本日の情報セキュリティコラム(2014年2月13日)
本日の情報セキュリティコラム(2014年2月13日)
2014年2月13日
Windows XPサポート終了を機会に振り返るITとITセキュリティ
高橋 正和
2001年にリリースされたWindows XPは、Office 2003と共に今年4月9日(日本時間)の定例更新を最後に、セキュリティ更新プログラムの提供を含めてサポートを終了する。このサポート終了を機会に、大きく様変わりをしたITシステムとITシステムに対する攻撃を、宿泊施設などになぞらえて振り返ってみたい。
まずは、ユーザー管理からみていこう。最初にPC(パーソナルコンピューター)として普及したのはMS DOSと呼ばれるシステムだった。MS DOSにはユーザーという概念がないことからログイン画面はなく、電源を入れだけで直ぐにPCを使うことができた。宿泊施設で考えると、浮世絵や時代劇に出てくる旅籠(はたご)のようなものかもしれない。旅籠は大部屋に複数の客が同居し、鍵もないことから、旅籠に入ってしまえば、どこでも自由に出入りができてしまう。
Windows XPでは、ユーザーという概念が導入されている。複数のユーザーが一つのPCを利用することが前提なので、PCを利用する際にはユーザーを特定するためにログオンする必要がある。宿泊施設でいえば、個室が完備した旅館やホテルのようなものかもしれない。宿泊者は自分の部屋に他の客や泥棒が部屋に入らないように鍵をかけることができる。しかし、いちいち鍵をかけるのは面倒なので、往々にして鍵をかけずに過ごしてしまう。Windows XPでは、管理者アカウントで利用されることが多いが、管理者アカウントは他のユーザーやシステムを含めた、全てのファイルやデバイスの操作ができてしまう。部屋に鍵をかけずに誰でも部屋に出入りできる状態にしていることと同じと言える。
Windows Vistaでは、UAC(User Access Control)が導入され、管理者権限を持つユーザーでも、(評判の悪かった真黒な画面で)明示的な確認を行わない限りは、一般ユーザー権限で稼働するようになった。宿泊客が意識しなくても鍵がかかるオートロックが導入されたようなものかもしれない。
次に攻撃方法をみていこう。ウィルスという言葉が一般に広く知られるようになったのは、1999年のMelissa, 2000年のI Love You ウィルスではないだろうか。これらのウィルスのは、メールに添付されたマクロや実行ファイルで、マクロ機能の無効化や実行ファイルを開かないことが有効な対策であった。また、感染を広げることが主な目的であったことから、検体を入手が容易で、ウィルスの検知・駆除も比較的容易であった。宿泊施設で考えると、ユーザーが自らドアを開けない限りは、ウィルスは入ってこない状況だった。
これに対して、2001年に猛威を振るったCode Red, Nimdaといったワームはプログラムの脆弱性を使って感染を広げる。つまり、ドアに鍵がかかっていても、鍵をこじ開けて侵入する。2003年のBlasterワームでは、ネットワークに接続していると再起動を繰り返し、OSやウィルス対策ソフトの更新が行えないという問題が発生した。これ受けて、マイクロソフトではWindows Firewallを既定で有効にする対策を行った(Windows XP SP2)。この対策は、鍵がないと建物の中に入れないといった防犯対策のようなもの。不審者がドアにたどり着くことを極力避けるという取り組みで、鍵そのものを強化したわけではない。
標的型攻撃に代表される昨今の攻撃は、メールやWebアクセスといったFirewallが許可をする通信、つまり日常的に利用する通信を使って攻撃コードを送り込み、感染したPCなどを外部から操作する。このため、Firewallでは防ぐことができない。
メールを使う点は前述のメール型のウィルスと似ているが、大きく違う点が二つある。一つ目はマクロや実行ファイルではなく、Word、Excel, PDFといった文書ファイルに脆弱性を利用した攻撃コードを埋め込んでいる点で、二つ目は、拡散を目的とせず外部との通信を行いながら任意の操作(悪事)ができる点にある。宿泊施設の例では、攻撃者が脆弱性を使って部屋の中に入り込み、部屋の中から自由にドアをあけて仲間を招き入れたり、部屋から貴重品を盗み出すような手法と言える。
この攻撃手法は、個人のユーザーに対しても大きな被害を出している。たとえば、一昨年から問題となっているオンラインバンクを狙ったウィルスは、2013年の1年間で、国内で約12億円の被害が出たと報道されている。オンラインバンクに限らず、インターネットで通信販売の買い物をするなど、経済活動は日常的に行われていることを考えると、ウィルスの感染が、金銭的な被害へと結びつくことを理解し自覚することが重要となっている。
マイクロソフト自身の調査では、Windows XPと最新OS(Windows 8)では、マルウエアの感染率が大きく違うことがわかっている。新しいソフトウェアは、単なる機能追加ばかりではなく、ここで紹介をしたような日々高度化する攻撃手法への対策を盛り込んでいることが、感染率の違いとして表れている。
コンピューターやインターネットは、単に「使える」だけではなく、より「安全に使える」環境を選ぶという視点が重要で、これが利用者自身の利益になると考えている。
Windows XP・Office 2003のサポート終了を機会に、「安全にITを利用する」ことについて、考えていただければ幸いである。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
人を育むセキュリティ・キャンプ
千明 志乃
あなたと情報セキュリティのかかわりを教えてください
私は、株式会社ラックに入社した当時から、情報セキュリティに関わる仕事に携わってきました。当時世の中は情報セキュリティの重要性を理解しきれておらず、私も今ほど情報セキュリティ対策の大切さが身にしみていませんでした。それでも、セキュリティ事故による各企業の被害状況を見るたびに、危機感を抱くようになったことを覚えています。その後、マーケティング業務を経験する中で、企業にとって重要なのは技術的な対策だけでなく、不足する情報セキュリティ人材の育成が必要だと感じるようになりました。そこで、現在では自身で希望を出し、企業に向けた情報セキュリティ教育を推進する「ラック セキュリティアカデミー」のメンバーとして日夜奮闘しています。
また将来にわたって情報セキュリティ人材を増やすべく、IPAとセキュリティ・キャンプ実施協議会が主催する「セキュリティ・キャンプ」の取り組みにも参加しています。 情報セキュリティは、現実の世界と同じく善と悪、成功と失敗の混在する場所です。それらはすべて人により引き起こされ、人が解決します。私は、人に携わる素晴らしい機会を経験しています。
日本のセキュリティ業界へのメッセージ
最近の飲食業界では、商品を自分で実際に作る体験型の催しがたくさんあります。ITの世界でもアプリケーション開発を実際にやってみる体験型のイベントが増えています。そこで感じるのは、自身が体験し、それを身近に感じることにより、難しいことも深く理解することができるということです。
しかし、今ITを利用する全ての人が、情報セキュリティを理解して、うまく使いこなせていないのが現実です。なぜなら、情報セキュリティを提供する人たちや業界が、専門用語で情報やサービスを提供しているからではないでしょうか。それだからこそ、誰もがわかるような易しい言葉でもっとセキュリティのしくみとか、見えないものを見えるようにするとか、そんな視点に立って取り組むことが重要だと考えています。
私ができることは限られていますが、ラックという会社で働いている今だからこそ、セキュリティ人材を育成するという活動を通して、分かりやすさを実践する取り組みを行っていきたいと思っています。
若者に対するメッセージ
私が社会に出たころから比べても、パソコンからタブレット、スマートフォンとめまぐるしく技術が移り変わり、コンピュータの利用方法や、情報の取り扱い方も変わってきました。データはインターネット上に保持され、アプリケーションやネットワークサービスなど無数に存在し、それらを活用することで私たちは大変便利で楽しい生活ができています。
しかし、このような楽しさを享受するために、私たちは個人の情報を提供したり広告を受け入れたり、行動の履歴を提供するなどの対価を渡している事を忘れてはなりません。
私たちは日々、道路を歩くときにクルマに気をつけ、お湯を沸かす時には火傷に気をつけるなど、どこに危険があるかを注意して生活しています。ITの利用においても同じことが言えます。つまり、セキュリティを理解することが、ITの楽しさを享受するために必要なことだと思います。
情報セキュリティの世界は新しく、まだまだ発展途上な部分が多くあります。日々進化するこの業界に楽しみを見出せるようなら、ぜひセキュリティ・キャンプに挑戦してみてください。業界の最前線で活躍する講師陣が二度と経験することができないほどプレミアムな講義と環境を用意してお待ちしています。なおセキュリティ月間に合わせて2月15日(土)にセキュリティ・キャンプフォーラム2014を開催します。講師や卒業生も参加するイベントがどうなるか今から楽しみです。
(参考)
セキュリティ・キャンプフォーラム2014
http://www.ipa.go.jp/jinzai/camp/2013/forum2014.html
※上記リンクをクリックすると別サイトに移動します。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。