エフセキュアブログ

F-SECURE

インターネット監視の隠れた危険性

2013年は秘密が暴露された年でした。世界中の一般的なインターネットユーザは、米国とその同盟国が行う広範なインターネットスパイ活動に気付かず安穏としていましたが、事態は一変しました。インターネット大量監視は疑う余地がないとプライバシー侵害について怒る人もいれば、さらなる安全性を保証するにはプライバシーを犠牲にする価値があると思う人もいます。議論のほとんどはこの両者によるものですが、あまり語られていない重要な側面がもう一つあります。それはつまり、大量監視が私たちのコミュニケーション文化にどんな影響を及ぼすかということです。

幸い、ここであれこれ推測する必要はありません。この影響についてはたくさんの事例があるからです。オーウェルの『1984年』から、現存する全体主義国家における状況まで。これらのすべてには一つの共通点があり、言ってもいいことと言ってはならないことがあることを誰もが知っています。いわゆるセルフセンサーシップ(自己検閲/自主規制)です。

こうした全体主義国と西欧民主主義国を比較することはできないと思うのであれば、もう一度考えてみてください。米国も英国も報道の自由度ランキングに入ってはいますが、英国のガーディアン紙は、言論の自由が当たり前のことではないことを示す好例です。西欧民主主義の要とされる国においてすらそうなのです。
 
スノーデン氏のファイルの一部が公開されたことから、私たちはインターネットスパイ活動について認識を深めることに非常に意欲的です。それについての意見は分かれますが、無防備なインターネット通信でプライバシーがあるということを誰も主張することができません。そしてそれは、セルフセンサーシップ文化の素地が着実に固まりつつあるということなのです。収集されたデータがどのように使われるかは問題ですらありません。データの取り扱いに対して適正な透明性を確保することはできないので、そのデータが私たちに不利になり得るという懸念が常につきまといます。実際に悪用されるケースは避けられないという事実についてはここで論じません。私たちはネット上で身も蓋もない本音をさらけ出すようになりましたが、その問題は意識レベルが向上すれば終わります。ネット上の大量監視を踏まえて、Googleで何かを検索する前に、その行為が自分のプロファイルにどういう影響を及ぼすかを考えなければなりません。

監視行為が文化に与えるマイナス影響についても、何が語られているかを本当に知るべき組織、米国家安全保障局(NSA)によって文書化されています。そう、NSA自身によってです!NSAの内部には「ゼルダ」という秘密のアドバイス・コラムニストがいますが、その存在はスノーデン氏がリークした機密文書を通じて知られました。このコラムニストの記事では、職場でのスパイ活動を懸念するNSA職員からの質問について述べています。ゼルダは、職員を監視する上司が職場環境を損なうのは、その通りだと頷いています。笑えますよね。

せめてもの救いは、優れた解決策があるということです。それはシンプルで、確立されており、うまく機能することが立証されています。インターネットで大量監視を行ってはなりません。代わりにターゲット認証を利用して、不法行為の疑いが強い人物に関するデータを入手します。その結果、罪のない多くの人のプライバシーが向上します。また、リクエストをレビューできる外部関係者、サービスプロバイダーまたはストレージプロバイダーを取り込みます。彼らは取引先の完全性を保護したいという動機があり、それは当局に欠けているものです。リクエストに何か不正があった場合、彼らが内部告発できることを私たちは確認すればよいのです。
 
このようにして何十年もこの世界は動いてきたのであり、新しいインターネット技術にはこの手法の説得力を弱めるものは何もありません。逆に、自分のハードディスクでなくクラウドサービスでデータを保持する世界においては、この方法は以前よりもうまく機能しています。
 
>>原文へのリンク

異動のご挨拶

4月からシンガポールに異動になりましたことをこの場を借りてご報告させていただきます。(注:会社やブログを辞めるわけではないですよ。)

私が初めてエフセキュアブログに投稿したのが4年前ですが、その頃からすでにセキュリティエンジニアが相手にするのは愉快犯から犯罪組織へと完全に変わっていました。

私は幸いにして社内、社外問わず本当にクレイジーな技術者といっしょに仕事をすることができ、彼らは犯罪組織が犯したミスを元に、時にはマルウェアの点と点を繋ぎ合わせ、時にはSNSに入り込み、犯罪組織を特定しました。それでも結局逮捕にいたることはありませんでした。国際犯罪の前では自分の無力さを痛感するしかなかったのです。

インターネットが社会インフラとなり変革の時代を迎えようとしているというのに、セキュリティエンジニアがなすべきことはまだまだ山積みじゃないでしょうか。

というわけで今後はサイバーディフェンス研究所に籍を置きつつ、インターポールに出向することとなりました。

IGCI
まだまだ工事中の職場。左下が完成予想図です。

今後も色々な方々にサポートを仰ぐ機会が多くなると思いますが引き続きよろしくお願いいたします。

では最後に(といってもブログの執筆は今後も続けさせていただきますが)書籍サイバー・クライムの監修時に出会って未だに私の頭にこびり付いて離れない言葉を紹介します。主人公バーレットライアンが元同僚たちに向けて送った言葉です。

いまプロレキシックに身を置いている人たちには、自分がなんのために仕事をしているのかをよく考えて欲しい。君たちの仕事は金のためだけじゃないはずだ。僕が会社を立ち上げたときも、この仕事で金持ちになろうとは思っていなかった。徹底的に利益を出そうと思えば出せただろう。でも、欲望まみれの会社にはしたくなかった。僕が思い描いていたのは、企業をサイバー・クライムの脅威から守るセキュリティ会社だ。誰もが不可能だと思うようなことをやってのける会社だ。自分の仕事の意味がわからなくなったら、このことを思い出してほしい。
書籍サイバー・クライムの319ページから引用

OpenSSLにおける ’HeartBleed’脆弱性のエフセキュア製品への影響

HeartBleedは、OpenSSLの暗号化ライブラリにおける重大なセキュリティの脆弱性 (CVE-2014-0160)です。このライブラリは、オンラインのサイトやWebベースのサービスで安全な通信を提供するために広く使用されています。この脆弱性は、攻撃者が痕跡を残すことなくサーバのメモリから情報を読むことを潜在的に許容します。つまり、Webサーバの秘密鍵情報やユーザパスワードのような非常に機密性の高い情報が、攻撃者によりコピーされた可能性があります。

エフセキュア製品の中にも、当該セキュリティ勧告の影響を受ける製品・サービスが存在します。

当該セキュリティ勧告は、以下のURLで追加情報のアップデートを行います。

http://www.f-secure.com/ja/web/business_jp/support/support-news/view/story/1450043


リスクファクター:  重大  (低/中/高/重大)


影響を受ける製品とバージョン:
  • エフセキュアMicrosoft Exchange & XenAppセキュリティ 10.00 – 11.00
  • エフセキュア Windowsサーバ セキュリティ10.00-11.00
  • エフセキュア プロテクションサービスビジネス サーバ10.00
  • エフセキュア プロテクションサービスビジネス メールサーバ10.00

影響を受けるプラットフォーム:  上記製品がサポートする全てのプラットフォーム

<<<2014年4月14日追加>>>

1) 2014年04月14日19:00現在、以下の製品に Hotfix 1 がリリースされています。各製品のダウンロードの Hotfixes の項目を参照ください。 上記の対応における記事にも Hotfix のリンクや適用方法が記載されていますので、合わせてご参照ください。
  •  サーバセキュリティ、および、メールとサーバセキュリティ 10.x - 11

        - F-Secure サーバセキュリティ 11.0 Hotfix 1
          http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/135
        - F-Secure サーバセキュリティ 10.xx Hotfix 1
          http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/135/10.x
        - F-Secure メールとサーバセキュリティ 11.0 Hotfix 1
           http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/134
        - F-Secure メールとサーバセキュリティ 10.xx Hotfix 1
           http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/134/10.x

 

2) 2014年04月14日19:00現在、以下の製品で MultiFix がチャネル配信済です。

  • PSB サーバセキュリティ、および、PSB Emailサーバセキュリティ 10.00
   「自動更新」→「ダウンロード」において、"PSB ESS 10.00 MF01" (PSB ESSの例)が表示されていれば適用済です。

<<<ここまで>>>

注意:  以下の製品は影響を受けません。
  • エフセキュア クライアント セキュリティ
  • エフセキュア アンチウイルス ワークステーション
  • エフセキュア Linuxセキュリティ
  • エフセキュア アンチウイルス Linuxゲートウェイ
  • エフセキュア ポリシーマネージャ
  • エフセキュア プロテクションサービス ビジネス ワークステーション
  • エフセキュア プロテクションサービス ビジネス 管理ポータル
  • エフセキュア プロテクションサービス ビジネス Linux

---【お問い合わせ】-----------------------------------------------------

エフセキュア株式会社

■ 本件に関する技術的なお問い合わせ窓口
TEL.045-440-6620
E-mail:anti-virus-japan@f-secure.co.jp
  
■ 申請等に関するお問い合わせ窓口
TEL.03-5545-8940
E-mail:japan@f-secure.co.jp
  
□ 製品一般情報URL   
http://www.f-secure.com/ja_JP/products/business/
  
□ 製品サポート情報URL
http://www.f-secure.com/ja_JP/support/business/

xkcd: Heartbleedの解説

Heartbleed Explanation
xkcd: Heartbleedの解説

Openssl Heartbleed 攻撃の検知について

bleed

ここ数年で最悪の脆弱性と言われているOpenSSL Heartbleedですが、そろそろ脆弱性への対応を終え、ホッと一息いれている組織も多いのではないでしょうか。
Shodanで確認する限りでは対応が追いついていないところがあるようですが・・・
また、個人レベルではSNSやクラウド・ストレージなどのパスワード変更も忘れずに実施しておきたいところです。

参考:
The Heartbleed Hit List: The Passwords You Need to Change Right Now
Heartbleed Bug Health Report [追記]

さて、既に報道などでの報告の通り、今回の攻撃はサーバ上のログなどには痕跡が残りません。そこで、iptablesなどによりログを残すように設定しておくことで攻撃ログを収集しておくと何かと安心です。
一部のバーチャルプライベートサーバ(VPS)やレンタルサーバではiptablesなどでアクセス制御していることがあると思います。そのような場合においても利用できるのではないでしょうか。
#根本的な対策ではなく、あくまで攻撃検知という意味で。

iptables log rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

iptables block rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

参考URL:
http://www.securityfocus.com/archive/1/531779/30/0/threaded


snort / Suricata rules

OpenSSL ‘heartbleed’ bug live blog
Detecting OpenSSL Heartbleed with Suricata

Honeypot(おまけ)
http://remember.gtisc.gatech.edu/~brendan/honeybleed.patch
http://packetstormsecurity.com/files/download/126068/hb_honeypot.pl.txt


ご参考まで。

役立たずのAndroid「SEO」アプリがアンチウィルスソフトを標榜

 日曜日、Android Police(ニュースやレビューを掲載する人気のサイト)は「Virus Shield」について投稿を行った。このアプリはGoogle Playのランキングでトップになったが、完全に詐欺だった。追跡記事の中でDailyTechは何がしかを探り当て、テキサス在住の17歳によって当該アプリが書かれたと考えている。明らかに彼はSEOに長けている。

 彼が男性かどうかだが…、男性なら典型的な人物像と一致する。この優れたSEOのスキルを持つ若者は、かなり役立たずのアプリをプッシュした。

Virus Shield

 役立たずの「SEOアプリ」群はGoogle Play上で広く流行している。見てみたいなら、これらは簡単に見つかる。

 以下に例を挙げる。

  •  Best Antivirus Lite
  •  SAFE antivirus Limited
  •  Skulls Antivirus
  •  Shnarped Hockey antivirus lite

 BestとSAFEはある1人の「デベロッパー」と、またSkulllsとShnarped Hockeyのほうは別の1人の「デベロッパー」と関連している。

 2人の別々のデベロッパーがいるわけだが…、上記アプリは名前以外は同一である。これらアプリは1つのテンプレートをベースにしており(アプリのテンプレートの市場がある)、いわゆるデベロッパーが行わなければならないのは、独自のグラフィックを追加することのみだ。

 このAndroidアプリにデベロッパースキルは一切不要だ。

 それではこのアプリは何をするのか?

 えーと、「Anti Spyware」と題したSA画面を開く。

Shnarped Hockey antivirus lite

 ふむふむ、用語が変化した。これは警告マークであるべきだ。

 「Start Scan」をクリックすると、当該アプリはインストール済のアプリのパーミッションについて基本的なスキャンを行う。パーミッションの数が多いアプリ群はリスクがあると分類され、パーミッションの数が少ないものは安全とされる。そして詳細について確認したい場合は?うーん、そうすると「フル」バージョンのものを約1ドルで買わなければならない。控えめに意見を述べると、フルバージョンを購入した(1千人超の)方は、完全に金の無駄遣いだった。

 Google Playで買い物をするときは用心を。

 追伸。完全に無料で、パーミッションについて高度なスキャンを行い、秀逸な詳細情報を提示するアプリが欲しいなら…。

 F-Secure App Permissions for Androidのチェックを。

ヴィンテージ:ファッションや家具には魅力的だが、 ソフトウェアには無用

最近のエフセキュアの調査では、10社中4社の中小中堅企業が古いソフトウェアを使用していることを報告しており、データ漏洩に対し無防備な状態にあります。

なんらかの商品を購入して、長い期間保管しておけば、それはやがてヴィンテージ化します。粋で独特の味を出し、過ぎ去った日々へと時間を戻してくれるヴィンテージは、ファッションや家具、車にとっては魅力的でも、商用ソフトウェアにとって古いということはセキュリティリスク以外の何物でもありません。エフセキュアの調査では、多くの企業が古いソフトウェアを使用することで会社の資産を大きな危険にさらしていることがわかっています。

94%の中小中堅企業は、ソフトウェアを常に最新の状態にしておくことが重要であると考えています。しかし、現実にはそのようになっていません。自社のソフトウェアが常に最新の状態であると答えた企業はわずか59%、ソフトウェアを最新の状態に保つのに充分なリソースがあると答えた企業はわずか63%にすぎません。

ソフトウェアを最新の状態に保つことは、ビジネスでのセキュリティ全体において非常に重要な要素の1つです。古いソフトウェアには、サイバー犯罪者が企業ネットワークへの侵入経路として悪用可能なセキュリティ上の欠陥が潜んでいます。エフセキュアラボが検出したマルウェアトップ10の70%から80%は、ソフトウェアを最新の状態にしておけば防ぐことができたものです。

ソフトウェアアップデートは長時間を費やす

企業は、ソフトウェアのアップデートに1週間当たり平均11時間の時間を費やしていると報告しています。企業の規模が大きくなるほど、その時間は増えています。従業員数50人未満の企業では、1週間当たりの平均時間が3時間であるのに対し、従業員数が250人を超える企業ではこの時間は15時間以上になります。

エフセキュアのコーポレートセキュリティ担当バイスプレジデント、ペッカ・ウスヴァは次のように述べています。「アップデートに企業が費やす時間については、ほんの氷山の一角に触れるだけですが、ありがちな誤解として、問題がOSにあると認識されていることが挙げられます。しかしそれは誤りです。OSは、十分にメンテナンスが施され、アップデートが行われています。深刻なのは、企業や個人が使用するサードパーティのアプリケーションなのです。いくつか例を挙げるとSkype、Adobe Reader、さまざまなプラグイン機能を持つブラウザ、Javaなどが該当します。皆様はご自分のデバイスに何がインストールされているかをご存知でしょうか。」

一方、古いソフトウェアに潜む脆弱性を狙ったサイバー攻撃は増え続けています。そして、新種の脅威というのは、数日や数週間ではなく、秒単位で作成されています。

従業員が個人所有のソフトウェアを使用

現在では従業員は個人所有のデバイスを持ち込んでおり、調査を行った企業の約半数は従業員による個人所有のソフトウェアの使用も容認しています。企業の規模が小さいほど、この傾向は顕著になります。従業員数が50人未満の企業の56%が容認しているのに対し、従業員数が250人を超える企業で容認しているのは39%です。また、フィンランド(53%)、スウェーデン(59%)では比較的高い割合で容認され、ポーランド(30%)やフランス(36%)では、容認度が低くなっていることが報告されています。

67%の企業では、個人所有のソフトウェアを使用する従業員は、自分たちでアップデートを行わなければなりません。しかし、個人がソフトウェアを常に最新の状態にしている保証はないため、これはリスクの高いポリシーということになります。従業員数が50未満の企業では、81%の従業員がアップデートを自分で責任を持って実施しなくてはなりません。また、企業の30%はMicrosoftのアップデートにしか対応していません。

ソフトウェア アップデータ : ソフトウェアを最新の状態に保つ、従来とは異なる最新の方法

ウスヴァは、企業のすべてのコンピュータとデバイスのソフトウェアすべてを最新の状態に保つ方法は、そのプロセスを自動化するほかないと語ります。「ソフトウェアメーカーは週ベースで、または長くても月ベースでアップデートのリリースを行います。これらのアップデートを手動で行おうとするのは、負け戦に挑むようなものです。ソフトウェア アップデータの自動化機能に全社的なセキュリティアップデートをすべて任せることで、貴重な時間やリソースを他の作業に充てることができるようになります。」

ソフトウェア アップデータはエフセキュア プロテクション サービス ビジネス(PSB)の機能の1つです。ソフトウェア アップデータを使えば、企業は従業員がインストールしたソフトウェアでも、常に最新の状態に保つことができます。プロセス全体を自動で完結することができるのです。ソフトウェア アップデータは、ソフトウェアの脆弱性を狙った攻撃から企業ネットワークを保護するために役立ちます。また、ソフトウェア アップデータはエフセキュアのその他の法人向け製品にも利用可能です。

ヴィンテージは、ファッションだけに留めておきましょう。昨日のソフトウェアは今日の時間や費用の無駄であり、明日の信頼や重要なデータ喪失のリスクとなります。

* エフセキュアの2014年デジタル企業調査は、8カ国(ドイツ、イタリア、フランス、英国、スウェーデン、フィンランド、ポーランド、アメリカ合衆国)で1〜500名の従業員(平均200名)を有する企業を対象にWebインタビューを実施しました。同調査は2013年11月に実施されました。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード