のハッカーカンファレンスにおいて、コンピュータで物理的に制御されている乗り物をリモートからハッキングできる可能性についてのデモが行われた。具体的には、「Hack In The Box 2013」で航空機へのハッキング、「Def Con 2013」ではPythonコードを挿入する方法で自動車へ、「Def Con 2012」ではスペインの鉄道システムへのハッキングが実演されている。

　電力網、医療福祉環境、病院、兵器システムなど危険性がよく知られている分野に加え、企業のITセキュリティプロフェッショナルは、インターネットに接続された全ての機器のセキュリティを守る必要がある。ではどこから始めればいいのか。スコウディス氏は、そうした機器の洗い出しと一覧の作成、（できる部分での）分割、可能な限り厳格なパッチ適用システムの実装を挙げ、「いずれHVACシステムに毎月パッチを当てなければならない状況になるだろう」と予想する。こうした機器のセキュリティ対策のためには自動化が必要になり、ベンダーに対しては設計段階でのセキュリティテストや、脆弱性情報の開示、出荷した製品に対する迅速なパッチの提供が求められるようになる。

5．ビットコインのセキュリティ問題

　セキュリティ問題を引き起こしているもう1つの分野にビットコインがある。特にその仕組みをよく知らないユーザーには問題だ。ユーザーがビットコインと引き換えに分散型トランザクションレジスタを運用するビットコインマイニングでは、「ユーザーのCPUパワーを現金に換える直接的な手段が犯罪者に提供される」と解説するのは、SANS傘下の米SANS Internet Storm Centerの最高技術責任者（CTO）兼調査責任者のヨハネス・ウルリッチ氏。「米マサチューセッツ工科大学（MIT）は先週、大学のスーパーコンピュータをビットコインマイニング運用に転換させていた学生を退学させた」という。ビットコインの盗難（最近の事例ではAndroidウォレットやQRコードも絡む）や、「ビットコインマイニングソフトウェアが他のソフトウェアのアドオンとしてインストールされる」ビットコインマイニングマルウェアも報告されている。

6．POS端末へ感染するマルウェアDexter

　POS端末マルウェアや、Windows搭載システムに感染するマルウェアDexterなどのセキュリティ問題は、依然として小売業者を混乱に陥れている。ウルリッチ氏によれば、データは通常、暗号化されたりネットワークに到達したりする以前に傍受される。「感染させられているのは標的のみにとどまらない。大企業は情報セキュリティに投資しているが、ここで真の問題となるのは家族経営の事業所やガソリンスタンド、小売店などだ」（同氏）。POSシステムの半数以上は何らかの形態のWindows XPで稼働している。インターネット接続には使わない専用のPOSシステムに加えて、小売業者は読み取り装置の暗号化も必要だ。

7．大企業や銀行へは標的型メールから

　非ハイテクの攻撃手段も驚くほど成功率が高い。現在はソーシャルメディアを探して大企業や銀行の決済口座や決済システムと取引のある個人を見つけ出す行為が問題になっている。攻撃者は標的型メール（フィッシング）を送り付けてWebメールのアカウントを乗っ取り、決済関連のトラフィックにアクセスする。防御手段にはメール送信者の認証技術DomainKeysやSender Policy Framework（SPF）の利用、DMARC（ドメインベースのメッセージ認証、報告および適合）などがある。

　セキュリティプロフェッショナルは、自分のシステムが不正侵入されたと想定して、それが実世界でどのような意味を持つかを考える必要があると、SANS Instituteの産業制御システムプログラム担当ディレクター、マイク・アサンテ氏は助言する。攻撃者は使い古された手口を使い、数台のワークステーションに侵入してドライブの配置図やネットワーク共有、社内ディレクトリサービスを参照することにより、産業制御システムにアクセスする。そして適切なログイン情報を使ってディレクトリサービスを設定し、自分を追跡されにくくする。「ファイルシステムは特定の拡張子や特有の文字列を探すことで掘り起こせる」とアサンテ氏。攻撃者に管理コントロールやデータ取得ネットワークにアクセスされる事態を防ぐため、価値が高く信頼性も高いコントロール資産と会社のActive Directoryサービス（アサンテ氏は「王国への鍵」と表現する）は別のドメインに置き、ビジネスネットワークと関連付けてはならない。同氏によれば、産業制御システムのための新しいアーキテクチャも開発が進んでいるという。

　SANS Instituteの研究ディレクター、アラン・パーラー氏は、制御システムのエンジニアとITセキュリティ部門の連携が最大級の課題だと指摘する。米Shell Oilはこのほど、この問題に対応する制度を発足させた。この制度はアサンテ氏の支援で導入されたもので、双方の教育を必須とし、制御システムのエンジニアとITセキュリティ担当者を含む関係者全員に、制御システムの情報セキュリティ認定資格「Global Industrial Cyber Security Professional（GICSP）」の取得を義務付けている。

　RSAのセッション「最も危険な7種類の攻撃手段と次の展開」は初日に行われ、翌日も繰り返された。

TechTargetジャパントップセキュリティ