最近のセキュリティ関連ブログの中から、興味深いテーマを三つを紹介する。
スロバキアのイーセットは、米当局が「Coreflood」ボットネットを閉鎖した方法について、ブログで説明した。
Corefloodボットネットは約10年前から存在し、金融詐欺目的で銀行口座関連の情報などを盗むために使われていた。200万台以上のコンピュータが感染したとされ、被害は莫大な金額に上るとみられる。
当局は、ボットネットを制御するコマンド・アンド・コントロール(C&C)サーバーを閉鎖するために差し止め命令を出し、攻撃に使用されたドメイン名を差し押さえ、犯罪グループの13人を摘発した。この一連の行動のうち、イーセットは、ボットネット閉鎖のために当局が選んだ手段が興味深いとしている。連邦検事は、代用C&Cサーバーを操作してボットネットを制御するために必要な認可を申請した。本来のサーバー運用者、つまり犯罪者の、感染したコンピュータが盗み出す情報を受け取ったり、ボットに命令や更新プログラムを送信したりといった操作を中断させようというのである。
ボットネットと犯罪者の通信が途絶えている間、政府と提携しているアンチウイルス関連会社などは、犯罪者の反撃を心配することなく感染したコンピュータの検出とボットの除去に注力できる。
政府は代用C&Cサーバーを使い、米国内の感染コンピュータに停止コマンドを送信するだけで、感染コンピュータ上のデータの変更や閲覧はしないらしい。政府は声明の中で、「発信元のIPアドレス、ネットワークポート、通信の日時以外は、感染コンピュータから代用C&Cサーバーに伝送されるいずれのデータも保存、閲覧、使用しない」と述べている。しかし、コンピュータが再起動すればすぐにCorefloodは動作を再開し、また代用C&Cサーバーにアクセスして停止命令を受け取るまでデータの収集を行う。
政府が一つ行うことは、インターネット接続事業者(ISP)に各社のネットワーク上にある感染コンピュータについて通知することだろう。あとはISPの責任で感染コンピュータのユーザーに知らせる。
政府がボットネットを閉鎖したのはこれが初めてではない。米政府としては初めてだが、2010年10月にオランダ当局のハイテク犯罪ユニットが「Bredolab」ボットネットのC&Cサーバーの制御を乗っ取っている。ボットネットを停止させただけでなく、追加コマンドを送信し、コンピュータが感染していることを表示するプログラムをダウンロードさせてユーザーに通知した。それから見れば、米政府の行動は「かなり控えめなものだ」と、イーセットは述べている。
WordPress.comに不正アクセス、ユーザーはパスワード変更を
次はインターネット上でサービスを利用する際のパスワード設定に関する話題だ。
多くのインターネットユーザーが複数のWebサイトで同一のパスワードを使っている。その場合、もし一つのWebサイトでパスワードを盗まれたら、ほかの複数のオンラインアカウントもこじ開けられ、問題がさらに大きくなる危険性がある。英ソフォスは、こうした状況に配慮し、改めてブログでパスワードの設定見直しを訴えた。
ソフォスがこの話題を取り上げたきっかけは、米オートマティックのブログプラットフォーム「WordPress.com」がハッキング攻撃を受けたこと。このためブロガーに対し、パスワードの安全性を見直すようで呼びかけている。
オートマティックは、同社のサーバー数台がルート権限の不正アクセスを受け、サーバーに格納していたデータが流出した可能性があることを明らかにした。オートマティックのMatt Mullenweg氏は次のように説明している。
「われわれは念入りにログや記録を分析し、侵入による情報漏洩の範囲と、侵入経路の特定に努めている。おそらく侵入者はソースコードを閲覧し、コピーしたと思われる。大部分はオープンソースだが、当社および当社パートナーの機密情報も一部含まれている。それ以外については、漏洩した情報は限定的だ」
オートマティックは調査を継続するとともに、再発防止のための措置を取ったという。
ソフォスはすべてのWordPress.comユーザーに対し、詳しいことが分からないうちは、オートマティックのアドバイスに従ってパスワードを見直すことが賢明だと忠告している。
そのうえでソフォスは、サイトごとに特有のパスワードを使用するべきだと、改めて強調している。また、辞書にある単語をパスワードに用いるのは避けたほうがよい。電子辞書に載っている単語を試すなどして簡単にパスワードを当てられてしまうからだ。もし今回、WordPress.comのパスワードが不正アクセスを受けていないとしても、安全で強力なパスワードを使っているか確認するのは大いに意義がある。
制御システムセキュリティの重要性を説く
三つ目の話題は、Stuxnetをはじめとする産業機器のセキュリティに関するものだ。具体的には、独シーメンス(産業オートメーション事業部門)が自社製品ラインと米マカフィー製品の相互運用性を認定したことを、マカフィーがブログで紹介した。
シーメンス産業オートメーション事業部門の製品ラインには、マルウエア「Stuxnet」の標的になった「Simatic WINCC SCADA」が含まれる。マカフィーは、「プロセス制御システムとITセキュリティの融合を示す発表だ」とする。
制御システムは多くの場合、プロプライエタリーなプロトコルを使う古いOSが採用し、一般的にITとはネットワークが隔てられている。だからたこそ、一般的なITシステムよりも安全だと考えられていた。また、制御システムのセキュリティは特殊であるため、何年にもわたって一般のITセキュリティとはまったく別に統制されてきた。
ところが昨年登場したStuxnetが、制御システムセキュリティとITセキュリティに共通の認識をもたらした。Stuxnetは、複数の手法を組み合わせたAPT(Advanced Persistent Threats)と呼ばれる巧妙な手口を使い、物理的な工場システムに対して仕掛けられる。USBメモリー経由で、シーメンスの制御システムソフトウエアにあるパッチ未対応の複数の脆弱性を突き、プログラマブルコントローラ(PLC)に不正アクセスする。
相互運用性が認められたMcAfee Application Controlは、ホワイトリスティング技術によってシステムを保護する。定期的なパターン更新を使わず、認証済みのアップデートのみ動作を許可する。このため、USBデバイスなどを介して不正コードがシステムプロセスに侵入するのを防ぎ、Stuxnetで使われたようなゼロデイ攻撃を遮断することができるとしている。マルウエアが制御システムの管理システムに入り込まなければ、PLCに広がらず、工場の稼働に影響を及ぼすことはない。
マカフィーは、制御システムベンダーとITセキュリティベンダーが相互の事業について学び合い、Stuxnetのような脅威に対する共通の認識を持つことで、全般的な制御システムのセキュリティを向上できると期待している。
