3月末、大きなセキュリティインシデントがあった。SQLインジェクションによる大規模なWeb改ざん攻撃「LizaMoon」で、セキュリティブログにはいくつも記事が投稿された。
例えば米ウェブセンス。同社セキュリティ・ラボのブログで、LizaMoonへの注意を喚起した。この攻撃は、最初に検出された不正サイトの一つが「lizamoon.com」だったため、この名称になった。ウェブセンスが米グーグルの検索サービス「Google Search」で検索したところ、50万以上のWebページにlizamoon.comへのリンクを仕掛けられていたという。また同社は、同様の手口で埋め込まれた別の複数のURLも検出した。これは、当初考えていたよりも被害が拡大していることを示している。最初の攻撃と同じURL構造のリンクが含まれるWebページは、Google検索で150万以上もヒットした。
Google検索結果のページの画像
攻撃に使われた不正サイトのドメインは「hxxp://lizamoon.com/ur.php」「hxxp://tadygus.com/ur.php」「hxxp://alexblane.com/ur.php」「hxxp://alisa-carter.com/ur.php」など、約30に及ぶ。不正サイトのドメイン一覧とSQL攻撃を含んだリクエスト文字列が、ウェブセンスのブログに掲載されている。
攻撃を受けて改ざんされたサイトは、閲覧したユーザーを偽アンチウイルスソフトのサイトへリダイレクトしようとする。ウェブセンスによれば、リダイレクト先のサイトは時間がたつにつれて何度か変わっているという。
「Windows Stability Center」という名称を用いた偽アンチウイルスソフトウエアは、ユーザーのパソコンが多数の問題を抱えているとの診断をスクリーンに表示。これらを解決するにはフルバージョンの有償アプリケーションが必要だとして、ユーザーに購入手続きを行うよう促す。
偽アンチウイルスソフトウエアの警告画面
ウェブセンスがlizamoon.comへのトラフィックを追跡したところ、世界各地からアクセスがあったが、そのうち半数近くは米国からのトラフィックだった。
LizaMoonについては、米IBMのセキュリティ部門Internet Security Systems(ISS)もブログで解説している。LizaMoonをほかの大規模なSQLインジェクション攻撃と比較し、「asprox」や「dnf666」ほどの規模にはならないとの見解を示している。その理由として、asproxとdnf666はボットネットを利用して大規模な攻撃を仕掛けるものだったが、LizaMoonは特定のIPアドレスから攻撃している点を挙げている。
「サムスン製ノートにキーロガー混入」の誤報が示す教訓
この時期、誤報による騒ぎもあった。韓国サムスン電子のノートパソコンに、キーロガーがプリインストールされているという内容である。3月30日に、サムスンのノートパソコンにキーロガーが混入しているとの疑いでサムスンもこれを認めたと報じられたが、その後サムスンはこれを否定。結局、キーロガーは存在しなかった。
これについてスロバキアのイーセット(ESET)がブログで、誤報が広がった問題を振り返り、「この出来事はいくつかの大変重要な教訓を示している」とした。
発端は米GFIソフトウエアのアンチウイルスソフト「VIPRE」が、空のディレクトリーに対して陽性と判断したことだった。誤検出はどのアンチウイルスベンダーも経験する。イーセットも過去に経験した。さらに言えば今後も時々起こり得る。しかし、この事件は誤検出だけで終わらなかった。この陽性判断に気付いた1人は、米メディア「Network World」のモハメド・ハッサン氏だった。同氏は、情報保証修士を取得し、情報セキュリティプロフェッショナル認定(CISSP)と公認情報システム監査人(CISA)資格を持っている。こうした立派な資格を持った人が、「これは問題がある」と言えば、その人が確かな情報を得ているととらえるだろう。しかしそれが間違った思い込みからくるものである可能性も否定できない。
VIPREは、ファイルではなくディレクトリーに対して陽性判断を下したが、キーロガーはファイルである。思い込みがなければ、コンピュータセキュリティ会社は、偽陽性が発生したと理解できたかもしれない。
陽性判断が出た場合、まず第一に、検出が間違いではないことを確かめるべきである。しかし残念ながらハッサン氏は、この大変基本的な手順を怠った。イーセットは、同氏がこの第1の手順を踏んでいれば、誤報が出ることはなかったと指摘している。
また、ハッサン氏の同僚であるミッチ・カバイ氏もコンピュータ科学業界で名声を得ている人物だが、カバイ氏がこのキーロガーの問題について記述したコメントは、「幸運を祈る、サムスン。貴社の将来には、集団訴訟が見える」だったという。
さらにNetwork Woldの記事では、サムスンがキーロガーをノートパソコンにインストールして販売したことを認めたと報じられた。これで、素晴らしい経歴、名声、当該企業の確認がそろい、存在すらしていないものをあると報道する事態になった。メーカーからセキュリティ専門家に至るまで、情報系統全体が「汚染」されたと、イーセットは遺憾の意を示している。
Network Worldの誤報をブログで発信してしまったイーセットは、不正確な情報を発信したことを謝罪するとともに、「ハッサン氏とカバイ氏には、次回こんなばかげたことをするときは、あと2日待って4月1日にしてもらいたいものだ。サムスンには、3月30日にエイプリルフールのジョークにつきあわないようにと言いたい」と締めくくっている。
iPadの個人情報流出はローテクで防御
エイプリルフールに関連して、ちょっと変わった内容のブログもあった。米アップルの「iPad」などのタブレット端末やスマートフォンといった最新のモバイルデバイスから、個人情報が流出する“意外な”経路が見つかったというものだ。
このブログは英ソフォスが4月1日に公開したもので、記事中では個人情報窃盗に注意するよう呼びかけていた。
具体的には、デバイスそのものの物理的基板、つまりデバイスのハードウエアを収めている金属、プラスチック、ガラスで構成されるきょう体を通じてデータが流出するという。ただし、この手法を用いた攻撃は極めて簡単に実行できるため、犯罪者に悪用されないようにとして、詳細な説明は掲載していない。
むき出しの小型デバイスはいずれも、ソフォスが「サブストレートハック(基板侵入)」と呼ぶこの攻撃を受ける危険性がある。ソフォスの実験によると、今のところ最も有効な対策として確認しているのは、皮肉なことに極めてローテクな手段だという。それは、ポテトチップスのパッケージか、断熱加工を施したピザカートンで覆うというもの。これらはデータ窃盗のリスクを大幅に削減する「polar foil」(指針的な防御策)になるとソフォスは説明している。
実は、「polar foil」のアルファベットを並べ替えると「april fool」になる。つまり、このブログはジョークを交えたもので、サブストレートハックは要するに、肩越しにデバイスの画面を盗み見る行為を指している。ただ、すべてをジョークとしているわけではなく、人前でモバイルデバイスを使う際には、サブストレートハックに気をつけなければならないとソフォスはあらためて注意を促している。
