クラウドストレージは危険、6割以上がリスクを認識

2012.05.16

　ベンダー各社のセキュリティブログのうち興味深い話題を紹介する。今回はまず、統計や調査結果の紹介を取り上げる。

　英ソフォスは、4月に開催された情報セキュリティ関連のイベント「Infosecurity Europe」で実施したアンケート調査の結果をブログで発表した。調査対象としたイベント参加者214人のうち半数近くが「Dropbox」などのクラウドストレージサービスを利用しているが、それより多くの回答者はそのようなサービスがセキュリティ侵害の入り口になる危険性を懸念している。

　調査結果によると、回答者の45％が仕事にクラウドサービスを使用する一方、64％はクラウドサービスについて「怖い」と答えた。これは、少なくとも情報セキュリティ関連の会議に出席するような人々が消費者向けクラウドサービスのリスクを認識していることを示している。しかしそうした認識にもかかわらず、企業は社員がクラウドサービスを使用するのを抑制できずにいる。

　ソフォスは、クラウドの利点を享受するならば、テクノロジーに伴うセキュリティホールに備える必要があると忠告する。さもないと、管理の行き届いていない社員がクラウドを使用することで、データ侵害の発生を招くことになる。

　Dropboxを含む消費者向けサービスは企業レベルの要件を満たしていないため、多くの企業は現在、企業データが直面するリスクに関する判断を社員の手にゆだねている状態だ。しかしセキュリティ保護策をすべて難しく考えるのではなく、シンプルな予防策を積み重ねることをソフォスは提案する。たとえば、URLフィルタリングを用いたWebベースのポリシー、クラウドサービスに適用可能なアプリケーション管理、セキュリティを強化するデータ暗号化などを標準導入することで、セキュリティのリスクを軽減しながらクラウドの恩恵を得ることができる。

　また同調査から、32％の回答者は個人所有の端末を仕事目的に使うことを許可されているが、IT部門はそれら端末の使用に関する管理と規則制定を十分に行っていないことが分かった。

　さらに、49％の回答者の職場では、無線ネットワークにアクセスするのに単一もしくは少数のパスワードを多数のユーザーで共有しているという。企業は全ユーザーが同一パスワードを使用してインターネットに接続するような無線ルーターを設置するのではなく、既存のネットワークセキュリティにWi-Fiを組み込む方法を考えるべきだと、ソフォスは忠告している。

2011年のセキュリティ侵害分析

　米ベライゾンビジネスは、2011年におけるセキュリティの脅威について分析した結果を「2012 Data Breach Investigations Report（DBIR）」にまとめ、その一部をブログで紹介した。

　昨年確認されたセキュリティ侵害の92％は、法執行機関や不正検出組織など社外から連絡を受けたことをきっかけに発見されたものだった。ベライゾンビジネスは、残り8％の社内検出によるセキュリティ侵害のうち、社内のログ分析やレビュープロセスといった能動的セキュリティ対策において見つかった7件に焦点を当てた。

　まず企業の規模をみると、7件のうち5件は従業員数が1000人より多く、2社は101人以上1000人以下だった。7件の侵害はすべて外部者の仕業だったが、セキュリティ侵害全体の98％は外部要因によるものであるため、当然とも言える。7件のうち6件はターゲット型攻撃で、6件は最初の侵害発生後に攻撃難度を「中」あるいは「高」と判断されている。

　また、最初の侵害発生から発見までの期間に注目すると、日単位だったのは2件のみで、4件は月単位の時間がかかっている。ある事例では、最初の侵害から1カ月以上経っても攻撃の形跡を確認できなかった。別の事例では、最初の侵害発生のすぐあとに不正ソフトウエアの存在を認めたが、インシデントの過小評価によりデータ侵害自体の発見が遅れた。

　しかし、7件が社内の能動的セキュリティ対策によって検出されたものであるという事実はなぐさめになるかもしれない。ベライゾンビジネスによると、7件という数字は、2010年と比べ2倍以上多い。

Android向け脅威とWebサイトインジェクション攻撃

　次に、Android関連の最新の話題を紹介する。米シマンテックは、Android向けの脅威と組み合わせて使われる新たなWebサイトインジェクション攻撃を確認したとしてブログで注意を呼びかけた。

　シマンテックは昨年12月、中東のサイトを狙ってWebサイトインジェクションの手口を用いるAndroidの脅威「Android.Arspam」を初めて検出した。このトロイの木馬は、政治的な意図からWebサイトやコンピュータを攻撃する「ハクティビスト」のメッセージが掲載されたWebサイトにユーザーを誘導する。

　今回確認したWebサイトインジェクション攻撃は、モバイルマルウエアの拡散を行う。典型的なドライブバイダウンロードではなく、ダウンロード後にアプリケーションをインストールするようユーザーに求めてくる。

ユーザーにインストールを促す脅威

　最初の報告はソーシャルブックマークサイト上で感染したサイトのオーナーからだったが、その後複数のサイトから、感染したページのHTMLにリダイレクト先のURLが埋め込まれているとの報告が寄せられた。昨年シマンテックが検出した米グーグルのセキュリティパッチの不正バージョン「Android.Bgserv」を思い起こさせるように、トロイの木馬が偽セキュリティパッケージとして配信される。不明なソースからのインストールが許可されているデバイスは最もこのタイプの攻撃の影響を受けやすい。

　これまでの調査で特定されているドメインは以下の通り。

[http://]androidbia.info
[http://]androidjea.info
[http://]gaoanalitics.info
[http://]androidonlinefix.info

　このインジェクションはHTMLサイトだけでなく、robots.txtファイルでも確認されている。したがって、感染したWebサーバー上のすべてのファイルにこのiframeが付加されていることもあり得る。

　ペイロード自体は理解できないほど複雑なわけではない。不明瞭化されておらず、わずかなプロキシーとソケットルーチンにより、感染したデバイスから外部のソースにトラフィックを送信する。しかし本当に問題とするべきは直接の機能ではなく、外部の攻撃者の利益のために何を実行する能力を備えているかという点にある。

　シマンテックは、このような脅威はマルウエア開発者の戦略変更を示していると指摘する。従来の高額SMS詐欺などの手口から、プライバシー情報や機密コンテンツを盗んで恐喝やクリックジャックなどに使用するという、より高度な脅威に移行しつつある。シマンテックは今回の脅威を「Android.Notcompatible」として検出している。