米国の情報セキュリティ専門機関の SANS Institute が2008年7月1日、2日に情報セキュリティの最新動向の情報を共有する SANS Future Vision 2008 TOKYO を開催した。
開催初日には、SANS Institute の代表である Alan Paller 氏が、政府によるサイバー攻撃の増加やテロリストの資金源となっているなど、サイバー犯罪の動向を解説した。
同氏によると、セキュリティ分野では攻撃者自身も攻撃手法も変化してきているという。こうした脅威の拡大へ対策を講じるためにもセキュアなプログラムを組める人材を育成する必要性を訴えた。
■誰がサイバー攻撃を行うのか
2002年のバリ爆破事件の犯人はサイバークライムで資金を調達していたという。過激主義者とされ犯人だった Imam Samudra は逮捕された後、刑務所内で自叙伝を執筆。この自叙伝には、「Hacking-Why not?」というハッキングを勧める一章を設けている。同氏はこの事例を紹介しながら、ハッキング犯人の変化について、政府部門もその中に入ると続ける。
各国の政府も、今やハイテクに対応し、スパイ活動のためサイバー攻撃をしかけている。昨年の11月には、スパイ活動のほかに経済的利益のためにサイバー攻撃を行っていることも明らかになっている。
政府のサイバー攻撃については、イギリスでの出来事が例にだされた。英国情報局保安部、通称 MI5(エム アイ ファイブ)―ちなみに、ジェームズ・ボンドで有名な MI6 は英国情報局秘密情報部(SIS)の呼称だ―からアメリカのいくつかのトップ企業の代表へ一通のメールが送られた。そこで指摘されたのは、中国と取引があ れば、すでに中国政府はシステムを攻撃しており、中国側は自分たち以上にその取引のことを知っているだろう、というものだった。(Alan Paller 氏)
■進化する攻撃方法
簡単にコンピュータをのっとり、キーストロークロガーを埋め込みそこから銀行口座の ID やパスワード情報を奪い、銀行口座を空にしてしまう手法だ。被害額は4億ドルにものぼるという。
より大規模では、何千台もの PC をワームでのっとり、大企業のシステムをのっとる。1日に30分ほど企業のシステムををのっとり、後に「DoS 攻撃を仕掛けるぞ、もしそうされたくなければば300万ドルよこせ」といった具合に脅す事例もある。
もうひとつの新たな方法がクレジットカード詐欺だ。カード情報の窃盗については自動化されており、サイバー空間のあるサイトでは、クレジットカード番号や 限度額を示して売り出されている。限度額が高ければ高いほど値段も高くなるといった具合だ。
セキュリティ関連企業各社も同様の報告を行っている。McAfee の報告によると、出生証明書が147ドル、ソーシャルセキュリティカードが98ドル、クレジットカード番号は6ドルから24ドルで取引されているとい う。クレジットカード番号に暗証番号が加わると490ドルといった具合に個人情報が取引されている。他にも、トロイの木馬も売買されており、価格は980 ドル から4,900ドルとなるなどアングラ情報マーケットは大盛況だ。
攻撃対象も Windows や UNIX あるいはネットワークから商用のアプリケーションに移ってきているという。さらに、脆弱性が発見されるとすぐさま同じ脆弱性を狙った攻撃が増加している状況が明らかにされた
他にも、カスタムアプリケーションを狙った攻撃も増えている。 一例に SQL インジェクションを紹介した。
SQL インジェクションとは、外部から攻撃対象となる Web サイトに URL やデータベースへのフォーム入力に偽装した SQL コマンドを実行するもの。攻撃が成功すると、ハッカーの意図した処理が実行される。機密情報の漏洩やデータベースの改竄、あるいはサーバーをシャットダウ ンさせられる危険性がある。
SQL インジェクションで攻撃された Web サイトは、埋め込まれた悪質なスクリプトにより、別の危険なサイトへ誘導してしまうといった可能性がある。加えて、トロイの木馬に感染させられるなどと いった脅威にもさらされることになる。
■セキュアな環境を構築するために
こうした脅威に対して、Alan Paller 氏は、2つの解決法を提示する。ひとつは実装済みアプリケーションの脆弱性をなくすこと、もうひとつが作成中のアプリケーションの脆弱性をなくすことだと いう。しかし、ここには、セキュリティの意識は高まっているものの、脅威からシステムを守るようなコードがかけないという問題があるという。
同氏も「セキュアコードの書き方を教えていかなければならない」とセキュリティを考慮したプログラムをできる人材の必要性を強調した。
GSSP 試験は、技術者のスキルレベル判定や、セキュリティ品質を担保とする指標として活用することが可能。
実施する試験は、SANS が実施している情報セキュリティ従事者向けの認定である GIAC(Global Information Assurance Certification)の一分野として新たに加えられたもので、GIAC Secure Software Programmer(GSSP)試験と呼ばれる。
GSSP 試験は2007年8月にアメリカ、イギリス、ベルギーで実施されている。同試験は日本でも実施される予定で。初回の試験は2008年12月13日に行われる見通しで、来年以降は年2回の開催を予定している。
●●コメント●●
0 件のコメント:
コメントを投稿