先週エフセキュアブログで発表致しました、「エフセキュアブログ新春特別企画 追憶の2010年と2011年の展望 (ダイジェスト版) 」に加え、各専門家のみなさまからお寄せ頂きましたコメントをご案内いたします。
このレポートは、エフセキュアブログに参画する、各ジャンルのセキュリティエキスパート8名に対して年末から年始にかけて「2010年一番印象に残ったセキュリティに関する出来事」「2011年に一番注目していること」他をアンケートによりお聞きしたものです。
エフセキュアブログは、2011年も引き続き、ジャンルと企業の枠を超える有益な情報発信を目指して参りますので、今後とも何卒よろしくお願いします。
エフセキュアブログ管理人
尾崎 リサ拝
---------------------------------------------
高間 剛典
メタ・アソシエイツ代表
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
Stuxnet
Stuxnetマルウェアは、工場やインフラなどの制御システムに使われる特定メーカーのSCADA装置を狙って作られ、イランの核施設というピンポイントなターゲットの装置を誤動作させるために設計された仕様を持っていた点が、今までのPCマルウェアとはかなり違っていました。以前2004年ころに重要インフラ保護に関する調査でアメリカを回った時に、既にSCADAの持つ脆弱性と脅威は重要インフラ企業の業界団体や政府機関では認識されていたのを見てきましたが、これでその脅威が現実化することが完全に証明されてしまいました。
Stuxnetの場合は、特にイランの核施設を狙ったことから中東を主とした国際状勢に絡んだ特殊工作の可能性が高いことは、今までのPCマルウェアでは見られなかった事情です。特にイランで核施設でStuxnet駆除に従事していた科学者の1人が暗殺され、イスラエルの特殊部隊モサドによる仕業と名指しする記事も出ました。
Mossad: was this the chief's last hit?(The Telegraph)
http://www.telegraph.co.uk/news/worldnews/middleeast/israel/8182126/Mossad-was-this-the-chiefs-last-hit.html
その意味でもStuxnetは、「マルウェアを敵対国のインフラへダメージを与えるための武器として利用する」というコンセプトも実証したことになり、これは今後の紛争国間でのマルウェア利用のモデルケースとなってしまうでしょう。
Stuxnetの場合では、未発見のゼロデイ脆弱性が多数使われるなど、高度な開発力と資金力が裏側にあることが伺われましたが、仮に今後もしも、今はまだフィッシングやボットネットに使われるマルウェアを開発している犯罪組織が、このような政治的目的の攻撃的マルウェア開発も請け負うブラックマーケットへと展開して来た場合、技術力の未発達な国家であっても資金さえあればマルウェアを入手できる可能性があります。もしそうなった場合の一般への巻き添え被害は想像できない規模になるかもしれません。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ATMスキマーはどのように設置されるか?
2010年3月10日 by エフセキュア・コーポレーション ミッコ・ヒッポネン
日本にいると銀行ATMに何か仕掛けられるなどとは考え難いですが、国外では当たり前のように起こっていて、犯罪者もATM機器の一部に見えるようなプラスチック部品を量産したりと段々高度になっています。また、日本の銀行ATM機材はレガシーシステムの流れを未だに引いているため銀行毎に独自の仕様機材が多かったりしますが、海外ではWindows XP EmbeddedなどのOSが使われた汎用的なATM機器が違った銀行でも使われていて、ATMを狙うマルウェアも出て来ている話題があります。いわば、日本はガラパゴス状態に守られている訳で、その状況に慣れたままでいるのは危険です。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
AndroidなどスマートフォンOSが使われたポータブル機器のセキュリティとプライバシー情報保護
リアルな生活場面とネット上の生活場面をつなぐ機器としてスマートフォンやタブレットを始めとするポータブル機器の普及が爆発的に拡大することが予想され、同時にこれらに使われているOSやアプリケーション/サービスを狙った犯罪が増加することが推測されます。
物理的世界を制御するシステムとネットワーク化されたPCコントローラーの組み合わせから起きるセキュリティ問題 … Stuxnetがモデルケースとなってしまった事から、今後この組み合わせが国際状勢や軍事状勢の影響を大きく受ける可能性があります。
---------------------------------------------
岩井 博樹
株式会社ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所所長
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
Stuxnetの登場
独シーメンスのPLCを狙う、複数の0dayを悪用するなど、技術面から考えても面白い。また、背景的にも軍事的な要素が見え隠れするあたりも注目。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
間違いだらけのGumblar対策
2010年01月12日 by株式会社サイバーディフェンス研究所 福森 大喜
アカウント管理の重要性が再認識された、というより、こんなに酷かったんだという印象を受けました。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
某国などからの特定企業への攻撃が加速化しており、その被害は深刻化している。日本企業も例外ではなく、その被害の動向が気になります。
---------------------------------------------
片山 昌憲
エキサイト株式会社 戦略ビジネス室 室長
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
中国の漁船問題によって攻撃を受けた日本のウェブサイト
ウェブサイトには国境が無いので、他国との国際問題が間接的にウェブサイトのセキュリティ問題に発展する可能性があります。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
スパムギビングデイ
2010年11月26日 by エフセキュア・コーポレーション ショーン・サリバン
今まではメールを使ったスパムが一般的だしたが、世界最大規模のウェブサイトであるFacebookを利用したスパム行為はリーチが広く効率的です。日本人はまだまだ国産SNSを利用しているユーザーが多く、Facebookアカウントを持つ日本人が増えると日本人向けの同様のスパムが発生する可能性があります。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
スマートフォン
スマートフォンは昨年に引き続き、今年も注目が集まるデバイスだと思われます。スマートフォン向けのセキュリティ製品がもうすでに出回っていますが、今後は個人の携帯の中身を狙った犯罪が増えるのではないかと考えています。
---------------------------------------------
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官/CDI-CIRTメンバー
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
Gumblarが大流行したことです。Gumblarが備える耐解析機能により、多くのアンチウイルスソフト、マルウェア判定サイトでGumblarを検出できない状態になっていました。Gumblarと同じような機能を持ったマルウェアは今も活動を続けていますので、そのようなマルウェアにどう対処するかは今も大きな課題だと思います。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ブランク・プラスチック
2010年3月19日 by エフセキュア・コーポレーション ミッコ・ヒッポネン
大量のブランククレジットカードの写真が印象的でした。そしてミッコの守備範囲の広さに驚きました。彼は一体どこまで手を出しているのだろうか。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
第二、第三のStuxnetが現れるのかに注目しています。根拠があるわけではありませんが同じようなプロジェクトが水面下で進んでいる可能性は高いのではないかと思います。スマートグリッドのようなインフラ制御システムのセキュリティを見直す時期に来ているのではないでしょうか。
---------------------------------------------
鵜飼 裕司
株式会社フォティーンフォティ技術研究所 代表取締役社長
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
2010年は、やはりstuxnet等に代表されるAPT(Advanced Persistent Threat)の関連話題です。近年の外部脅威と「守り方」の基本的な考え方を理解しておかないと、コストばかりかかってしまい、効果的な対策が打てなくなってきています。APTについては、IPAのテクニカルウォッチにて「『新しいタイプの攻撃』に関するレポート」と題した報告書が出ていますので是非ご参照下さい。また、私共研究開発の現場で一番印象的だったのは0-day脆弱性悪用の急増とその攻撃技術の更なる進歩でした。これらは目的遂行のための一つの手段であるため話題としてあまり取り上げられる事はありませんが、攻撃者側のテクノロジーの進歩には大きな危機感を感じています。
「『新しいタイプの攻撃』に関するレポート」
http://www.ipa.go.jp/about/technicalwatch/20101217.html
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
Stuxnetに関する質疑応答
2010年10月1日 by エフセキュア・コーポレーション ミッコ・ヒッポネン
「Stuxnet」再び:質疑応答
2010年11月23日 by エフセキュア・コーポレーション ショーン・サリバン
上記と被りますが、ミッコ・ヒッポネン氏やショーン・サリバン氏の Stuxnet に関連する質疑応答記事です。テクノロジーや攻撃背景等の分析は大いに参考になりましたが、特に攻撃背景については不明点も多く、今後増加するであろうこの種の攻撃に対して社会はどのように対峙すべきなのか改めて考えさせられました。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
2011年は、APTに関する話題が更に重要になってくるものと思います。また、私共は研究開発ベンダーですので、まずは「餅屋」として、より厳しさを増してきた攻撃技術に対する守りの技術をしっかり研究開発していきたいと思います。
---------------------------------------------
福本 佳成
楽天株式会社 システムセキュリティグループ マネージャー
Rakuten-CERT Representative
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
iモードIDを用いた「かんたんログイン」の DNS Rebinding 脆弱性(註1)
この脆弱性が報告されたのは2009年の11月ですが、2010年ではこの問題の影響を受けるウェブサイトがいくつか発見されました。もちろん楽天でもこの問題に該当しないか調査を行い、対策を実施したわけですが、これは本質的にはウェブサイトの脆弱性ではありません(註2)。ですが、時には自社の問題でなくてもウェブサイト側で対応をするケースもあるわけです。サービス運営をしている側としては、守らなければならないものがあるわけですから。ちなみに、この問題と同じく、以前、ブラウザ側の脆弱性ですが、ウェブサイト側で被害を受けないよう対応をした事例もありました。こちらについては今年、とうとうブラウザ側の脆弱性として修正されました(註3)。やはり恒久的には脆弱性の原因となっているところで修正されるべきでしょうね。
註1 DNS Rebinding 脆弱性
http://www.hash-c.co.jp/info/20091124.html
註2 本質的にはウェブサイトの問題ではありません
http://bakera.jp/ebi/topic/4054
註3 JVN#62275332 Internet Explorer におけるクロスサイトスクリプティングの脆弱
http://jvn.jp/jp/JVN62275332/
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
総火演で邪念をふっとばす
2010年8月31日 by エフセキュア株式会社 尾崎 リサ
セキュリティの記事ではないのですが、この記事が印象に残りました。現場でのセキュリティの仕事は日頃のストレスが多いのですが、この記事は爽快な気分を味わえますね。そして現場のセキュリティエンジニアにとっては大変共感を得る内容なのかなと思います。「そして、普段は直接見えないけれど、わたしたちの安全を確保する為に闘い続ける、ITセキュリティの世界も同じかもしれないと思いました。」という尾崎さんのコメントは、まさに仰る通りだと思います。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
Twitterでダイエットスパム拡散、Gawkerのパスワード流出と関連か
http://www.itmedia.co.jp/news/articles/1012/14/news040.html
昨年このような事例もありましたが、今年も引き続きID theftの被害は拡大しそうです。他のサービスでユーザID、パスワードが大量に漏洩する事件が発生すると、不正ログイン試行も増える傾向があることが観測されています。サービス運営者側はID theftにどう対処してくのか、大きな課題だと思っています。
---------------------------------------------
八木沼 与志勝
エフセキュア株式会社 テクノロジー&サービス部長
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
Stuxnetの登場
高度なマルウェアという点もありますが、その対象が印象的。産業システムならずとも、日本国内には各分野を支える独自システムがいくつもありますし、狙われたら非常に脆い部分もあります。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ソーシャル・スパム Q&A
2010年12月23日 by エフセキュア・コーポレーション ショーン・サリバン
特にこの記事だけというわけではないのですが、ショーンのSNS関連の記事投稿が多かったのもあり代表してこの記事を。SNS、特にスマートフォンによるSNS(特に日本国内)やクラウドシステムの利用をターゲットにした脅威について色々と考えるところがあるので、SNS関連記事が印象に残っています。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
2. に関連しますが、SNSやクラウドサービスとスマートフォン利用環境については注目してます。スマートフォンは位置情報(=行動情報)をリアルタイムに把握できる可能性があります。位置情報/行動情報を使ったオンラインゲームもあるし、人々が油断して使うことができるプラットフォームでもあるので、今後出てくるたくさんのサービスがどういった方向に向かうのか興味をもっています。また、スマートフォン対応のウェブサイトのノウハウもまだ発展途上。スマートフォンのアプリケーション開発への参入障壁が下がったことによる脅威。医療用を初めてとした特定用途のクラウドサービスの規格などの問題。話題先行でユーザがついていけていないため、注目しています。
---------------------------------------------
富安 洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
Stuxnetに関連するあれこれ
マルウェア本体の技術的な内容のみならず、関連する出来事(高間さんの記事: イラン科学者の暗殺事件など)や作者は誰かなどの噂話を含めた話の広がりが印象深かったです。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
個人情報の調査はできません
2010年05月07日 by エフセキュア・コーポレーション ショーン・サリバン
あえてStuxnet関連を外して、、、全然技術的な話ではないですが、面白いし良い法律だなぁと思ったので。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
業界動向とかを置いといて、個人的に気になっていることとしては、今年の国会に提出されると言われている「ウイルス作成罪」の法案がどんなものになるのかというところです。もちろん、基本的には必要な法律だとは思いますが、サポートへの検体提供とかで揉めたりするケースが出てくるんじゃないかなぁと若干心配しています。
---------------------------------------------
(敬称略)
このレポートは、エフセキュアブログに参画する、各ジャンルのセキュリティエキスパート8名に対して年末から年始にかけて「2010年一番印象に残ったセキュリティに関する出来事」「2011年に一番注目していること」他をアンケートによりお聞きしたものです。
エフセキュアブログは、2011年も引き続き、ジャンルと企業の枠を超える有益な情報発信を目指して参りますので、今後とも何卒よろしくお願いします。
エフセキュアブログ管理人
尾崎 リサ拝
---------------------------------------------
高間 剛典
メタ・アソシエイツ代表
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
Stuxnet
Stuxnetマルウェアは、工場やインフラなどの制御システムに使われる特定メーカーのSCADA装置を狙って作られ、イランの核施設というピンポイントなターゲットの装置を誤動作させるために設計された仕様を持っていた点が、今までのPCマルウェアとはかなり違っていました。以前2004年ころに重要インフラ保護に関する調査でアメリカを回った時に、既にSCADAの持つ脆弱性と脅威は重要インフラ企業の業界団体や政府機関では認識されていたのを見てきましたが、これでその脅威が現実化することが完全に証明されてしまいました。
Stuxnetの場合は、特にイランの核施設を狙ったことから中東を主とした国際状勢に絡んだ特殊工作の可能性が高いことは、今までのPCマルウェアでは見られなかった事情です。特にイランで核施設でStuxnet駆除に従事していた科学者の1人が暗殺され、イスラエルの特殊部隊モサドによる仕業と名指しする記事も出ました。
Mossad: was this the chief's last hit?(The Telegraph)
http://www.telegraph.co.uk/news/worldnews/middleeast/israel/8182126/Mossad-was-this-the-chiefs-last-hit.html
その意味でもStuxnetは、「マルウェアを敵対国のインフラへダメージを与えるための武器として利用する」というコンセプトも実証したことになり、これは今後の紛争国間でのマルウェア利用のモデルケースとなってしまうでしょう。
Stuxnetの場合では、未発見のゼロデイ脆弱性が多数使われるなど、高度な開発力と資金力が裏側にあることが伺われましたが、仮に今後もしも、今はまだフィッシングやボットネットに使われるマルウェアを開発している犯罪組織が、このような政治的目的の攻撃的マルウェア開発も請け負うブラックマーケットへと展開して来た場合、技術力の未発達な国家であっても資金さえあればマルウェアを入手できる可能性があります。もしそうなった場合の一般への巻き添え被害は想像できない規模になるかもしれません。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ATMスキマーはどのように設置されるか?
2010年3月10日 by エフセキュア・コーポレーション ミッコ・ヒッポネン
日本にいると銀行ATMに何か仕掛けられるなどとは考え難いですが、国外では当たり前のように起こっていて、犯罪者もATM機器の一部に見えるようなプラスチック部品を量産したりと段々高度になっています。また、日本の銀行ATM機材はレガシーシステムの流れを未だに引いているため銀行毎に独自の仕様機材が多かったりしますが、海外ではWindows XP EmbeddedなどのOSが使われた汎用的なATM機器が違った銀行でも使われていて、ATMを狙うマルウェアも出て来ている話題があります。いわば、日本はガラパゴス状態に守られている訳で、その状況に慣れたままでいるのは危険です。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
AndroidなどスマートフォンOSが使われたポータブル機器のセキュリティとプライバシー情報保護
リアルな生活場面とネット上の生活場面をつなぐ機器としてスマートフォンやタブレットを始めとするポータブル機器の普及が爆発的に拡大することが予想され、同時にこれらに使われているOSやアプリケーション/サービスを狙った犯罪が増加することが推測されます。
物理的世界を制御するシステムとネットワーク化されたPCコントローラーの組み合わせから起きるセキュリティ問題 … Stuxnetがモデルケースとなってしまった事から、今後この組み合わせが国際状勢や軍事状勢の影響を大きく受ける可能性があります。
---------------------------------------------
岩井 博樹
株式会社ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所所長
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
Stuxnetの登場
独シーメンスのPLCを狙う、複数の0dayを悪用するなど、技術面から考えても面白い。また、背景的にも軍事的な要素が見え隠れするあたりも注目。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
間違いだらけのGumblar対策
2010年01月12日 by株式会社サイバーディフェンス研究所 福森 大喜
アカウント管理の重要性が再認識された、というより、こんなに酷かったんだという印象を受けました。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
某国などからの特定企業への攻撃が加速化しており、その被害は深刻化している。日本企業も例外ではなく、その被害の動向が気になります。
---------------------------------------------
片山 昌憲
エキサイト株式会社 戦略ビジネス室 室長
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
中国の漁船問題によって攻撃を受けた日本のウェブサイト
ウェブサイトには国境が無いので、他国との国際問題が間接的にウェブサイトのセキュリティ問題に発展する可能性があります。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
スパムギビングデイ
2010年11月26日 by エフセキュア・コーポレーション ショーン・サリバン
今まではメールを使ったスパムが一般的だしたが、世界最大規模のウェブサイトであるFacebookを利用したスパム行為はリーチが広く効率的です。日本人はまだまだ国産SNSを利用しているユーザーが多く、Facebookアカウントを持つ日本人が増えると日本人向けの同様のスパムが発生する可能性があります。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
スマートフォン
スマートフォンは昨年に引き続き、今年も注目が集まるデバイスだと思われます。スマートフォン向けのセキュリティ製品がもうすでに出回っていますが、今後は個人の携帯の中身を狙った犯罪が増えるのではないかと考えています。
---------------------------------------------
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官/CDI-CIRTメンバー
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
Gumblarが大流行したことです。Gumblarが備える耐解析機能により、多くのアンチウイルスソフト、マルウェア判定サイトでGumblarを検出できない状態になっていました。Gumblarと同じような機能を持ったマルウェアは今も活動を続けていますので、そのようなマルウェアにどう対処するかは今も大きな課題だと思います。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ブランク・プラスチック
2010年3月19日 by エフセキュア・コーポレーション ミッコ・ヒッポネン
大量のブランククレジットカードの写真が印象的でした。そしてミッコの守備範囲の広さに驚きました。彼は一体どこまで手を出しているのだろうか。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
第二、第三のStuxnetが現れるのかに注目しています。根拠があるわけではありませんが同じようなプロジェクトが水面下で進んでいる可能性は高いのではないかと思います。スマートグリッドのようなインフラ制御システムのセキュリティを見直す時期に来ているのではないでしょうか。
---------------------------------------------
鵜飼 裕司
株式会社フォティーンフォティ技術研究所 代表取締役社長
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
2010年は、やはりstuxnet等に代表されるAPT(Advanced Persistent Threat)の関連話題です。近年の外部脅威と「守り方」の基本的な考え方を理解しておかないと、コストばかりかかってしまい、効果的な対策が打てなくなってきています。APTについては、IPAのテクニカルウォッチにて「『新しいタイプの攻撃』に関するレポート」と題した報告書が出ていますので是非ご参照下さい。また、私共研究開発の現場で一番印象的だったのは0-day脆弱性悪用の急増とその攻撃技術の更なる進歩でした。これらは目的遂行のための一つの手段であるため話題としてあまり取り上げられる事はありませんが、攻撃者側のテクノロジーの進歩には大きな危機感を感じています。
「『新しいタイプの攻撃』に関するレポート」
http://www.ipa.go.jp/about/technicalwatch/20101217.html
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
Stuxnetに関する質疑応答
2010年10月1日 by エフセキュア・コーポレーション ミッコ・ヒッポネン
「Stuxnet」再び:質疑応答
2010年11月23日 by エフセキュア・コーポレーション ショーン・サリバン
上記と被りますが、ミッコ・ヒッポネン氏やショーン・サリバン氏の Stuxnet に関連する質疑応答記事です。テクノロジーや攻撃背景等の分析は大いに参考になりましたが、特に攻撃背景については不明点も多く、今後増加するであろうこの種の攻撃に対して社会はどのように対峙すべきなのか改めて考えさせられました。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
2011年は、APTに関する話題が更に重要になってくるものと思います。また、私共は研究開発ベンダーですので、まずは「餅屋」として、より厳しさを増してきた攻撃技術に対する守りの技術をしっかり研究開発していきたいと思います。
---------------------------------------------
福本 佳成
楽天株式会社 システムセキュリティグループ マネージャー
Rakuten-CERT Representative
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
iモードIDを用いた「かんたんログイン」の DNS Rebinding 脆弱性(註1)
この脆弱性が報告されたのは2009年の11月ですが、2010年ではこの問題の影響を受けるウェブサイトがいくつか発見されました。もちろん楽天でもこの問題に該当しないか調査を行い、対策を実施したわけですが、これは本質的にはウェブサイトの脆弱性ではありません(註2)。ですが、時には自社の問題でなくてもウェブサイト側で対応をするケースもあるわけです。サービス運営をしている側としては、守らなければならないものがあるわけですから。ちなみに、この問題と同じく、以前、ブラウザ側の脆弱性ですが、ウェブサイト側で被害を受けないよう対応をした事例もありました。こちらについては今年、とうとうブラウザ側の脆弱性として修正されました(註3)。やはり恒久的には脆弱性の原因となっているところで修正されるべきでしょうね。
註1 DNS Rebinding 脆弱性
http://www.hash-c.co.jp/info/20091124.html
註2 本質的にはウェブサイトの問題ではありません
http://bakera.jp/ebi/topic/4054
註3 JVN#62275332 Internet Explorer におけるクロスサイトスクリプティングの脆弱
http://jvn.jp/jp/JVN62275332/
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
総火演で邪念をふっとばす
2010年8月31日 by エフセキュア株式会社 尾崎 リサ
セキュリティの記事ではないのですが、この記事が印象に残りました。現場でのセキュリティの仕事は日頃のストレスが多いのですが、この記事は爽快な気分を味わえますね。そして現場のセキュリティエンジニアにとっては大変共感を得る内容なのかなと思います。「そして、普段は直接見えないけれど、わたしたちの安全を確保する為に闘い続ける、ITセキュリティの世界も同じかもしれないと思いました。」という尾崎さんのコメントは、まさに仰る通りだと思います。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
Twitterでダイエットスパム拡散、Gawkerのパスワード流出と関連か
http://www.itmedia.co.jp/news/articles/1012/14/news040.html
昨年このような事例もありましたが、今年も引き続きID theftの被害は拡大しそうです。他のサービスでユーザID、パスワードが大量に漏洩する事件が発生すると、不正ログイン試行も増える傾向があることが観測されています。サービス運営者側はID theftにどう対処してくのか、大きな課題だと思っています。
---------------------------------------------
八木沼 与志勝
エフセキュア株式会社 テクノロジー&サービス部長
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
Stuxnetの登場
高度なマルウェアという点もありますが、その対象が印象的。産業システムならずとも、日本国内には各分野を支える独自システムがいくつもありますし、狙われたら非常に脆い部分もあります。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ソーシャル・スパム Q&A
2010年12月23日 by エフセキュア・コーポレーション ショーン・サリバン
特にこの記事だけというわけではないのですが、ショーンのSNS関連の記事投稿が多かったのもあり代表してこの記事を。SNS、特にスマートフォンによるSNS(特に日本国内)やクラウドシステムの利用をターゲットにした脅威について色々と考えるところがあるので、SNS関連記事が印象に残っています。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
2. に関連しますが、SNSやクラウドサービスとスマートフォン利用環境については注目してます。スマートフォンは位置情報(=行動情報)をリアルタイムに把握できる可能性があります。位置情報/行動情報を使ったオンラインゲームもあるし、人々が油断して使うことができるプラットフォームでもあるので、今後出てくるたくさんのサービスがどういった方向に向かうのか興味をもっています。また、スマートフォン対応のウェブサイトのノウハウもまだ発展途上。スマートフォンのアプリケーション開発への参入障壁が下がったことによる脅威。医療用を初めてとした特定用途のクラウドサービスの規格などの問題。話題先行でユーザがついていけていないため、注目しています。
---------------------------------------------
富安 洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?
Stuxnetに関連するあれこれ
マルウェア本体の技術的な内容のみならず、関連する出来事(高間さんの記事: イラン科学者の暗殺事件など)や作者は誰かなどの噂話を含めた話の広がりが印象深かったです。
2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
個人情報の調査はできません
2010年05月07日 by エフセキュア・コーポレーション ショーン・サリバン
あえてStuxnet関連を外して、、、全然技術的な話ではないですが、面白いし良い法律だなぁと思ったので。
■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。
業界動向とかを置いといて、個人的に気になっていることとしては、今年の国会に提出されると言われている「ウイルス作成罪」の法案がどんなものになるのかというところです。もちろん、基本的には必要な法律だとは思いますが、サポートへの検体提供とかで揉めたりするケースが出てくるんじゃないかなぁと若干心配しています。
---------------------------------------------
(敬称略)