クラッカーによる攻撃、情報漏洩の事件が次々に明らかになっている。セキュリティ関連ブログでも、やはりこれらをテーマとしているものが目立つ。6月初旬に米グーグルが明らかにした、Gmailアカウントを狙った攻撃についてもいくつかブログ記事が見られた。
まず最初に米マカフィーのブログを紹介しよう。同社は相次ぐ情報漏洩事件を受けて、「現在のセキュリティモデルは、早急にパラダイムシフトを必要としている」とブログで呼びかけた。
サイバー犯罪者は今や、完璧なプランを練ってターゲットに近づく。手の込んだ執拗な攻撃の一つ「Operation Aurora」(オーロラ攻撃)では、グーグルを含む30以上の米国企業が不正アクセスを受けた。そしてマカフィーは、5月に米ロッキード・マーティンを襲ったセキュリティ侵害が、Operation Auroraなどが新たなターゲット型攻撃(スピアフィッシングともいう)の始まりであることを確信させるものだったとする。
米EMC、ソニー、ロッキードと攻撃が続いたが、中でもロッキードは防衛当局と契約しているため、米国にとって非常に重要だ。例えばアフガニスタン紛争で使われた兵器、将来の軍事技術情報といった最重要情報の一部をロッキードが保持している。サイバー犯罪者がロッキードのネットワーク侵入に使った手口はいくつか考えられ、その一つはスピアフィッシングだ。一部のブログや報道は、ロッキードのネットワーク侵入とEMCの情報漏洩を関連付けている(ブログ公開後、EMCのRSA部門が関連性を認めた)。
マカフィーは毎日新種のマルウエアを5万5000種検出し、毎月不正サイトを200万サイト確認しているという。この膨大な数は、パッチやブラックリスト対策だけで管理できるものではない。
セキュリティ攻撃は、(1)サービスやアプリケーションの脆弱性を悪用する、(2)ペイロードをメモリーまたはディスクに落として実行させる、(3)不正アクセスを果たす、という3段階で行われる。シグネチャーに基づくブラックリスト方式の防御策ではゼロデイ脆弱性の検出は難しく、行動ベースの分析も完璧ではない。いったん脆弱性を突かれると、攻撃者はペイロードを実行して、C&C(ボットネット制御)サーバーに接続し、キーロガーなどのより悪質なコードをダウンロードすることが可能になる。
確認済みアプリケーションのみ動作を許可するホワイトリスト方式なら、いずれの段階でも攻撃からシステムを保護できる。メモリー保護機能で脆弱性が悪用されるのを防ぎ、もし脆弱性を突かれたとしてもリストに載っていないペイロードの実行を防止する。
マカフィーは、今こそセキュリティの構造を改革し、ホワイトリスト方式とブラックリスト方式を組み合わせるべきだと主張している。
Gmailアカウントを乗っ取られないための対策
次に、広く報じられたグーグルのWebメールサービス「Gmail」に対する攻撃について。米政府高官や報道記者、政治活動家などのユーザーアカウントが乗っ取られた事件である。これについて英ソフォスはブログで対策を解説している。
攻撃の手口は高度な技法を用いたものではないが、フィッシング詐欺ページに誘導するために器用に作成したHTML電子メールが使われた。犠牲者は添付ファイルだと信じてリンクをクリックし、Gmailのログイン画面に見えるフィッシング詐欺ページでユーザー名とパスワードを入力してしまう。それが詐欺ページだったことに気付いたときにはもう遅い。
Gmailアカウントが乗っ取られたり、悪用されたりしないようにするにはどうしたらよいか、ソフォスのアドバイスは以下の6点だ。
1.2段階認証を設定する
グーグルが提供している「2段階認証」機能では、Gmailアカウントにログインする際、パスワードのほかに、携帯電話に送られてきたコードの入力が求められる。このためサイバー犯罪者がユーザー名とパスワードを入手したとしても、Gmailアカウントにアクセスすることはできない。
写真●コードが送られてきた携帯画面の画像
2.知らないうちにGmailメッセージが転送されていないか確認する
転送の設定は、メール設定の「メール転送とPOP/IMAP」のタブで確認できる。また、「アカウントとインポート」のタブを開いて、「アカウントへのアクセスを許可」の項目で見知らぬアカウントが追加されていないかチェックする。
写真●転送設定の画像
