ヒト、メディア、社会を考える

サイバー攻撃

ネットはどこまで安全か:IEに脆弱性発見

IEに脆弱性発見

日経新聞は、マイクロソフト社のネット閲覧ソフト「インターネット・エクスプローラー(IE)」のバージョン6から最新版までのものに未修整の欠陥が見つかったとし、米国土安全保障省が28日、IEの使用を中止するよう警告したと報じています(日経新聞、2014年4月29日)。

IE

 

すでに米セキュリティ会社FireEyeが、この脆弱性を利用した攻撃を発見しているといいます。脆弱性自体はIE6~11に影響があるとされていますが、同社が確認している標的型攻撃ではIE9~11をターゲットにしているというのです(Internet Watch, 2014/4/28)。新しいバージョンが狙われていることがわかります。

私は日常的にIEを使って情報検索をしていますので、このニュースを知ってさっそく、Google Chromeに切り替えました。とはいえ、うっかりするとすぐIEのアイコンに手を伸ばしてしまいます。慣れているからでしょう。’お気に入り’もほとんどがIEの方に入っているので、とても不便な思いをしています。

IEはマイクロソフト社製なので、Windowsマシンには最初からこのブラウザが搭載されています。通常、搭載されているブラウザを敢えて変更することはしません。ですから、多くのヒトがこのIEを使って情報検索をしているのではないでしょうか。

■どのような攻撃なのか

いったい、どのような攻撃を受けるのでしょうか。ITメディアによると、悪用された場合、多数のユーザーが利用する正規のWebサイトを改ざんしたり、ユーザーをだましてメールなどのリンクをクリックさせたりする手口を通じて不正なコンテンツを仕込んだWebサイトを閲覧させ、リモートで任意のコードを実行される恐れがあるといいます(IT media, 2014/4/28)。

■どうすればいいのか

対策としては、IEを使うか、使わないか、選択肢は二つです。ですから、一つ目の対策としては、IE以外のブラウザ、Google ChromeやFirefoxなどを使うことになります。ただ、IEを使い続けたい場合の対策として、たとえば、以下のような方法があるようです。

①Flashプラグインを無効にする。

詳細はこちら。http://www.lifehackslite.com/hacks/2008-03/279.html

②マイクロソフトの脆弱性緩和ツールを使う。

詳細はこちら。http://news.mynavi.jp/articles/2013/11/19/emet/

ところが、サポート期間が終了したXPについては対策がないようです。以前に紹介したように、まだXPを使い続けている事業所はたくさんあります。こういうところが狙われたら、ひとたまりもありません。

マイクロソフトは5月14日に更新プログラムを提供する予定だとしていますが、それまでの期間、IEの利用者はなんらかの対策を講じなければ被害に遭う可能性が出てきています。

■ネットはどこまで安全か

インターネットの登場によって自由に時間空間を超えることができ、ヒト、モノ、情報の交流が加速しています。その一方で、何度もこのようなシステムの脆弱性をついてインターネットが悪用される案件が発生しています。その都度、更新プログラムを開発し安全性を高めていかなければなりません。ネット社会の根幹に相当するブラウザの安全が必ずしも確定してものではないことが今回の件でよくわかりました。ネットに依存した社会がどれほど不安定で、どれほどヒトを不安にさせるものであるか、改めて考えさせられました。(2014/4/29 香取淳子)

 

度重なるサイバー攻撃の恐れ

度重なるサイバー攻撃の恐れ

一昨日、日本企業を狙う3種類のサイバー攻撃の恐れのあることが報道されました(4月23日付日経産業新聞)。これは大変だと思っていたところ、今日(4月25日付、日経新聞)、官公庁がサイバー攻撃される恐れが出てきたと報じられています。いったい、どういうことなのでしょうか。

■企業に対する3種類の攻撃

日経産業新聞(井上英明記者)によると、日本企業は3種類のサイバー攻撃に晒されているといいます。3種類の攻撃とは、①法人向けネットバンキングから不正に送金するという攻撃、②スマートフォンを外部から操るという攻撃、③パソコンの中身を暗号化して解除の身代金をゆするという攻撃です。

法人向けのネットバンキングはIDやパスワード、電子証明書をパソコンに入力します。ウィルス「ゼウス」は取引銀行に似せた偽画面でログイン情報や電子証明書を盗み出すのだそうです。しかも、その「ゼウス」が進化してきているといいます。ウィルスに感染したコンピューターが互いにネットワーク(ボットネット)を作り、攻撃情報などを持ち合う形に進化したといわれています。

すでに日本の3万2千台のパソコンによるボットネットが確認されているのだそうです。一方、このボットネットによってスマートフォンが攻撃者に遠隔操作され、個人情報などに盗まれる可能性が出てきているといわれています。さらに、パソコンやデータをロックして身代金を要求するウィルス「ランサムウエア」日本語版が上陸しているそうです。企業の機密情報を盗み出す「標的型攻撃」を組み合わせて、企業のサーバーの機密情報を暗号化し、金銭をゆする手法が高度化していくことも考えておかなければならないのかもしれません。

この記事を担当した井上英明記者は、「姿なきサイバー攻撃者への抗戦は長期にわたり瞬発力も求められる。経営リスクとして取り組むことが欠かせない」と結んでいます。日々、便利にはなっていますが、企業も人々も目には見えない敵に日常的に怯えなければならない時代になりつつあるようです。ICTについては素人でありながら、インターネットは頻繁に使用している私など、ネットセキュリティ問題はとても深刻です。

■官公庁に対する攻撃

今日(4月25日)、報道されたのが、「ストラッツ1」にセキュリティ上の欠陥があることが判明したというものです。このソフトは、官公庁や銀行、企業などが広く利用しているもので、サポート期間は終了しているのだそうです。ですから、修正プログラムはありませんし、すでに攻撃方法がネット上で公開されているようです。ですから、早急に対策が必要だと報道されているのです。

仮に欠陥を突いてサイバー攻撃を受けた場合、サイトを動かすシステムが乗っ取られる恐れがあるのだそうです。そうなると、すべての操作ができるようになるため、情報を盗んだり、サイトを改ざん、停止したりできるようになります。ウィルスを仕掛けることで、訪問者を感染させて次の攻撃につなげることも容易になるというわけです。

ストラッツ1の欠陥による攻撃の可能性を図示すると以下のようになります。

ストラッツ1による攻撃可能性

資料:日経新聞2014年4月25日付

■指摘されていた「ストラッツ1」の欠陥

「ストラッツ1」の欠陥についての修正プログラムがないことについて、すでに2013年6月25日付日経新聞で、早急に対策を講じるよう警告が発せられていました。なぜ、それがいまごろ、改めて報道されるのでしょうか。記事をよく見ると、「攻撃の恐れ」であって、24日時点ではまだ、この欠陥を狙った不自然なアクセスは把握されていないそうです。「恐れ」があるので、警告されているのです。

■ネットユーザーはどのようにして身を守るべきか

Newsweek( April 29 & May 6, 2014)で、「ハートブリード危機に学ぶ「プログラムは穴だらけ」という記事を読みました。4月上旬に発見された暗号化プログラムの欠陥「ハートブリード」は、世界のウェブサイトの3分の2が影響を受けるとされています。深刻なセキュリティの危機が懸念されていますが、セキュリティの専門家やプログラマーは、深刻な欠陥はハートブリードだけではないと警告しているといいます。

私たちは便利で時間の節約になりますから、日常的にインターネットを使っています。ネットで買い物をし、ネットで決済をし・・、といったことを平気で行っていますが、それが実は危機に晒されているというのです。自分が被害に遭わない限り、平気でいますが、一連の記事を読む限り、薄氷の上を歩いているというのがどうやら実態のようです。ただ、私たちは専門家ではないので、どうすることもできません。たまたま被害に遭わないのはラッキーというだけなのでしょうか。

Newsweek記事の執筆者は、wifiに無防備に頼りすぎないこと、パスワードは利用するウェブサイトごとに設定し紙に書いて安全なところに保管しておく、といった注意をするだけでより安全になると書いています。とりあえずはそのような基本的なことから安全に留意するしかないのでしょう。いずれにしても、便利さと引き換えに、私たちは不安感と不信感に絶えず、さいなまれ続け、怯え続けなければならなくなるのでしょう。(2014年4月25日 香取淳子)