暗黒面のサイバー関連ニュース – 2014年7月26日付

※元の英語記事は2014年7月26日に公開されました。

リモコンカー – 運転中の自分の車を制御できなくなる日・・・

どうも最近、ハッキング、標的型攻撃、マルウェア感染といったニュースが一般から飽きられているようだ。絶えず話題になっていれば仕方ないのかもしれない。一般の関心を引くには、もう少し奇抜さが必要だ。ハッキングされるとは夢にも思わなかったものがハッキングされる、とか。

中国の報道によれば、同国開催のハッカーカンファレンスのコンテストでTeslaの車載システムがハッキングされたそうだ。なぜTeslaなのか？Teslaに一体どんな魅力があるのだろう？思い付くのは、まず電気自動車であることと、「スマート」な電子機器を詰め込んだ、自動車というよりもむしろ移動式スパコンであることだろうか。そもそも、Teslaは予想できたはずだ。どんな新機能も、特にITセキュリティの専門家が関与せずに開発された場合、ぜい弱性を介した新たな脅威を必ずもたらすことを。コンテストのハッカーたちが証明したのは、まさにその点だった。

中国のハッカーは、犯罪者が車のブレーキやライトなどを走行中であっても制御できることを実証した。これぞゲーム「ウォッチドッグス」の世界だ。詳細な方法はまだ公開されていない（その方がいい）。詳細については、修正できるよう責任持ってTeslaに報告された（とされている）。

だが、今回の報道どおりのことが可能かどうかを判断するには、しばら様子を見る必要がある。そもそも、今までもこうした発表は多々あり、実際は「ハッキング」が不可能だったり、完全に非現実的な条件下でのみ可能だったりした。とはいえ、このぜい弱性が本物であったとしても、驚きはしない。Kaspersky Labは最近、BMWの新モデルの「スマート」コンテンツに関して、実に面白い調査を実施した。要するに、ハッキングの可能性は無限に存在するということだ。

やぶ蛇

続いては、パスワードに関するニュースを見ていこう。

The Wall Street Journal（WSJ）のジャーナリストが、いかにパスワードが役に立たないかを証明するため、自ら実験台になった。（当社では、テキストメッセージによるワンタイムパスワードなど、先進的な多段階認証の技術を採用している！）

別に、2段階認証に反対しているわけではない。広く利用されているわけだし（すでに回避方法が判明しているが）。だが、実験はあまりうまくいかなかったようだ。そのジャーナリストは、携帯電話にログイン確認通知を自動送信する設定に変えた後、自分のTwitterのパスワードを公開した。Twitterアカウントはハッキングされなかったものの、彼はすぐに実験を止めることになった。というのも、彼のパスワード不要論に反証したい人たちが想定以上に多く存在し、ジャーナリストの携帯電話はテキスト要求の嵐に遭って「爆発」してしまったからだ！

危険なアドバイス

パスワードは非常にホットなトピックだ。そんなわけで、もう1つ面白いニュースをピックアップしよう。

皆さんは、いくつのWebサービスを利用しているだろうか？また、いくつのパスワードを使っているだろうか？Webサービスをいくつ利用していようが、パスワードは1つ。それが、大半の人の現状だ。そう、私たちは1つのパスワードをほぼすべてのアカウントで使いまわしている。さらに酷いことに、インターネットだけでなく、企業ネットワークにアクセスするパスワードも同じものを使っている。だがそれも無理からぬこと。何十個ものパスワードを覚えるなど、ほとんどの人にとっては不可能だ。

では、対策はあるのか？

Microsoftは、ごく少数のパスワードですべてのアカウントを管理できる、信頼性の高い数学モデルを開発した。このモデルでは、利用するWebサービスすべてを重要度別にグループ分けし、グループごとに固有のパスワードを設定する。重要なグループほど、強力なパスワードを設定するというわけだ。しかし、このモデルには1つ重大な但し書きをつける必要がある。オンラインバンキングやその他金融関連サービスで利用することが推奨されていないのだ（些細とは言い難い但し書きだが、ここではあまり多く語らないことにする・・・）。

この方法に不安がある場合は（「オンラインバンキングを守れないパスワードを、メールで使えるわけないんじゃ？？！！」）、もっとシンプルな（かつ信頼性の高い）ソリューションがある。パスワード管理ツールを使えばいい。

OPCのプロセスは丸見え

また産業制御システム（ICS）のセキュリティについて。

この分野に関して、これまで私はさまざまな予想をしてきたが、悲しいかな、いくつか現実になってしまった。中でも、ICSを狙ったマルウェアの登場は的中した。今では、ギリシャ神話のカサンドラのように警告が無視される事態にならないよう、気を引き締めて取り組んでいる。それでも、この分野のニュースを見るたびに、私は猛烈に頭を抱えたくなるか鳥肌が立つか、または両方に見舞われてしまう。

マルウェアの脅威はICSに迫っている。その証拠の1つが、最近発見されたトロイの木馬「Havex」の亜種だ。これはOPCサーバー（プログラマブルロジックコントローラと制御システムの間の「インタープリター」）をスキャンする。つまり、Havexが企業ネットワークに（たとえば経理のコンピューターを介して）感染すると、サイバー犯罪者は産業プロセスすべてを把握できるようになるということだ。

幸いなことに、このHavexの亜種はまだコンセプトの段階でとどまっているようだ。戦闘モードでの利用はまだ確認されていない。とはいえ、この機能が実行可能であることは間違いないし、セキュリティ業界において、理論が実用化されるまでの時間は非常に短い。

金貸しの悪人がまたひとり倒れる

また1つ、ボットネットが葬られた。ユーロポール、FBI、GCHQといった機関との協力により、Shylockの閉鎖に成功したのだ。この複雑な作戦では、大量の計画立案や膨大な情報の収集と分析が行われた。また、作戦は多数の国で同時に実行された。何より素晴らしいのは成功したことだ。私が何年も訴え続けてきた国際間協力が、うまくいくことが証明されたのだ！

つい5年前までは、こうした共同作戦がほとんど行われておらず、不快感を示す官僚の遠吠えばかりが聞こえていた。10年前にもなると、サイバー警察自体が非常に閉鎖的で、人材含めリソース不足もあって、完全に非現実的な話だった。

Java – けんかする価値はあるか？

またその話か、だって？まあ、まあ。Javaはどこにでも存在するし、避けて通るのはほぼ不可能だし、Javaがなければ動かないサービスも多々ある。そのため、Javaの大量のぜい弱性、バグ、それに伴う特定プラットフォームを対象としたマルウェアや攻撃は、誰にとっても不快この上ない。ここでの矛盾は、信じられないかもしれないが、Javaが世界一安全なプラットフォームを目指していたことだ！今ではご存知のとおり、安全性の低さで有名になってしまったが。Oracleは、このセキュリティ問題に対して徹底的に取り組めていないようだ。Sun Microsystemsの買収後、Javaのセキュリティを後回しにしているような印象すらある。

ブラウザーでJavaを無効にしている人は、果たしているのだろうか。

@e_kaspersky が投票開催中：ブラウザーのJavaを無効化している？Tweet

まだ無効にしていない人は、今すぐパッチを適用すること！