BYODは諸刃の剣、医療業界の課題

2012.04.12

　最近話題に上ることが増えたBYOD（Bring Your Own Device）。今回は、そのBYODに関連した話題から紹介しよう。

　米フォーティネットは医療業界におけるBYODの課題に関する考察をブログで発表した。フォーティネットは、BYODという現象の発生に伴って増大する懸念を最も痛切に感じているのは医療業界だという。医療関連機関では、情報を自由に流すことによって人の命を救えるなど、モバイルデバイスが計り知れない恩恵をもたらす可能性がある。ただ同時に、情報が漏洩したり悪意のある人の手に渡ったりすれば、生命を脅かす深刻な事態に発展しかねない。モバイルデバイスは、いずれの要因にもなり得る。

　医師や患者にとってカルテや投薬記録、アレルギーなどの情報に即座にアクセスできるか否かは、時には生死の問題に結びつく。フォーティネット上級マーケティングマネージャーのKevin Flynn氏は、「最も危険なのはまさに必要とする情報が得られないことだ。セキュリティが、必要な情報の取得を邪魔することがあってはならない。そこがほとんどの業界と少々異なる点だ」と説明する。企業の最高経営責任者（CEO）がレポートを受け取るのが1時間半遅れても大した問題ではないが、患者はそれを待つわけにはいかない。

　タブレット端末やスマートフォンを使うことにより、医師や外科医は一連の診察スケジュールをいつでも把握し、必要なときに患者の情報を手軽に入手できる。また医療スタッフもノートパソコンを引っ張り出したり管理者に頼んだりせずに機密情報へのアクセスが可能になる。

　やっかいな問題は誰が何の情報を見てよいかという判断と立場上の関係だと、Flynn氏は指摘する。この問題は医療業界では特に複雑で、例えば花形である心臓外科医に対しては、何をしてよい、何をしてはいけないと、なかなか言えるものではない。

　また、情報の自由な流れは重要であるものの、時には絶対的な患者のプライバシー保護と法規準拠の必要性に直面する。クレジットカード番号などとは異なり、医療データは取り消すことも変更することもできないからだ。

　プライバシーと必要な機能のバランスを取ることは単純ではないが、モバイル管理ソフトウエアへの投資とIT部門の強化は必要になると、フォーティネットは考える。2要素認証に加え、VPNトネリングなど、Wi-Fiアクセスポイントの強固なセキュリティ実装も不可欠だ。

　さらにFlynn氏は医療機関に対して、データを転送あるいはリモートアクセスする際に暗号化するEHR（複数の医療機関のあいだで利用、管理される診察情報）およびEMR（医療機関内で利用、管理される診察情報）の導入、Webトラフィックを監視するフィルタリング技術やアプリケーション管理技術の採用、情報漏えい防止機能の統合などを勧めている。

「2段階認証の利用が拡大中」、グーグルが導入促す

　次に、米グーグルのセキュリティ保護オプションの話題だ。同社は2011年2月より、全ユーザーが2段階認証を利用できるようにしている。同社のブログによると、現在世界で数百万人がアカウントを保護するための強化手段として2段階認証を使用し、毎日数千人が新たに導入している。

　グーグルは、2段階認証に対応したスマートフォン向けアプリケーション「Google Authenticator（認証システム）」のAndroid版を最近アップデートした。2段階認証を導入している場合、ユーザーはアカウントにログインする際、パスワードに加えて認証コードの入力を求められる。多くのユーザーはSMSのテキストメッセージか音声通話でコードを受け取っているが、Google Authenticatorをインストールすれば、端末上でコードを生成して使用できる。グーグルは、特に旅行中や通信が不安定なときに便利だとして、この方法を勧めている。

　グーグルは使いやすい2段階認証の実現を目指しており、より手軽なログインと設定管理を実行でき、いつでも簡単に認証コードを取得できるよう取り組んでいる。新しいAndroid版Google Authenticatorはユーザーインタフェースを向上するほか、新アプリケーションへの移行を必要とするバックエンドセキュリティとインフラへの根本的なアップグレードを行う。なお将来の機能強化は通常のAndroidアップデートの手順で行われる。

　既にGoogle Authenticatorを使用しているユーザーは、次回アプリケーションを起動したときに、新バージョンへのアップデートを促される。

新しい「Hlux」ボットネットの封鎖作戦

　最後に、ボットネットに関連する話題を二つ取り上げる。まず、ロシアのカスペルスキーラボの「Hlux」という新しいボットネットについてのブログ。これを停止に追い込んだ作戦について、カスペルスキーはブログで説明した。Hluxはピアツーピア（P2P）型のボットネットで、米マイクロソフトは「Kelihos」と名付けている。大規模ボットネット「Waledac」と同様のアーキテクチャーを使用している。

　典型的なボットネットと異なり、P2P型ボットネットは中央管理を担うマルウエア制御（C＆C）サーバーを使わない。ネットワークにつながる全マシンが、サーバーあるいはクライアントとして活動する。攻撃者の観点からすると、単一障害点（SPOF：single-point-of-failure）となるC＆Cサーバーを省くことができるという利点がある。セキュリティ会社の観点からすれば、この手のボットネットは阻止するのがより難しい。

一般的なボットネットのアーキテクチャ

P2P型ボットネットのアーキテクチャ

　Hluxの最初のバージョンは2010年12月にユーザー環境に出現した。カスペルスキーラボは2011年9月に1回目のボットネット封鎖作戦を実行したが、新バージョンはその直後に登場した。

　新バージョンは、旧バージョンと同様にスパム配信や個人情報取得、DDoS攻撃などの機能を備えるほか、以下の行動が確認されている。

・フラッシュドライブに感染し、「Copy a Shortcut to google.Ink」というファイルを作成する
・多数のFTPクライアントの構成ファイルを探してコマンドサーバーに送信する
・オープンソースの仮想通貨「Bitcoin」のウオレットを盗む機能を内蔵している
・プロキシサーバーモードで稼働できる
・Bitcoinを発掘する機能を持つ
・電子メールアドレスを含んでいるファイルを探す
・電子メールや、FTPおよびHTTPセッションのパスワードを傍受する機能を持つ

　今回の封鎖作戦では、セキュリティ技術の新興企業である米クラウドストライク、セキュリティ技術者のコミュニティ「Honeynet Project」、および米デル傘下のセキュアワークスと協力した。P2Pネットワークの内部に入り込み、細工を施したジョブリストに多数のボットを接続させ、本来のボット管理者が制御できないようにした。

　Hluxボットネットの規模については、古いバージョンが約4万IPアドレスであるのに対し、新しいバージョンは約11万IPアドレスとカスペルスキーラボは推計している。

　最も感染マシンが多かった国は、旧バージョンではタイ、ベトナム、インド、韓国だったが、新バージョンはポーランドに最も集中し、次いで米国が多い。

新バージョンの感染マシン分布図