日本国内の防衛関連事業ばかりか、米軍のミサイルや戦闘機に関する事業も請け負っているとされる三菱重工業などへのサイバー攻撃。日本の防衛省から米国防省、政府の契約事業者、外部ベンダー、サプライヤー間の情報システムセキュリティを改善する必要性に拍車をかけている。このサイバー攻撃のニュースには、海外のセキュリティベンダーをはじめ、多くの関係者が注目している。スロバキアのイーセットもブログでこの事件を取り上げた。

 著者は、この事例が全く異なるトレンドが融合した好例だとしている。そのトレンドの一つとして挙げているのは、「グローバル化とターゲット型マルウエア」である。三菱重工は、80台以上のサーバーやコンピュータがウイルスに感染していたことを認めたが、機密プロジェクトを扱う企業にとって、これは憂慮すべき数字だ。国防関連の製品開発と製造のアウトソーシングは、明らかにマルウエアが入りこむすきを増やしている。

 次は「サイバーセキュリティと人間性」。この攻撃で使われた手口の一つにスピアフィッシングがあるが、これは技術だけでは防ぐことは難しい。電子メールに表示されているリンクが合法サイトを示していれば、ほとんどの人は特に確認せずにリンクをクリックしてしまう。だからこそ、フィッシング攻撃に引っかからないために、ユーザーの教育と認識強化のトレーニングが必要になる。

 またイーセットは、「セキュリティポリシーとアウトソーシング」もトレンドの一つとして指摘する。アウトソーシングによる経済的メリットは大きいが、もし機密データのセキュリティを確保する環境が整っていない契約事業者とデータを共有するとなったら、誰も機密データの安全性を保証できない。

 最後に「インシデント対処と人間性」をイーセットは挙げる。三菱重工は顧客である防衛省にセキュリティ侵害があったことを報告せず、防衛省はニュースでそれを知った。これはもちろん正しい対処とは言えないが、事件がこのような形で明るみに出ることは容易に想像できる。ミスを犯したことを認めたくない自尊心、結果の重大さに対する恐怖は人間として自然な感情だからだ。正しい行動の妨げになるこうした感情を克服するのは容易ではない。

TLS/SSLの脆弱性を攻撃する手口「BEAST」

 英ソフォスは、アルゼンチンのブエノスアイレスで開催されたセキュリティ関連会議「Ekoparty」で2人の研究者が発表したセキュリティ攻撃手法「BEAST(Browser Exploit Against SSL/TLS)」についてブログで紹介した。

 BEASTは、セキュアな接続を確立するために使われる暗号化プロトコルTLS/SSLを攻撃し、Webブラウザーのセキュリティに重大な影響を与える。暗号化されたWebトラフィックを解読して、オンラインバンキングやクレジットカードに関する処理など機密性の高いオンラインタスクを保護していた安全網を取り外してしまう。

 BEASTが利用する脆弱性は何年も前から知られているものだが、これまでは理論上の問題として見なされ、実践的な手法は登場しなかった。

 BEASTを発表した研究者は重大性を主張しているが、まだそこまで差し迫った状態ではないとソフォスは考えている。今のところこの攻撃を実行するには最大30分かかる。研究者はこの時間を短縮できる可能性を示唆しているが、実際、悪意のある性格の持ち主で、こうした攻撃を仕掛ける時間と機会があるなら、犯罪を遂げるのにもっと簡単な手段がある。BEAST攻撃の危険性はわずかに近づいてきたが、これが実用手段になるまでには十分対策を取る時間がある。

 ソフォスは、ブラウザーベンダーとサーバーベンダーがまず取りかかるべきこととして、TLSのバージョン1.1および1.2をサポートすることを勧めている。いずれもこの攻撃に対する防御機能があるが、残念なことにサポートしているベンダーは非常に少ない。

 運用しているWebサーバーは、暗号方式をrc4-shaに切り替えた方が良い。rc4-shaは広く採用されているうえ、この攻撃に対して脆弱ではないからだ。

 研究者の話では、彼らは数カ月前に主要なブラウザーベンダーにこの攻撃手法について伝えていたが、反応があったのは米グーグルのWebブラウザー「Chrome」のチームだけだったという。

 ロシアのカスペルスキーラボがブログで報告したところによれば、Ekopartyで行われた攻撃デモでは、米モジラのブラウザー「Firefox」を使って決済サービス「paypal.com」にhttps経由でアクセスした環境で、SSLの機密性解除に成功した。しかしChromeに対しては実行不可能と思われる。Chromeのベースである「Chromium」ソースコードは3カ月前に問題が解決されている。

 カスペルスキーラボが興味を示したのは、これが純粋なJavascriptやFlashでは機能しないが、Javaアプレットを利用してFirefoxとpaypal.com間のストリームを攻撃することだ。「Same Origin Policy(同一生成元ポリシー)」を回避するこの仕掛けにより、セッションクッキーをすっかり盗み、それを使ってhttp経由でpaypal.comにログインする。

 ブラウザーベンダーはCBC暗号化ルーチンをアップデートし、初期ベクトル(IV)のランダム生成を強化して、この問題を解決できるだろう。しかし、この手口は実践的でないことからリスクは低いとカスペルスキーラボはみている。また、米マイクロソフトも、同社のブラウザー「Internet Explorer」のユーザーにとって危険性が高いとは考えられないとの見解を示している。