世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。

 まずは、米グーグルのモバイル機器向けOS「Android」に新たに見つかったセキュリティホールに関するブログを紹介する。このセキュリティホールは、2010年11月第4週、ITセキュリティ研究者のトーマス・キャノン氏発表した。英ソフォスのブログ「Android:How security can work while failing」によると、キャノン氏の対応は最近では珍しく、グーグルと積極的に協調し、セキュリティホール情報と対処方法の公表に努めている。

 Androidはアプリケーションをサンドボックス内で動かすセキュリティモデルを採用しているため、キャノン氏が見付けたセキュリティホールから派生する被害は限定的だ。セキュリティが設計段階から考慮されていることは、間違いなくAndroidの優れた点であるという。

 ただし、Androidは米マイクロソフトの「Windows Phone」と同様にオープンな戦略をとっている。採用する端末メーカーは多く、様々な携帯電話事業者のサービスで利用できる。その影響で端末のソフトウエアを更新する際に、Androidのごく基本的な共通コンポーネントしかアップデートできない問題が生ずる。各キャリアのAndroid端末はそれぞれ構成が異なるので、端末メーカーと通信事業者はグーグルから提供されない修正パッチを自力で用意しなければならない。そのうえWebブラウザーや電話帳、スケジュール帳などのアプリケーションも多く、修正パッチの適用対象が増える。Android 1.6という古いバージョンを搭載している端末の場合は、メモリー制限などの理由でアップデートできないこともある。

 これに対し、米アップルとカナダのリサーチインモーション(RIM)は限られた自社製端末のOSをアップデートするだけで済み、グーグルのような問題は起こらない。

 グーグルはAndroidの次版「Gingerbread(バージョン2.3)」で今回のセキュリティホールを修正するが、危険な状態は最新の端末で1カ月、古い端末でそれ以上続く。そこでソフォスは、Androidではサードパーティ製アプリケーションを使い、「Android Market」の自動アップデートシステムでOSと個別に修正パッチを適用することを推奨している。

マルウエア対策になる低速なプロセッサ

 次は、処理速度の遅いCPUがセキュリティ効果を発揮することがあるという、少し変わった話題だ。フィンランドのエフセキュアが、「Zbot(別名ZeuS)」というマルウエアのある亜種に採用されているウイルス対策ソフト回避策を紹介したブログ(「Slow CPU equals malware defense?)で触れている。

 この亜種はパソコンでセキュリティソフトのデバッガーが動いているかどうか調べ、デバッガーを見付けるとすぐ処理を終えてしまう。こうしたデバッガー検出機構は何年も前からマルウエアで使われているが、今回は興味深い副作用が発生していた。

 この亜種は、まず「rdtsc(Read Time-Stamp Counter)」命令で現在時刻のカウンター値を取得し、2秒後に再びrdtsc命令で得たカウンター値と比べる。ここでそれぞれの上位32ビットが一致したら、デバッガーが動いていると判断する。カウンター値は1クロックごとに一つ増えるので、デバッガーが存在しなければ少なくとも2秒間に2の32乗クロック経過すると考えているからだ。

 ここには、動作周波数2GHz以上のプロセッサという前提条件がある。2GHz未満のプロセッサだと条件を満たさないため、デバッガーがなくても感染を避けられる。つまり、この亜種は自らのウイルス対策ソフト回避策のせいで感染機会を狭めている。

SNS用パスワードを使い回す危険性

 最後にパスワード管理に関する話題を取り上げる。特に最近話題に上ることが多いSNSに関連した内容だ。

 米マカフィーはブログ「Using Social Media Passwords With Critical Accounts」において、同じパスワードを複数のWebサイトで流用することの危険性を指摘した。SNSではセキュリティ確保が最優先事項とみなされておらず、銀行のWebサイトと同レベルの安全性は期待できないという。つまり、SNSで使っているのと同じパスワードを流用すると、重要なWebサイトまで危険にさらされる。

 マカフィーによると、SNSはパスワードに対する制限が緩く、銀行などと比べるとパスワードが破られやすい。例えば、長さが6文字しかないパスワードを使えたり、パスワードの複雑性チェックが甘かったりする。あるフィッシング事件で米マイクロソフトのメールサービス「Hotmail」からユーザーのパスワードが流出した際、「111111」「123456」「1234567」「12345678」「123456789」という安易で推測されやすいものが多かった(関連記事:フィンランドの人気サイトからパスワード流出、最多は「salasana」/最も狙われるパスワードは「password」、「p@$$w0rd」でも危ない)。

 弱いパスワードは破られやすい。そのためマカフィーは、SNSも含めあらゆるWebサイトで強固で安全なパスワードを使うことと、パスワードを流用しないことの重要性を強調している。