コンピュータ・セキュリティの教育を行う米SANSインスティチュート。その代表で,米国政府の政策立案に携わるなどの経歴を持つアラン・パーラー氏に,最新のセキュリティ・トレンドについて聞いた。(聞き手は中道 理=日経コミュニケーション)
最近のコンピュータ・セキュリティ事件の傾向について教えてほしい。
従来は,犯罪組織が金儲けのためにパソコンにキーロガーを仕込んでクレジットカード情報を盗んだり,銀行のアカウント情報を盗んだりするケースが多かった。最近,その中にテロリストの集団が含まれていることが分かってきた。活動資金を集めるために,サイバー犯罪に手を染めているわけだ。
その裏付けとなる話で,公表できるものが三つある。一つは2005年に発生したインドネシアの爆弾テロ事件だ。捕まった犯人のコンピュータを解析したところ,キーロガーを使ってクレジットカード番号を集めていた痕跡が見付かった。また,この犯人は刑務所の中で自身に関する本を執筆したが,その本の中でコンピュータ・ハッキングについて書いている。内容は,どういったことを学べばハッキングの技術が身につくかといったもので,米国の専門家が「これはハッカーにとってとてもいい教科書だ」とうなるぐらいの出来だった。
二つめの例は,ニューヨークに本店がある銀行の顧客がパソコンにキーロガーを埋め込まれ,そのアカウントを不正利用された事件だ。SANSもこの事件の解析に協力したのだが,なぜか,この事件について米連邦捜査局(FBI)がしつこく聞いてきた。後から分かったのだが,この事件の背後にイラクの自爆テロ・グループがいたようだ。
最後がアルカイダについてだ。YouTubeなどいろいろな動画サイトで,アルカイダ幹部の演説を見られるが,最後は必ず「コーランを勉強せよ。そして,米国を倒すためにコンピュータを勉強せよ」で終わる。つまり,コンピュータ・ハッキングが彼らの力の源泉になると考えているわけだ。
最近,主に政府機関への攻撃に関して,中国の名前もよく耳にする。
中国は,サイバー犯罪に関して世界中で最も高い技術を持つ国の一つだ。彼らは政府機関だけではなく,企業も狙っている。例えば昨年末,英国の情報機関から米国のある大手企業に対して,「中国と取引しているなら,情報は先方にすべて漏れているから注意するように」という連絡があった。交渉を有利に進めるために,情報をあらかじめ徹底的に集めるわけだ。
ただ,こうした活動をしているのは中国だけではない。中国は,どんな情報でも根こそぎ取っていくため,目立っているだけ。ロシアをはじめ他の国には,必要な情報だけこっそり盗んでいく犯罪グループがある。
企業が犯罪者や国家から情報を盗まれないようにするためにどうすればいいのか。ユーザーを教育して底上げするしかないのか。
ほとんどの攻撃では,思わず添付ファイルを実行して(開いて)しまうような内容のメールを送るなど,ソーシャル・エンジニアリングの手法が使われる。ソーシャル・エンジニアリング攻撃を教育で守るのは不可能だ。
以前,米国の陸軍士官学校で「添付ファイルを絶対クリックするな」と徹底的に教え込んだことがある。ところが5週間後にソーシャル・エンジニアリングの手法を使ったメールを送ったところ,3000人のうち85%の学生が添付ファイルを開いた。一般の企業でも結果は同じだろう。
ではどうすればいいのか。
まず,添付ファイルはサーバー側ですべてPDFに変換する,HTMLメールを禁止するといった処置を取ることだ。さらに,パソコンに自由にアプリケーションをインストールできないように,ユーザーから管理者権限を取り上げてしまう。
今,米国政府は「Secure Configuration」というポリシーを定め,このポリシーに対応したパソコンを調達することにしている。不要なサービスをあらかじめ停止し,管理者権限でのログオンができず,端末管理のために必要なソフトウエアがすべて入った状態のパソコンだ。既に50万台のシステムがSecure Configuration対応になり,400万台が導入を待っている状態だ。
効果も上がっている。政府のシステム部門のヘルプデスクの仕事が激減したほか,パッチ・リリースから適用までにかかる時間の平均が57日から72時間に減った。企業もこうした取り組みをすることで,攻撃を防御することができるようになるだろう。
企業は企業のシステム部門が守ってくれるが,家庭のユーザーはどうすればいいのか。
極端な話をすれば,家庭はそれほど堅く守る必要はないと思っている。企業の情報を家庭のパソコンで扱っているなら問題だが,そうでないなら情報が盗まれて問題になるのは,クレジットカードや銀行のアカウントなどだろう。こうした情報が悪用されたとしても,クレジットカード会社や銀行が全額保証してくれるため,損害はない。
だが,犯罪者を野放しにしておくわけにはいかない。
発想の転換が必要になる。今,犯罪者が攻撃に使うのは,ぜい弱なサーバーだ。ぜい弱なWebサーバーの管理者に責任を負わせるようにしていくべきだろう。
車を考えてみると分かりやすい。初期の車では,シートベルトは付いていなかった。しかしユーザーを保護するために,シートベルトが付き,車体の強度が上がり,エアバックが付いた。ソフトウエア製品でも同じことが求められるのではないか。
企業がこうした責任を問われることをなくすためには,サーバー製品を導入する際に,納入ベンダーやアプリケーション開発ベンダーにセキュアな状態で納入するようにしてもらうしかない。契約の際にこうした項目を定めておくことで改善できるのではないか。
企業システムをSaaS(software as a service)のプロバイダに任せるのはどうか。
それはいい考えだ。システムを集中することで,セキュリティ問題の9割は解決するという研究結果がある。SaaSだと若干柔軟性に欠けるかもしれないが,多くの企業では問題のないレベルだろう。
