本日の情報セキュリティコラム(2014年2月12日)
本日の情報セキュリティコラム(2014年2月12日)
2014年2月12日
サイバーという空間について
時藤 和夫
サイバー空間は、陸海空そして宇宙に次ぐ第5の空間として位置づけられています。それぞれ陸であれば車、海であれば船、空であれば航空機、宇宙であれば宇宙船という乗り物で動き回ることができます。サイバー空間では、パソコンやスマートホンがそれに該当するのでしょうが、これは乗り物ではありません。この機能を駆使してイメージの世界を覗き見するようなこの空間を第5の空間と言われても摩訶不思議な世界に感じます。しかし、子供達や若い世代の人たちはサイバー空間に多くの友達を持ち、自分の居場所も持っています。この空間を避けようとしても、世の中は既にサイバー空間無くしては成り立たなくなってきました。社会活動、経済活動、軍事活動等のあらゆる活動の拠所となり社会システムを構成しています。便利になった反面、この空間には危険も多くあります。ウィルス、不正アクセス、改竄、情報漏洩、マルウェア、成り済まし、機能不全など単純なものから大規模複雑で組織的なものまで、その内容も進化し深刻化しています。最近では知人を装ったメールや本物そっくりのウェブサイトをクリックさせて感染させるような人を騙す巧みな手法で襲ってきます。もはや情報通信技術を越えて社会科学の分野にまで広がってきました。
2011年3月11日の東日本大震災の当時、私は空自松島基地で現場指揮官として勤務していました。激しい揺れと暫くして実際に津波を眼下にした時、その事態の凄さに圧倒されましたが、人命救助や様々な復旧支援活動、基地の被害復旧に隊員と共に明け暮れていました。感じた事は「絆」でした。医療、施設、輸送、通信、補給など様々な分野の専門職の隊員達が全国からも駆けつけて一丸となり精一杯やれる事をやりながら大きな組織力を発揮していました。自治体や警察、消防そして統合任務部隊として陸海空自衛隊の部隊、米軍等とも協力した活動でした。サイバーの世界も似たようなものを感じています。情報通信技術は勿論のこと、法律や語学、社会・国際情勢、文化・歴史、そして運用等あらゆる分野に精通した人達がこの空間を防護し脅威に対処するために、一致団結する必要があります。如何に技術が発展しようと、これらを運用しているのは人であり、人の和(チーム)が大切であるということを忘れてはなりません。
2013年度末に自衛隊にもいよいよサイバー専門の部隊が誕生します。これまで以上に自衛隊はサイバー空間の防衛にも力を注ぐことになりますが、関係機関とも連携を強化できるよう常日頃の協力関係も重要です。情報通信分野を得意とする、あるいはサイバーに興味のある若い人達は自衛官への道にもチャレンジして欲しいと思います。先日、外国軍隊の司令官の言葉に「サイバー空間の脅威の一つに情報通信分野のリテラシーの低さがある」とありました。既に他人任せでは済まない時代になってきました。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
セキュリティ対策には「人の行動の特性」を考慮することが重要に
杉浦 昌
ITが生活の一部になった今、セキュリティ対策は、国民の一人一人にとって非常に重要です。このため、さまざまなところでセキュリティ対策の実施を勧める呼びかけが行われています。
しかし、大きな問題があります。セキュリティ対策の必要性についてはある程度理解されているものの、多くの人はそれをなかなか実施してくれないという現実があります。
やらないといけないとわかっているのに行動しない、それはなぜなのでしょう。
ある興味深い報告があります。「独立行政法人情報処理推進機構(IPA)」がインターネットの利用者に対して行ったアンケート調査に基づく「2012年度 情報セキュリティの脅威に対する意識調査」です。
この報告によると、「パソコンにインストールされたソフトウェアにセキュリティパッチを適用しないで使い続けること」については、約8割の回答者が問題ありと認識しています。しかしその一方で、Windows Update等によるセキュリティパッチの更新を実施しているのは約6割にとどまり、「問題は認識しているが対策は実施できていない状況」が起こっています。
さらに、セキュリティパッチの更新を実施しない理由を尋ねたところ、以下のような回答が得られたそうです。
【実施しない理由】
第1位:セキュリティパッチの更新方法がわからない
第2位:費用がかかる
第3位:手間がかかる
第4位:更新するメリットがわからない
第5位:セキュリティパッチを更新する必要性を感じない
この結果をみると、人がセキュリティ対策を行わないという現象の背景には、性質の違う何種類かの異なった理由があると推定できます。
例えば、1位の「更新方法がわからない」というのは、セキュリティ対策のスキルが不足していることが原因ではないかと考えられます。また、2位と3位の「費用」と「手間」は、いずれもセキュリティ対策に必要な広い意味でのコスト負担が、実施することに対する心理的な抵抗となっているように思われます。4位の「メリットがわからない」や5位の「必要性を感じない」というのは、セキュリティ対策についての知識が不足しているのかもしれませんし、あるいは、どうせやっても何も変らないだろうというある種の無力感のようなものが原因なのかもしれません。
人の行動に関する意思決定のメカニズムは、従来から行動科学や社会心理学などで研究されてきました。環境保護などの分野では、その研究成果が実用に結びついて一定の成果をおさめています。今後、セキュリティの分野でも人の行動の特性を考慮することによって、より効果的な対策が可能になっていくと思われます。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
静的解析によるマルウェア解析のススメ
鈴木 博志
私はIIJで主にマルウェアの動向調査やインシデントレスポンス、およびそれらを基にした情報発信を行っています。今回はマルウェア解析、その中でも静的解析という手法について、マルウェア解析に興味がある学生や、マルウェア解析は必要だと感じているが静的解析まで手が出せていないという組織の方向けに私の意見を述べたいと思います。
昨今、標的型攻撃が頻繁に発生しており、日本は主な標的の1つになっています。このような事件が発生した場合には感染が疑われる端末を調査するために証拠保全し、復旧させるといった迅速な初動対応が求められます。また感染の痕跡を発見し、なぜ感染したのかを原因究明し、再発防止、被害状況の調査を行い、次回以降に同様のインシデントが起こらないように発見手法および防御手段を確立する必要があります。これをインシデントレスポンス(事案対応)といいます。標的型攻撃など、マルウェアに起因する事件では主にフォレンジックやマルウェア解析、およびネットワーク内に存在する機器やホストなどのログ調査を組み合わせて行います。
フォレンジックとは、端末の状態をできる限り変更しないようにメモリやハードディスクイメージを証拠として保全します。データ内に存在するさまざまなタイムスタンプ(ファイル生成や変更した時刻、ログやレジストリなどに含まれる時刻情報)からタイムライン(タイムスタンプを時系列順に並べたデータ)を生成し、解析することで、攻撃者がどのようなマルウェアやツールを利用して行動していたかを明らかにする作業です。この作業でマルウェアやツールを特定できた場合はそれを解析し、得られた事実を基にさらにフォレンジックやネットワーク機器のログ調査を繰り返していくことで、事件の全貌を明らかにしていきます。
マルウェア解析は主に表層解析、動的解析、静的解析の3段階から成り立ちます。表層解析は主にファイル名やサイズ、ハッシュ値、ウイルス対策ソフトウェアの分析結果などを基に過去の事案と照らし合わせる、簡易調査です。動的解析は仮想インターネット環境を用いた閉鎖環境を利用するなどして、実際にマルウェアを動作させてその挙動を見ることです。これは挙動を詳細に記録するためのツール類をその環境上で動作させた上で行います。静的解析とはマルウェアのコードをマシン語からアセンブリ言語に翻訳して読むことで、マルウェアの機能や特徴を把握する作業のことです。
昨今のマルウェアは通信内容を暗号化や難読化していることが多く、たとえ通信データが残っている場合であっても、その内容は静的解析を実施しないとわからない、という場合がほとんどです。また動的解析では閉鎖環境かつ仮想マシン上で実行するケースが多いですが、それをマルウェアに検知される可能性があります。感染端末とは環境が異なるために、解析環境上でマルウェアが正常に動作しない場合もあります。さらに、標的型攻撃では特にRAT(Remote AdministrationTool)と呼ばれる遠隔地の端末をリモートから操作するためのマルウェアが使われる場合が多くを占めています。この種のマルウェアは攻撃者が指令を送るまでは何もせずに待機していることが多いため、動的解析では通信先を特定することはできても、マルウェアがどのような機能を持っていているのかを特定できず、事件の全貌を明らかにすることができません。このような場合はマルウェアを静的解析で詳細に解析する必要があります。
しかし静的解析は非常に敷居が高い、困難であると考える人が多いようです。私も習得する前はそう思っていました。しかし、よく考えてみてください。皆さんはすでに日本語という難解な自然言語で読み書きし、話すことができます。一方で、アセンブリ言語もコンピュータ用であるとはいえ「言語」ということに変わりはなく、単語や熟語などがあるという点では共通です。また単語数は数千程度しかなく、頻出単語は数十から百程度です。このように考えれば、例えば英語などの自然言語を新たに習得するよりも簡単にできるという気がしてきませんか?
標的型攻撃はほかの事件と比べて事例の数が少ないため、信頼できる組織間での情報共有、交換が重要だと言われています。インシデントレスポンスが行える技術者が増え、対策を行うための情報や事例、攻撃者に関する情報をお互いの組織や担当者間で交換し、共有できるようになっていけば、それを基に自組織の対策を最新の脅威に合わせて改善し続けられ、自組織を守ることができます。それが結果として、日本を守ることにつながっていくと私は考えています。近年はこの分野における書籍やWebコンテンツなどのリソースが充実し、優秀なツールも揃ってきているため、確実に敷居は下がっています。ためらっている方がいるならば、ぜひ挑戦してみてください。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。