セキュリティ企業の失敗から得られる教訓

2011.03.02

　セキュリティ関連で、攻撃を受けた事例、モバイルセキュリティなど気になる内容のブログを紹介する。

　英ソフォスは、米国の情報セキュリティ企業HBGaryがWikiLeaks支持グループ「Anonymous」から受けた攻撃を題材として取り上げ、組織をサイバー攻撃から守る方法を簡単にまとめた（「Lessons to learn from the HBGary Federal hack」。関連記事：WikiLeaksに大騒ぎ）。

　HBGaryがWebサイトで使用していたサードパーティー製コンテンツ管理システム（CMS）にはぜい弱性が存在しており、そこを突かれてAnonymousにWebページ更新用のパスワードを盗まれた。運の悪いことにパスワードを守るべき暗号はあまり強力でなく、あらかじめハッシュ値を計算しておく「レインボーテーブル」という手法でパスワードが突き止められてしまった。こうして漏えいしたパスワードの中には、CEOとCOOのものも含まれていた。さらに悪いことには、この2人はTwitterとLinkedInでも同じパスワードを流用していて、全社のメール管理用パスワードも同じものだったのだ。

　ここで得られる教訓は、しかるべきパスワードを使うことの大切さである。破られやすかったり、推測されやすかったりするパスワードの利用は、トラブルを自ら呼び寄せるようなものだ。そして、アカウントごとに別のパスワードを設定することが欠かせない。同じパスワードを使い回していると、一つばれただけでドミノ倒しのようにすべてのアカウントが犯罪者の手に落ちる。

　ソフォスが調べたところ、すべてのWebサイトで同じパスワードを使っている人が33％の人もいたという。

Androidに感染するトロイの木馬

　ソフォスは、「HongTouTou」や「Adrd」などと呼ばれるAndroid搭載スマートフォンに感染するトロイの木馬をブログ「New Android Trojan horse could prove costly」で紹介した。同社はこれを「Geinimi」の仲間と考えており、「Troj/Geinimi-A」の亜種として検出する（関連記事：Androidを狙うトロイの木馬「Geinimi」などインシデント続々）。

　ソフォスによると、このトロイの木馬は、中国の非公式Androidアプリ販売サイトで壁紙アプリケーションなどの安全なアプリケーションとして配布されているという。米グーグルの公式アプリ販売/配布サイト「Android Market」には掲載されないので、大多数のAndroidユーザーは心配する必要はない。

　感染に成功すると、スマートフォンから情報を集めるだけでなく、ある検索結果を改ざんする。改ざんの目的は、特定のWebページに対するアクセスを増やすことにある。犯人は、そのWebページのアクセスに応じて収入を得るのだろう。被害に遭ったユーザーは、無駄な通信料を支払うことになる。

　これに対し米シマンテックは、AdrdとGeinimiに類似性はあるものの違う点も存在すると指摘している（「Android.Adrd Versus Android.Geinimi」）。

　まず、Geinimiは感染したスマートフォンにバックドアを設け、電話発信やSMS送信、情報の不正取得など20種類以上の機能を実行できる。ところがAdrdは非常に単純で、外部サーバーからコマンド列を受け取ってバックグラウンドで検索を繰り返すだけだという。ただし、Adrdはアップデート可能な仕組みを持っているので、機能や動作が変わるかもしれない。

　そして、Geinimiは金銭目的のマルウエアだが、Adrdは検索結果の改ざんが主目的である。

中東で起きたインターネット遮断

　米アーバーネットワークスによると、中東の国々では、民衆のデモを抑え込もうとした政府が武力を行使しただけでなく、電話回線やインターネット通信を規制した（「Middle East Internet Scorecard (February 12 - 20)」）。特にエジプトで行われた規制は、通信に大きく依存する社会が意図的にインターネットから切り離された史上初の例だという（関連記事：エジプトのインターネット規制はスパムまで遮断）。

　アーバーネットワークスは、世界各地のインターネットサービスプロバイダー（ISP）110社から集めた通信データを分析し、反政府運動が起きた中東各国の通信状態を整理した。その結果が以下のグラフである。

　グラフ内では、3週間の平均値から導いた正常と思われる部分を緑、7日間のトラフィック推移を赤い点線で示した。オレンジの部分は統計的に異常な期間で、ネットワークに障害が発生していたか、通信規制がかけられていた可能性がある。なお、エジプトでは2011年1月27日～2月2日にほぼ完全な通信遮断が実施された影響で、平均値である緑色の部分が急に増えている。

　今回の騒ぎで、インターネットが集会を呼びかけたり政変を起こしたりできる強力なツールであることが分かった。同時に、政府はインターネットがコミュニケーションを遮断する手段として使えることに気付いたのだ。