RSAラボ

DDoSの取り締まりは恐喝の「交戦規則」を変えるか?

アカウントの乗っ取り、DDoS(分散型DoS)攻撃、ランサムウェア、個人や団体を標的としたあからさまなサイバー恐喝の蔓延は、ハッカーによる攻撃の激化というだけでなく、私たちの交戦規則に関しても問題を投げかけています。「悪人たちの規則は私たちと同じではない」という現実を踏まえて、私たちはこうした問題のすべてにどう対処していけばよいのでしょうか? 今回の考察で真っ先に思い浮かんだのは、最近、DDoSの「サイバー恐喝」グループであるDD4BCにかかわった容疑者たちが(ビットコインを標的としたDDoSで)逮捕された事件です。このサイバー集団は逮捕により打撃を受けたはずですが、次の日には新たなランサムウェアがクラウドへの攻撃を開始しました。つまり、こうした特定の個人が犯罪の場から排除されても、すぐに代わりが登場するということです。おそらくは(逮捕されるという)リスクを補って余りある(身代金という)報酬があるのでしょう。 ランサムウェアやそれに関連するオンライン犯罪にかかわる個人が入れ替わることは重大な問題ですが、もう1つ、それよりもずっと重大だと思うことがあります。Javelin Strategy & Researchで不正行為対策およびセキュリティ対策の責任者を務めるAl Pascual氏の考察は、そのことを示唆しています。Pascual氏は、今回の取り締まりによって、DDoS恐喝者が発見され、逮捕され、訴追を受ける可能性があることを彼らに明確に知らしめているものの、国家間の国際的な協力体制には不備がある(犯罪者引き渡し条約の不備など)と指摘しています。ランサムウェアのほとんどが警察当局の訴追範囲を超える一部の地域から発しているという状況の下で、こうした仮想世界での犯罪を食い止めることは現実的ではありません。 「旧来の戦い」と「不釣り合いな戦い」 Pascual氏も、先に触れた交戦規則について詳しく考察しています。 こうした「規則」は、戦争のような状況では遵守されることがあります(たとえば、関係国に対して拘束力のあるジュネーブ条約や、米国が戦闘地域における市民の死者を減らすために使用している「スマート」爆弾など)。しかし、DD4BCのような恐喝者を抑止しようとする場合、私たちがこうした犯罪者をどのように認識するのか、そしてどのように彼らと継続的に戦っていくのかという点が問題になります。 犯罪者に対する私の認識は(これは正確な認識だと思いますが)、彼らは私たちよりも行動が機敏であり、私たちのセキュリティ プロトコルよりも身軽に変化できる、というものです。理由は簡単で、彼らはいとも簡単に必要なツールを購入したり、情報を共有したりできるからです。どれだけ多くのセキュリティ対策を実施しようと(さまざまなパッチやウイルス対策アプリケーションを組み合わせて、あとは神頼み)、サイバー恐喝者は、地理的や境界や政治的な境界、企業のポリシー、政府の規制に縛られることはありません。 彼らには、初めて組織を立ち上げ、初めて私たちに対してDDoS攻撃を仕掛けてきたときから掲げている交戦規則があります。その規則に従って、彼らは、サイバー犯罪の地下組織や、闇のWebや、ソーシャル メディアを通じて互いに共謀し結託しています。その一方で、企業団体も政府機関も、その多くが情報の共有に頼らざるを得ない状況ですが、そうした情報では、今日私たちを(ゼロデイ攻撃などで)攻撃している悪人たちに十分対処できるだけの必要なデータやインサイトが、容易に得られるとは限らないか、場合によってはまったく得られず、頻度や激しさがますます高まっているDDoS攻撃にはほとんど対処できていません。 言い換えると、私たちが従来こうした脅威に対抗するために頼ってきた既存の「プレイブック」は、もう時代遅れであるか、または間もなく時代遅れになる、ということです。 情報共有の価値 では、これからどのようにして、これらの脅威と戦えばいいのでしょうか? 今後逮捕者が増えることは引き続き期待できますし、企業どうしが足並みを揃えて、自社のデータの身代金を払わないという統一的なポリシーを策定することもできます。しかしその一方で、世界的な規模で、あらゆる業界にわたって、一貫性のある詳細な情報共有が必要だという声も多く聞かれます。セキュリティ ホールのすべてに対策を施し、長期的な整合性を保つためには、そうした情報のギャップを埋めることが唯一の確実な手段になります。 ずっと以前から、インターネットによってファイアウォールや境界や規制が取り払われてきていることは疑う余地がありません。私たちはこれまで、自ら依存し信頼してきた組織や機関において私たち自身の安全とセキュリティを保つために、さまざまなセキュリティ措置を講じてきましたが、そうしたものすらインターネットによって取り払われてきています。だからといって、ここで白旗を揚げてサイバー恐喝やDDoS攻撃にリソースを費やし続けなければならない、というわけではありません。そうではなく、ビジネスの継続と保護に必要な情報を集めるために、国際的な業界組織やセキュリティ専門家と連携を図るという決意を固めることが必要なのです。 善い行為であれ悪い行為であれ、行為の原動力となるものは、その行為によってもたらされる結果です。現実の結果が伴わなければ、交戦規則は決して変わりません。 RSAの不正行為やリスクに関する情報の詳細については、次をフォローしてください。@RSAFraud

一石二鳥のセキュリティ:高速で堅牢な新しいコーディング スキーム

今日のデジタル世界には膨大な量の重要なデータが存在します。これらのデータは、伝送中か保存中かに関係なく、予期しないデータ損失やデータ破損が発生しても、安全に利用できるようにする必要があります。ECC(エラー訂正コード)は、低信頼性のネットワークやメディア上で高信頼性のデータ伝送やデータ保存を実現するうえで重要なツールであり、デジタル メディア ブロードキャスト、セルラー ネットワーク、衛星通信から、ハイエンドのRAM、DVD、ディスク、クラウド ストレージに至るまで、実際に幅広く使用されています。 ECCでは、冗長性を付加してデータをエンコードします。データは記号に分割されたメッセージと見なされ、その記号が各種のコード記号に変換されます(多くの場合、追加の記号をメッセージに付加するだけです)。コード記号の一部が変更または削除されても、通常は、それらをデコードして元のメッセージを復元するのに十分な情報が残ります。ほとんどのECCは少数のランダムなエラーから保護できるように設計されていますが、ECCの重要な応用例の中には、甚大な損害を引き起こすように特別に的を絞ったエラーを攻撃者が添加できるものもあります。 こうした敵対的なデータ破損から保護することを目的とした既知のECC(リード ソロモン コードなど)のほとんどは、計算コストが高く、大規模なデコード処理が必要になります。噴水コード(LTコード[1]やRaptorコード[2]など)は、その対極にあるECCです。これらのECCは、新しいコード記号から成る潜在的に無制限のストリームをオン デマンドで生成し、記号が利用可能になったときにデコードすることにより、極めて効率的なメッセージのエンコーディングおよび復元を実現します。RaptorコードはIETFによって標準化(RFC 5053および6330)された最先端の噴水コードで、マルチメディア サービス(MBMS、DVB-H、IP-TVなど)のストリーミング メディアや衛星通信といった幅広い応用分野をサポートするために他の標準でも採用されています。 しかし、このように効率性に優れている反面、品質上の制限があります。設計上、LTコードおよびRaptorコードが確実に動作できるのは、コード記号が偶然に失われたと考えられるランダムな消失が発生した場合だけです。これらのECCは、この穏やかな使用上の設定から逸脱するとすぐに、デコードを確実に行うことができなくなります。的を絞って記号を消去するだけで、デコードの失敗や遅延発生の可能性が高まることもあります。これは、攻撃者がコード構造の弱点を利用することで、メッセージの復元を最大限に妨げるように消去する記号を選択できるためです。 実際、的を絞った消去は簡単に実行できます。たとえば、セキュリティ侵害を受けたルーターが通過する記号を選択的に消去するような場合です。最近、Lopes氏とNeves氏[3]がTFTPアプリケーションに対する攻撃のデモンストレーションを行いました(標準化されたRaptorコードでエンコードしたファイルをTFTPアプリケーションで転送)。彼らは、コードの弱点を利用して、その構造を完全に予測し、最も有害な消去パターンを事前に計算しました。驚くべきことに、消去された記号はデータに依存せず、ほとんどの場合、その構成にはごくわずかなコード記号しか含まれていません。しかも、ほぼ必ず、メッセージは復元できなくなります。攻撃は回線速度で実行可能であり、ごくわずかな記号しか消去されないため、攻撃を検出するのは極めて困難です。しかも、エンコーディングが認証または暗号化されている場合(つまり、TFTPがIPsec/ESP上で実行されている場合)でも、ファイル転送を効果的に妨害することができます。 RSAは最近、上記の問題の解決策を見つけました。共同研究者であるAri Juels氏、James Kelley氏、Roberto Tamassia氏との共同作業において、実用的な効率性と、的を絞ったエラーに対する強力な耐性の両方を備えた、暗号で強化されたコーディング スキームを開発できることを示したのです。Falconコード[4]と呼ばれるRSAのソリューションは、LTコードに基づく認証型のECCに分類され、効率性と消失に対する耐性の両方に優れた品質を実現します。Falconコードはほぼすべてのケースにおいて、標準的なLTコードの主な機能を維持しながら、敵対的な記号破損を訂正することができます。つまり、十分な量の記号が破損せずに残っている限り、コード記号の「噴水」をすばやく生成し、メッセージを迅速に復元できるのです。 この新しい設計は、LTコードを2つの基本的な方法(秘密鍵の使用およびコード構造の保護)で強化します。秘密鍵は、データのエンコーディングとメッセージの復元に使用されます。また、強力な擬似乱数生成器(エンコーディングをランダム化し、予測できないようにする)、オプションの安全な暗号(記号を暗号化し、漏洩を防止する)、偽造不可能なMAC(記号を認証し、エラーの伝播を防止する)の単純な組み合わせにより、コード構造が完全に保護されます。この新しいエンコーディングをデータ ストライピングと注意深く組み合わせると、大きなサイズのメッセージ(たとえば数GB)を処理できる拡張性に優れたバリエーションを作成できます。Falconコードは、核となるLTコーディング レベルにおいて暗号を適切に使用することにより、Raptorコードを安全に拡張しつつ、高効率性(300 MB/秒のスループット速度など)を実現できます。Falconコードは便宜上、通信チャネル(SSHまたはIPsecによるトンネリングなど)によって実現されるセキュリティを利用して、必要なオーバーヘッドをさらに制限することもできます。 悪意のある限定的な破損が存在する場合でもメッセージの迅速な復元を保証する、包括的かつ高速なオンザフライのコード記号生成は、多くの実践的なシナリオにおいてFalconコードの価値を高める魅力的な特性です。Falconコードは、LT/Raptorコードよりもはるかに強力なセキュリティを実現できるうえ、わずかなオーバーヘッドしか発生しないため、優れた実用性を継続的に提供できます。特に、Falconコードは、Lopes氏とNeves氏が行った的を絞った消去攻撃に対して、実証可能な方法でRaptorコードを強化することができます。さらに、リード ソロモン コードなどの攻撃耐性の高い既存のコードに匹敵するセキュリティだけでなく、優れた効率性も提供します。特に、クラウド ストレージのセキュリティ プロトコルで使用される、カスタム設計されたコード(Shi氏など[5])の一時的な代用品として使用する場合、Falconコードによって35%高速化できます。このような設計により、Falconコードはセキュリティと効率性の両方を強化することができます。 [1] M. Luby:「LT Codes」、IEEE Symposium on Foundations of Computer Science 2002:271ページ [2] A. Shokrollahi:「Raptor codes」、IEEE Transactions…

オンラインのE-コマース トランザクションはEMVによって安全になるか

それでは、この疑問をすぐに片づけてしまいましょう。EMV、つまりチップが組み込まれたスワイプ不要のクレジット カードは、(利用者本人が直接関係する)クレジット カード詐欺に対する強固な防御手段です。  しかし、カード不使用のE-コマース トランザクション(オンラインE-コマースなど)では、EMVは関係なく、サイバーセキュリティの脅威が急増し続けています。このような場合、実店舗と同じように安全で便利な操作性をサイバー世界のお客様にも提供する必要はないのでしょうか。 当然のことながら、対面で不正行為を働くチャンスが減少するにつれて、オンラインの不正行為は大幅に増加するであろうと予想されています。実際、Javelin Strategy and Researchが作成したデータによると、カード不使用の不正行為は2018年までにPOSでのカード詐欺の約4倍になり、オンラインでの損失額はなんと190億ドルを超えると予測されています。 Aite GroupがRSAのために行ったこの調査では、カード不使用の環境を保護するために加盟店とカード発行会社が利用できるソリューションは多岐にわたっており、階層型アプローチによって個々の防御策に対応できることがわかりました。 カード発行会社向け:   カード不使用トランザクションのリスク ベース認証に投資する。カード不使用の不正行為は、もはや加盟店だけの問題ではありません。米国において3Dセキュアの採用が増加していることや、カード会員の一貫した操作性を保証しなければならないという競争上の圧力のおかげで、カード不使用の効果的なリスク評価は共通の責務となっています。カード発行会社は、不正行為の結果として生じる不利益とともに、3Dセキュア トランザクションの量も増えていくことを認識するでしょう。リスク ベース認証は、カード発行会社がお客様の操作性に与える影響を最小限に抑え、低い誤検出率でトランザクション リスクを適切に評価するのに役立ちます。   トークナイゼーションを採用する。加盟店のデータ侵害はなくなりません。安全なカード環境を作成する最善の方法は、加盟店のシステムから機密データを排除することです。これにより、避けることができない侵害が発生しても、カード会員は守られます。   加盟店向け:   行動分析に投資する。オンラインおよびモバイル チャネル内での行動分析は、エンド ユーザーに対して透過的であり、差し迫った攻撃や進行中の攻撃を示唆するパターンを検出できる優れた方法です。   不正行為スコアリング システムを活用する。オンライン セールスで役立つこのツールは、特に各セールスを「評価」して、そのリスク レベルを判断するために導入できます。メトリックとデータ ポイントを融合させて、IPフィルタリング、地理的な場所、プロキシ検出、セールスの閾値などを取り入れた不正行為スコアリング ツールは、高リスクで、多くの場合不正なセールスを特定、回避するのに役立ちます。     トークナイゼーションを採用する。現在の脅威環境を考慮すると、遅かれ早かれ悪者がシステムに侵入することを想定する必要があります。新聞記事に載るような重大ニュースに巻き込まれないための最善の方法は、悪者がシステムに侵入したとしても、貴重なデータを入手できないようにすることです。     3DS 2.0の採用を計画する。静的なパスワードの完全な全廃に向けた業界の「潮流」は2016年も続いており、従来の3DS標準は近い将来に「3DS 2.0」になります。業界の主要なステークホルダーと共同で開発されている2.0バージョンでは、高度でインテリジェントなリスク ベース認証を利用した、より円滑なユーザー エクスペリエンスに対する要件が取り入れられる予定です。   結局のところ、操作性とセキュリティの間にはトレードオフの関係があります。 セキュリティとエンド…

モバイル アプリのダウンロードに見せかけたトロイの木馬に注意

RSAでは、オンライン バンキング アプリケーションのエンド ユーザーを標的とする新しいマルウェア攻撃を認識しています。この攻撃を受けると、被害者の口座から振り込みが不正に行われる可能性があります。この攻撃には、信頼性をアピールするべくRSA SecurIDのブランドを「装った」、AndroidベースのSMS(ショート メッセージ サービス)ハイジャック アプリが使用されています。この攻撃の標的は、Androidベースのモバイル デバイスの所有者のみです。これまでのところ、Appleデバイスは影響を受けていません。攻撃は次のように実行されます。 トロイの木馬マルウェアが被害者のデバイスに展開されます。 その後、被害者がOTP(ワンタイム パスワード)を使用して送金を認証するオンライン バンキング アプリケーションに接続すると、トロイの木馬により偽のRSA SecurIDアプリをダウンロードするように推奨されます。このアプリは、実際にはRSA SecurIDのブランドを「装った」AndroidベースのSMSハイジャック アプリです。 トロイの木馬は、Androidモバイル デバイスの電話番号の入力を被害者に求め、偽のRSA SecurIDアプリをダウンロードする(公式のGoogle Playストア以外のサイトから)ためのリンクを含むSMSテキストを、被害者のデバイスに送信します。 被害者が偽のアプリをダウンロードしてインストールすると、攻撃者はエンド ユーザーの口座から不正に金を引き出し始めます。 オンライン バンキング アプリケーションから、SMSテキストとOTPがユーザーのモバイル デバイスに送信されるとき、テキストはマルウェアによってインターセプトされるため、ユーザーにはまったく見えません。 その後、攻撃者は収集したOTPをアプリケーションに入力し、不正な取引を実行します。 アプリのセキュリティと信頼性を確保するため、RSAでは、デバイス プラットフォーム向けの公式アプリ ストアでのみ、RSAモバイル アプリをダウンロードできるよう制限しています。この点によくご留意ください。つまり、上記のような場合、アプリがGoogle Playストア以外のサイトからダウンロードされるということが、そのアプリが本物でないことを明確に示しています。RSAのAFCC(不正対策指令センター)は、偽のRSAモバイル アプリ ダウンロード サイトを厳重に見張ってシャットダウンしており、この新しいマルウェア攻撃にも対処しています。 この攻撃方法は、決して目新しいものではなく、RSAのお客様以外にも被害が及ぶ可能性があります。しかし、優れたサイバー セキュリティ予防策があれば、複数のポイントで防御することができます。RSAのお客様(およびそのお客様)は、次の方法で効果的に防御することができます。 デバイス プラットフォームの公式ストア(Google Play、Apple App Storeなど)以外のサイトからRSAモバイル アプリを絶対にダウンロードしない。 ソーシャル…