RSA Perspectives

A New Beginning

監視と応答の運用化

どのネットワークにも絶え間なく攻撃があり、セキュリティ実務担当者は組織の資産を守るために準備しておく必要があります。しかし、多くの組織はこれらの脅威の少なくとも一部を検出するテクノロジーを持ちながら、検出した脅威を効果的に追跡して対処するためのリソースが不足しています。 業界では過去数年、大規模な侵害によって数々の組織が苦境に陥ってきました。これまでは、脅威を軽減または検出するテクノロジーに必要な資金を調達できなかったり、インシデント対応を軽視したりするセキュリティ グループが多数ありました。しかし、攻撃や侵害が明らかになり、広く知られるようになるにつれて、組織は被害を受ける可能性を減らそうと努力しています。これに応じて、多くの組織は攻撃の検出に特化したチームを編成し、この任務をサポートするセキュリティ テクノロジーを購入するための予算を割り当てました。 この動きは多くの企業にとって朗報です。数年前までは、これらのセキュリティに関する新たな予算申請は認められなかったはずです。しかし、この分野には新たな困難がともないます。システムを開発して導入した後も、システムを効果的に運用するために管理や監視を行う専属チームが不可欠です。企業内にセキュリティ監視体制を構築するときは、ツールの導入後、次に示す点を検討する必要があります。 ツールの認識と配備 セキュリティ グループが、ツールによって影響を受ける可能性がある他のグループと相談せずにツールの導入を進めることはほとんどありません。他のチームはこれらのシステムがどのように機能するのかを理解して、インシデントの発生時に組織が迅速に対処できるようにする必要があります。たとえば、マルウェアの発生時にはデスクトップ チームが、フィッシング攻撃にはメール チームが、アプリケーション攻撃には開発チームが、それぞれ対処しなければならない可能性があります。インシデント対応中は他の部署もセキュリティ チームの延長として、同様の対応を求められます。 常に警戒を怠らない セキュリティの監視テクノロジーを導入した場合、その出力を絶えず監視して検討する必要があります。そうしないと、攻撃を検出したにもかかわらず被害を受けてしまうことがあります。情報セキュリティ チームが攻撃の通知用としてシステム内にアラートを構築する場合でも、このアラートを検討する要員を置かなければ、組織の防御態勢が低下します。コンプライアンスへの対応に追われ、組織が監査を通すためだけにこれらのシステムを導入することはよくあります。組織内でセキュリティ テクノロジーの調整や監視を怠ると、防御に死角が生じることがあり、大きなリスクとなります。 サード パーティの活用でギャップを埋める セキュリティ チームに予算があるものの、システムを監視する人員がいない場合、論理的な解決策としてサード パーティのサービスの活用が考えられます。警戒を手助けできるMSSP(マネージド セキュリティ サービス プロバイダー)は多数あります。これらのMSSPは内部セキュリティ チームの拡張要員として働き、専門知識を提供するとともに、組織がシステムを監視できない時間帯をカバーします。 まとめると、監視というものは、その出力に対処してはじめて、効果を最大限に発揮します。この必須テクノロジーを導入した組織は、大切な資産の防御を確かなものにするために、結果への対処方法を明示した計画を持つことが不可欠です。

モノのインターネットはビッグ ブラザーの再来か

長年、私のPCはXP上で動いてきました。Microsoftが誇る最も堅牢で安定している不屈のオペレーティング システムです。何年も乗りに乗って、走行距離計が32万キロに達してもまだ走れた私の愛車ダッジ アスペンによく似ています(まさに当時のEnergizerです)。しかし、私が愛したグリーンのツートンカラーに塗り分けられたこのガス食い虫も、ついに買い換えなければならなかったように、私のタワーPCも(Microsoftのパッとしないレビューにも関わらず)後継のWindows 7、Windows 8、そしてWindows 10に換えなければなりませんでした。そのインストール中に、私と家族のプライバシーがどのようにして突然露呈し、どの程度のリスクにさらされるかに気付きました。 それはすべて、Microsoftのプライバシーに関する声明に由来します。この声明は、私がWindows 10を購入したときにデフォルトで同意し、エンド ユーザー ライセンス契約を締結したもので、次のような文言が含まれていました。 Microsoftは効率的に業務を行い、サービスでは最高の利用体験を提供するために個人情報を収集しています。ユーザーがMicrosoftアカウントを作成する際、Bingへ検索クエリーを送信する際、Cortanaに音声コマンドを行う際、文書をOneDriveにアップロードする際、サポートにご連絡いただく際など、直接個人情報を弊社に提供していただきます。その一部は、お客様が弊社サービスをどのように利用しているかを記録することで入手します。そのための手段として、たとえば、Cookieなどの技術を使用したり、お客様のデバイスで実行されているソフトウェアからエラー レポートや使用データを受信したりします。また、(他社を含む)サード パーティからデータを入手することもあります。  おぉ、非常に具体的です。次のようにも書かれていました。           ユーザーの同意の下、または取引を完了する、またはユーザーが要求した、または認証したサービスを提供するのに必要な範囲で、弊社はユーザーの個人情報を共有します。また、弊社はMicrosoft 関連会社、子会社、および代理で業務を遂行するベンダーと、法律により要求される、または法的手続きに対応する際に、またはお客様を守るため、命を守るため、サービスのセキュリティを維持するため、およびMicrosoftの権利または財産を守るために個人情報を共有します。  言い換えると、Microsoftの顧客としては、サービスをどのように利用してもプライバシーなどないということです。実際にこの使用条件によると、同社にとっては、ユーザーの行動から収集したデータを集約して処理し、同社が望む任意の対象として、子会社、ベンダーなどの他、同社が必要とみなせば、法的執行機関にも配布することが解禁されたのと同様です。 これはほんの一例で、インターネットの危険性という氷山の一角に過ぎません。SHODAN(Sentient Hyper-Optimized Data Access…

Home

監視と応答の運用化

どのネットワークにも絶え間なく攻撃があり、セキュリティ実務担当者は組織の資産を守るために準備しておく必要があります。しかし、多くの組織はこれらの脅威の少なくとも一部を検出するテクノロジーを持ちながら、検出した脅威を効果的に追跡して対処するためのリソースが不足しています。 業界では過去数年、大規模な侵害によって数々の組織が苦境に陥ってきました。これまでは、脅威を軽減または検出するテクノロジーに必要な資金を調達できなかったり、インシデント対応を軽視したりするセキュリティ グループが多数ありました。しかし、攻撃や侵害が明らかになり、広く知られるようになるにつれて、組織は被害を受ける可能性を減らそうと努力しています。これに応じて、多くの組織は攻撃の検出に特化したチームを編成し、この任務をサポートするセキュリティ テクノロジーを購入するための予算を割り当てました。 この動きは多くの企業にとって朗報です。数年前までは、これらのセキュリティに関する新たな予算申請は認められなかったはずです。しかし、この分野には新たな困難がともないます。システムを開発して導入した後も、システムを効果的に運用するために管理や監視を行う専属チームが不可欠です。企業内にセキュリティ監視体制を構築するときは、ツールの導入後、次に示す点を検討する必要があります。 ツールの認識と配備 セキュリティ グループが、ツールによって影響を受ける可能性がある他のグループと相談せずにツールの導入を進めることはほとんどありません。他のチームはこれらのシステムがどのように機能するのかを理解して、インシデントの発生時に組織が迅速に対処できるようにする必要があります。たとえば、マルウェアの発生時にはデスクトップ チームが、フィッシング攻撃にはメール チームが、アプリケーション攻撃には開発チームが、それぞれ対処しなければならない可能性があります。インシデント対応中は他の部署もセキュリティ チームの延長として、同様の対応を求められます。 常に警戒を怠らない セキュリティの監視テクノロジーを導入した場合、その出力を絶えず監視して検討する必要があります。そうしないと、攻撃を検出したにもかかわらず被害を受けてしまうことがあります。情報セキュリティ チームが攻撃の通知用としてシステム内にアラートを構築する場合でも、このアラートを検討する要員を置かなければ、組織の防御態勢が低下します。コンプライアンスへの対応に追われ、組織が監査を通すためだけにこれらのシステムを導入することはよくあります。組織内でセキュリティ テクノロジーの調整や監視を怠ると、防御に死角が生じることがあり、大きなリスクとなります。 サード パーティの活用でギャップを埋める セキュリティ チームに予算があるものの、システムを監視する人員がいない場合、論理的な解決策としてサード パーティのサービスの活用が考えられます。警戒を手助けできるMSSP(マネージド セキュリティ サービス プロバイダー)は多数あります。これらのMSSPは内部セキュリティ チームの拡張要員として働き、専門知識を提供するとともに、組織がシステムを監視できない時間帯をカバーします。 まとめると、監視というものは、その出力に対処してはじめて、効果を最大限に発揮します。この必須テクノロジーを導入した組織は、大切な資産の防御を確かなものにするために、結果への対処方法を明示した計画を持つことが不可欠です。

自動化とエンリッチメントでスピーディな調査を実現

セキュリティ アナリストがインシデントの調査を行う際は、インシデントのあらゆる詳細を把握することが重要になります。詳細を把握することで、セキュリティ アナリストは調査をスピーディに進められるようになります。しかし、最も重要な点は、その調査の結果、対応プランを効果的に実施できるようになることです。 では、どうすればセキュリティ アナリストはそうした詳細を入手できるでしょうか。 まず、脅威の検出を自動化して、組織にリスクをもたらす原因についての詳細をアナリストに提供できるようにします。  たとえば、C&C(Command and Control)攻撃の検出は自動化が可能ですが、C&Cイベントに関して一歩踏み込んだ詳細が提供されれば、アナリストは調査や分析をスピーディに進めて効果的な対応プランを立てられるようになります。 また、セキュリティ アナリストが調査する際、さらに詳しい状況を自動的に入手できるようになれば、状況を究明するための手間が省けて、調査や対応がスピーディになります。 こうしたエンリッチメントによって、調査の際にセキュリティ アナリストにどのようなメリットがもたらされるのでしょうか。いくつかの例を紹介しましょう。 アナリストは、次に示すいくつかのC&Cアクティビティに基づいてホストを調査しています。 資産のビジネス状況(重要度、組織、ホスト上で実行されているアプリケーション)から、アナリストは、攻撃者がどの機密情報を狙っているのかを速やかに把握することができます。 エンドポイントの状況(OS(オペレーティングシステム)の種類、疑わしいファイルやプロセスのアクティビティ)が、ホストの修復プランの作成に役立ちます。たとえば、OSをアップグレードする必要がある、疑わしいファイルやプロセスをブロックおよび削除する必要があるなどです。 調査対象のホストで疑わしいファイルやプロセスが見つかった場合、同じプロセスやファイルのある他のホストについても、セキュリティの侵害がないかどうかを速やかに究明します。そうすることで、攻撃者の行動が組織の中でどの程度の範囲にわたっているのかを速やかに把握できます。また、影響を受けたホストを修復プランの対象に含めることも重要です。 調査中のホストに「Admin1strator」という名前で作成されたバックドア アクセス用の特権アカウントがあれば、他のホストでも同じ特権アカウントが作成されていないかどうかを速やかに調べます。そうすることで、攻撃者の行動範囲がわかります。 Windows環境における攻撃者の行動範囲を調べるには、一連のイベントを検出します。たとえば、実行可能ファイルがファイル共有にコピーされ、その実行可能ファイルを使用して新しいサービスが作成され、そのサービスが5分以内に開始された、などです。こうした一連のイベントは、すでにセキュリティ侵害を受けているシステムから、攻撃者が被害マシン上のバックドアを利用して行動範囲を広げていることを示している場合があります。 このホストでは以前にどのようなインシデントを調査したのか?そのときの修復プランはどのようなものだったのか? 同様のインシデントを過去に経験しているのであれば、アナリストはそうした情報を利用して根本原因や修復プランを絞り込むことができます。 以上のようなことは、アナリストが調査プロセスをスピーディに進めるのに役立つエンリッチメントの例のごく一部にすぎません。アナリストが「右クリック」するだけで、こうしたエンリッチメント データにアクセスできるようになれば、調査プロセス全体の効率とスピードが向上します。 この分野におけるRSAと、RSAのセキュリティ分析にご注目ください。自動化とエンリッチメントを通じて、お客様の調査をスピードアップします。

脅威検出ベンチマーク パート1:脅威ベクトルを明らかにする

最新のIT環境のセキュリティを保護するためにとれる戦略は、脅威検出の能力で決まってきます。残念なことに、セキュリティ戦略の基盤として組織が頼りにしている脅威検出データのソースは、わずか数種類だけということが多いのです。これでは十分な可視性が得られず、その結果リスクが増大してしまいます。脅威検出ベンチマーク シリーズのパート1では、可視性を改善して組織のセキュリティ戦略の基盤を堅固にする方法について説明します。 包括的な可視性の重要性 可視性は、広く流布している脅威ベクトルを明確化し検出する組織の能力を支えます。これは、ただ単にエンドポイント レベルやネットワーク レベルのエージェントに頼って脅威検出ソリューションを構築すればいい、という意味ではありません。むしろこれには、広く流布している脅威ベクトルをすべてカバーするために、複数の統合されたデータ ソースを使用する、という意味があるのです。 手短に言えば、脅威ベクトルとは、脅威アクターが重要な資産にアクセスするのに使用する可能性があるパスのことです。何だかはっきりしないように聞こえるでしょうが、それは今日の攻撃の動的な特質によるものです。脅威ベクトルは急速に進化しており、新たな戦術が次々に発見されています。こうした理由により、重要なリソースにつながる可能性のあるすべてのパスの可視性を高く保つことは、効果的な検出の基盤となるのです。 とにかく数がものを言う 包括的な可視性をもつ環境を創出するうえで、まず強調されるべきものは、ソースの量です。この考えは、物理的セキュリティの仕組みとよく似ています。セキュリティ カメラと警備員を増やせば、可視性は高くなります。同様に、脅威モニタリングのためのデータ ソースを増やせば、潜在的な脅威をよりよく検出できるようになります。 脅威検出データのための優れたソースは何か、と尋ねられれば、多くのITプロフェッショナルは従来のデスクトップ セキュリティ エージェントを挙げるでしょう。こうした世界観は、きわめてマルウェア中心的であり、エンドポイントでのマルウェア対策ソリューションが効果的であるという推測によるものです。今日の高度な脅威の世界にあっては、マルウェアを使用しない攻撃も多く、そうでなくてもマルウェアは静的な検出ルールやシグネチャを簡単に回避できるため、この推測は信頼できません。こうしたツールからは、脅威アクティビティに対する限られたインサイトが得られるものの、これだけでは、求められているような環境全体にわたる可視性を得ることはできません。高品質のソースとしては、ネットワーク データ(ネットワークのパケットとフローのデータを含む)、より詳細なエンドポイント データ、インフラストラクチャ全体にわたるシステム レベルでのログのモニタリングなどがありますが、これらに限定されません。一般的な経験則によると、ソースが増えるほど、可視性は良好になります。これらのソースは、組織の環境に応じた広範な脅威ベクトルをカバーする必要があります。 ここまで述べてきた可視性のソースは、インフラストラクチャに焦点を当てています。しかし、IDとユーザー行動に対する可視性を獲得することも重要です。The Wall Street Journalの最近の記事では、内的脅威の問題が深刻化している状況に焦点が当てられています。IDデータと他のデータ ソースとを密接に統合することにより、組織は潜在的な内的脅威ベクトルに対する高い可視性を実現できます。これは高品質なソースの好例であり、脅威データのソースを多様化するという総合的なアプローチをとることで、いかに組織が脅威検出の水準を高められるかを示しています。 セキュリティ戦略の有効性は、それが構築されている基盤で決まります。高品質なデータ ソースの数が多ければ、強固な基盤が確立され、環境全体にわたってアクティビティを把握できるようになります。

オバマ大統領のCNAP(サイバーセキュリティ米国行動計画)に賛同する

「サイバーセキュリティ業界は基本的に破綻しています…しかし、それはテクノロジーの問題ではなく、考え方の問題なのです。」 RSAプレジデントのAmit Yoranが最近このように発言しました。このコメントは全国を駆け巡っただけでなく、米政府に対する深刻なデータ侵害の発生を受けて、政府内でも深刻に受け止められています。昨年のOPM(米政府人事管理局)へのセキュリティ侵害から、先週のFBIとDHS(米国土安全保障局)を揺るがした侵害までを振り返り、米政府のITシステムを保護するうえでの考え方を刷新する必要があるのではないかという懸念が生まれています。 こうした経緯から、RSAはオバマ大統領のCNAP(サイバーセキュリティ米国行動計画)に賛同します。この行動計画は今日午前に発表されたもので、RSAも様々な面で関わっていきます。しかし、同時に、米政府のこの取り組みにおいて、本当に透明性が実現されるかどうか、いくつかの点について注視していきたいとも考えています。第1に、米政府のCISOの役割がうまく機能するかどうかに注目しています。従来の大統領特別補佐官やサイバーセキュリティ補佐官では不可能だった権威、アカウンタビリティ、責任能力を、この新しい職責では達成できるのでしょうか。第2に、DHS(米国国土安全保障省)の役割は、明示的/暗黙的にどのように変わるのでしょうか。 米政府を攻撃者から保護するためのこの新しいアプローチは、従来の有効性に欠けたサイバーセキュリティの考え方に対する挑戦と言えるでしょう。RSAは、この行動計画の主要な要素の1つに対して、公に支持を表明しています。それは、電子メールなど重要なアプリケーションおよびシステムにおける、多要素認証の広範な導入の促進です。私は、この重要な問題に対するRSAの取り組みを誇りに思っています。多要素認証(しかも、米政府のCAC/PIVインフラストラクチャすら上回るレベルのもの)は、セキュリティを強化するために不可欠です。National Cyber Security Allianceなど多くの組織では、この問題をITセキュリティに関わる人々に強く印象づけるための努力を続けてきました。 今日の発表には、その他にも非常に重要な点がいくつか含まれていました。   サイバーセキュリティへの支出の増加。   米政府のIT防御をモダナイズするための広範な計画。     米政府のCISO職の新設(文民、国防総省、情報機関などの間のサイロ化をなくす)。     NISTサイバーセキュリティ フレームワークの導入を促進するアクティビティ(特に重要なインフラストラクチャ コミュニティに対して)。     連邦サイバー ワークフォースの人員数と機能を強化する取り組み。     今日の発表でもう一つ注目されるのは、官民の壁を越えた委託関係です。民間セクタからの情報を取り入れながら、最も重要なサイバー脅威の課題に対処できるソリューションの開発に注力します。RSAは、この委託関係に積極的に関与していきます。オバマ大統領は、ウォール ストリート ジャーナルの論説欄で次のように述べています。「政府にはまだ多くの必要なツールが不足しています。その中には、多くの企業で日常的に使用されているものも含まれます。」 今日の高度な脅威に対抗するための最も重要な機能に予算を重点的に配分し、取り組みを加速することが重要です。米政府のセキュリティを強化するための構想は、大きな3つの柱によって構成されます。   米政府のCISOレベル、政府機関レベル、プログラム レベルでの、重要なインフラストラクチャ全体への脅威に対する、完全なリアルタイムの可視性。   クラウドとモバイルの時代に合わせてネイティブに設計された、新しいID保証システムとアクセス ガバナンス テクノロジーの導入。     リスクの識別と、リスク軽減への取り組みを優先する、企業における成熟したリスク管理アプローチ。     今日はインターネット安心デーです。「サイバー世界の状況が一変したのに、古い地図を使って旅をする」ような習慣はやめなければなりません。 今日のオバマ大統領の声明と、これまでのさまざまな議会の取り組みは、米国の立法府と行政府が新たな目的意識を持って「サイバーセキュリティ作戦」に取り組もうとしていることを示しています。私たちITセキュリティ業界の人間も、この作戦の中で自分たちの役割を果たさなくてはなりません。この問題は、今年のRSA Conferenceで主要なトピックとなるでしょう。この「戦い」に負けることは絶対に許されません。

GRC、ホーム、セキュリティ オペレーション

識別

生体認証:次世代認証メカニズム

次世代認証メカニズムの成熟にともない、ユーザー名とパスワードの組み合わせの時代が終わろうとしています。増え続けるアプリケーションで使用する旧式の認証情報を記憶しなければならない多くのユーザーが、認証情報を紙に書くなど安全性の低い方法で、パスワードを管理しています。複雑なパスワードを使用したり、複数のアプリケーションに対し同じ認証情報を再使用したりする場合には、特にそうです。 生体認証が受け入れられつつある 今その価値が認められつつある、次世代認証の1つの形が生体認証です。最近Accentureが世界中の顧客24,000名に対して実施した調査によると、回答者の60%がユーザー名とパスワードは使いにくいと答え、77%が代わりとなる認証方式に関心があると答えています。生体認証については、58%がそれを使用することに関心があると述べています。 Stratistics MRCの最近の報告では、生体認証の世界市場は2014年の1,330億ドルから、2022年には2,940億ドルに成長すると予想されており、複合年間成長率は10.4%に達します。成長は業務用とホーム セキュリティの両方の分野で見込まれ、E-コマース サービスと電子政府サービスの導入の増加も成長に寄与すると予想されます。 各種デバイスへの生体認証センサーの搭載が進む RSAホワイト ペーパーによると、これからの認証の課題は、ユーザーへの選択肢の提供と、セキュリティ ポリシーに関するユーザーのコンプライアンスを容易にする安全な認証に対するニーズです。生体認証テクノロジーは当初、導入するには不便で、高価であるという評判でしたが、今ではずいぶん進化しました。現行世代のモバイル デバイス(カメラやスピーカーを含む)への、コスト パフォーマンスに優れた生体認証センサーの搭載が進んだことにより、使い方も便利になり、この評判も変わってきました。 新世代のスマートフォンを含む最新のデバイスでは、ハードウェア レベルでセキュリティを実現する一方、コアOSとは独立した方法で生体認証情報を検証している、とITProPortalは述べています。コアOSはマルウェアの影響を受けやすいため、この方法はセキュリティ強化に役立ちます。ウェアラブル端末やIoTが日常的に利用されるようになると、生体認証用センサーがさらに多種多様なデバイスに組み込まれることが予想されます。 生体認証で支払いの安全を確保 金銭の支払いにおけるセキュリティの向上は、生体認証識別の活用が大いに期待される領域の一つです。Biometric Updateによると、クレジット カードの紛失や盗難がもとで、あるいはトランザクション中のデータの盗難がもとで発生する不正を防止するために、音声認識と顔認識が大きな助けとなります。 たとえば、MasterCardは現在世界中でいくつものパイロット プログラムを実施しているほか、複数の大手スマートフォン メーカーとパートナー関係を結んでいます。MasterCardのサービスを利用するユーザーは、まず自分のデバイスにアプリケーションをダウンロードする必要があります。トランザクションを行う際は、認証を要求するポップアップ ウィンドウが表示されます。ユーザーは、スクリーンをタッチして指紋押捺をするか、カメラを使用して顔の画像を撮影するか、いずれかを選択できます。後者を選択する場合、Fortuneの説明によると、ユーザーはスクリーンを見ながらまばたきをすることで、トランザクションの認証をします。ユーザーはまばたきをする必要があるため、写真を使ってシステムをだますことはできません。昨今の自撮り写真の流行を考えると、顔認証という選択肢は多くの人に受け入れられるでしょう。 セキュリティとプライバシーに関する懸念を和らげるため、MasterCardは、指紋スキャンのデータが実際に同社に送信されることはなく、ユーザーの顔写真が実際に撮影されることもない、と言明しています。これらの画像がデバイスの外部に出ることはありません。顔認識技術ではユーザーの顔をマッピングしてデータに変換してから、インターネットを通じて送信します。 今後、デバイス内蔵のセンサーがさらに普及し、より多くのユーザーに受け入れられるようになるにつれ、このトレンドは一層強まるでしょう。それとともに、次世代認証メカニズムとしての生体認証も、ますます重要な役割を果たすようになるでしょう。

E5:蠅の群れとスズメバチ – 蠅退治

「なにしてるんだい?」と言いながら、マーティがエリンのオフィスにいきなり入ってきた。  互いのデスクとオフィスとの間を数え切れないほど行ったり来たりしているこの二人の間では、形式的なあいさつなど不要だった。 エリンはモニターから顔を上げると、  うんざりした調子で「蠅退治」と言った。 セキュリティ侵害を受けたアカウントとシステムを調査し、何が起こっているかを突き止める「蠅退治」は、彼らのスローガンになっていた。  エリンとその少数精鋭チームは、アクセス ログと休暇予定表やカレンダーなどとを突き合わせて、ユーザーによるあらゆる異常なアクティビティを特定する仕事で大忙しだった。   彼らは通常より多くの時間をかけて、必要な範囲を超えてユーザーにアクセス権が付与されている事例(すなわち、攻撃者が自身の権限を増大させている可能性を示すもの)を探していた。   これは退屈で時間のかかる作業だった。  彼らが使用するIdentity Governanceソリューションは大きな助けになったが、まだ多くの調査すべきデータが残っていた。 マーティとグレッグは、デスクトップやその他のシステムに対するフォレンジックで忙殺されていた。  彼らはあらゆるマルウェア感染を分析しなければならなかった。しかし、より重要な仕事は、攻撃者が戻ってくるときに利用できるバックドアが残されていないか確認することだった。  どちらのチームも、あらゆる可能性を検討するために、昼夜を問わず長時間働いていた。 「やっぱり、全部のアカウントを閉じちゃうの?」 エリンが尋ねた。  「アカウントを2~3個残しておいて、あちらが何をやらかすか監視するっていうのはどう?  それで犯人を見つけられるかも」 「君はいつまで蠅退治をやるつもりなんだ?」とマーティが答えた。  「ネットワーク制限で今でも業務に支障が出ているんだよ。  それから、システムの再イメージングもしたし。  それから、フォレンジックのためにファイル サーバーを一時的にオフラインにしたし。  それから…」 「ああ、はいはい」エリンが遮った。  「わかったわよ。  ただ、まだ本当にいらいらしてるのよ、今回の件では」 「それは、こっちも同じさ」マーティは同意し、マウンテンデューの残りを飲み干した。 ***** 門番は、王国の辺境で岩場を縫うように走る、ひっそりとした小道の持ち場を離れ、しゃがんで焚き火にあたっていた。  彼は、フロンティアに続く小道の曲がり角を曲がって、こちらにやって来る人影に気付いた。  この見知らぬ人物は馬にまたがり、急ぐ様子もなく近づいてきた。  この人物に特に疑わしい様子はなかったが、門番は注意を怠らず、小道をさえぎるように立つ門のところに戻った。   見知らぬ人物は門のところで止まり、革張りの小さなフォルダーをさっと取り出した。  そして、尊大な態度で門番に身分証を手渡した。  馬は落ち着かない様子で、早く先に進みたいと言わんばかりに、蹄で地面を蹴った。 門番は身分証を眺めた。  彼は盛り上がった印章の上に指を滑らせた。それは、持ち主が城の高位の参謀であることを示していた。 見知らぬ人物は馬上から門番を見下ろし、横柄な笑みを浮かべた。 門番は騎手を見上げて、笑みを返した。   次の瞬間、門番は革張りの身分証を火の中に投げ入れると、刀を抜いた。 見知らぬ人物が大声で何か叫ぶのと同時に馬が後ろ足で立ち上がり、門番に向かって前足を突き上げた。  突然、馬と騎手は荒々しく向きを変えると、危険なひづめから身を守ろうと防御の姿勢をとる門番を残して走り去っていった。 「止まれ!」と門番は叫んだ。 興奮した馬は、王国への入口を後に土煙を上げながら、フロンティアに向かって石ころだらけの街道を疾走していった。 *****…

オバマ大統領のCNAP(サイバーセキュリティ米国行動計画)に賛同する

「サイバーセキュリティ業界は基本的に破綻しています…しかし、それはテクノロジーの問題ではなく、考え方の問題なのです。」 RSAプレジデントのAmit Yoranが最近このように発言しました。このコメントは全国を駆け巡っただけでなく、米政府に対する深刻なデータ侵害の発生を受けて、政府内でも深刻に受け止められています。昨年のOPM(米政府人事管理局)へのセキュリティ侵害から、先週のFBIとDHS(米国土安全保障局)を揺るがした侵害までを振り返り、米政府のITシステムを保護するうえでの考え方を刷新する必要があるのではないかという懸念が生まれています。 こうした経緯から、RSAはオバマ大統領のCNAP(サイバーセキュリティ米国行動計画)に賛同します。この行動計画は今日午前に発表されたもので、RSAも様々な面で関わっていきます。しかし、同時に、米政府のこの取り組みにおいて、本当に透明性が実現されるかどうか、いくつかの点について注視していきたいとも考えています。第1に、米政府のCISOの役割がうまく機能するかどうかに注目しています。従来の大統領特別補佐官やサイバーセキュリティ補佐官では不可能だった権威、アカウンタビリティ、責任能力を、この新しい職責では達成できるのでしょうか。第2に、DHS(米国国土安全保障省)の役割は、明示的/暗黙的にどのように変わるのでしょうか。 米政府を攻撃者から保護するためのこの新しいアプローチは、従来の有効性に欠けたサイバーセキュリティの考え方に対する挑戦と言えるでしょう。RSAは、この行動計画の主要な要素の1つに対して、公に支持を表明しています。それは、電子メールなど重要なアプリケーションおよびシステムにおける、多要素認証の広範な導入の促進です。私は、この重要な問題に対するRSAの取り組みを誇りに思っています。多要素認証(しかも、米政府のCAC/PIVインフラストラクチャすら上回るレベルのもの)は、セキュリティを強化するために不可欠です。National Cyber Security Allianceなど多くの組織では、この問題をITセキュリティに関わる人々に強く印象づけるための努力を続けてきました。 今日の発表には、その他にも非常に重要な点がいくつか含まれていました。   サイバーセキュリティへの支出の増加。   米政府のIT防御をモダナイズするための広範な計画。     米政府のCISO職の新設(文民、国防総省、情報機関などの間のサイロ化をなくす)。     NISTサイバーセキュリティ フレームワークの導入を促進するアクティビティ(特に重要なインフラストラクチャ コミュニティに対して)。     連邦サイバー ワークフォースの人員数と機能を強化する取り組み。     今日の発表でもう一つ注目されるのは、官民の壁を越えた委託関係です。民間セクタからの情報を取り入れながら、最も重要なサイバー脅威の課題に対処できるソリューションの開発に注力します。RSAは、この委託関係に積極的に関与していきます。オバマ大統領は、ウォール ストリート ジャーナルの論説欄で次のように述べています。「政府にはまだ多くの必要なツールが不足しています。その中には、多くの企業で日常的に使用されているものも含まれます。」 今日の高度な脅威に対抗するための最も重要な機能に予算を重点的に配分し、取り組みを加速することが重要です。米政府のセキュリティを強化するための構想は、大きな3つの柱によって構成されます。   米政府のCISOレベル、政府機関レベル、プログラム レベルでの、重要なインフラストラクチャ全体への脅威に対する、完全なリアルタイムの可視性。   クラウドとモバイルの時代に合わせてネイティブに設計された、新しいID保証システムとアクセス ガバナンス テクノロジーの導入。     リスクの識別と、リスク軽減への取り組みを優先する、企業における成熟したリスク管理アプローチ。     今日はインターネット安心デーです。「サイバー世界の状況が一変したのに、古い地図を使って旅をする」ような習慣はやめなければなりません。 今日のオバマ大統領の声明と、これまでのさまざまな議会の取り組みは、米国の立法府と行政府が新たな目的意識を持って「サイバーセキュリティ作戦」に取り組もうとしていることを示しています。私たちITセキュリティ業界の人間も、この作戦の中で自分たちの役割を果たさなくてはなりません。この問題は、今年のRSA Conferenceで主要なトピックとなるでしょう。この「戦い」に負けることは絶対に許されません。

ログインの先へ:小売業の不正対策に有効なWeb行動分析

詐欺や不正行為、悪意のある行為を実行する者があふれる世界で、そうした行為を防止しようとするITプロフェッショナルたちが肝に銘じている不変のルールが2つあります。  ルール1:何か現金化できるものがあれば、サイバー犯罪者たちはそれを見つけます。  ルール2:Webサイトにループホールや弱点があれば、サイバー犯罪者たちはそれを見つけます。 高い評価を受けているBrian Krebs氏は最近の投稿で、Amazon.comがお客様を不正行為から守るための対策として多要素認証を導入したことを紹介しています。 Krebs氏が述べているように、この「多要素」認証、つまり2要素認証では、犯罪者は盗んだアカウントのユーザー名とパスワードを運よく見つけ出したとしても、「第2の」要素(携帯電話番号など)が分からなければAmazonのサイトに自由にアクセスすることはできません。 しかし、多要素認証を導入しているAmazonでは、各ユーザーとそのユーザーのデバイスは「記憶」されています。そのアカウントに関連づけられている認証情報を使用しようとすると、保存されている第2の「要素」(モバイル デバイスの電話番号、テキスト メッセージやSMSのメッセージなど)から正しいコードを入力するよう求めるプロンプトが自動的に表示されます。この「手順」(2要素認証など)を正しく完了することができなければ、Amazonでは偽のユーザーがショッピング カートに何かを入れることはできません。 不正行為を検出するためにオンライン ストアやその他のeコマース プロバイダーの間でさらに広く活用されているもう1つの方法として、Web行動分析があります。行動分析ソリューションでは、ユーザーの行動を解析し、そのWebサイトで大半の訪問者に見られる一般的な行動パターンにあてはまらない、疑わしいパターンを探します。たとえば、サイト内でページ間をどのように移動しているか、それは同時期の他の「通常の」ユーザー セッションと同様のものか、そのユーザーのページ移行、クリック数、ページごとのクリック頻度は通常見られるパターンと異なっているか、といったことです。 Web行動分析では、そうした差異を探し出し、それに解釈を加えて提示し、何らかのレベルの不正行為が行われようとしていることを実証できます。 最近のある投稿では、行動分析によってトランザクション レベルでの例外(たとえば、同一のIPアドレスを使用して数分間で同時に数百ものアカウントを開設するなど)を特定できるだけでなく、個々のカード不在(CNP)取り引きも特定できると述べられています。 たとえば、ある個人が1回のトランザクションで複数の片道航空チケットを購入する場合を考えてみましょう。これは何か異常なことのように思われるかもしれませんが、これだけで異常な兆候と判断することはできません。しかし、この個人が、さまざまな出発日、出発時間、航空会社のページを閲覧せずにほぼ瞬時にショッピング カートに移動してチェックアウトした場合には、そのような行動をさらに精査する必要があることはほぼ間違いありません。 行動分析ソリューションを活用して潜在的な脅威を特定できるシンプルなルールの一例を、以下にご紹介します。   メール変更後の不審なアクティビティ。特に、その変更が非常に短時間のうちに計画的に行われている場合は注意します。このような人は、以前にも同様のことを行っている可能性があります。   メールを更新して、同一のIPアドレスで複数のアカウントを開設する。     アカウント認証情報のチェック。犯罪者は別のサイトでパスワード情報を盗んだ後、ある時点で1つのIPアドレスを使って複数のログイン認証情報をチェックします(多くの場合、ほとんどのお客様は複数のサイトで同一のパスワードを使い回す傾向があるからです)。     複数のIPアドレス、特に地理的に分散した場所から同一のアカウントにアクセスする。     ITセキュリティに力を入れている今日のプロフェッショナルにとって、一般に多要素認証と行動分析はどちらも不正行為防止というパズル全体を構成する一部のピースにすぎません。  実際、自社サイトのユーザー エクスペリエンスを徹底的に理解し、脅威に対処できるようにサイトを調整して、複数のアクセス ポイントにたどり着くのを難しくしてはじめて、悪者にアクセス ポイント、つまりあなたの企業を悪用されにくくすることができるのです。  

不正防止

モノのインターネットはビッグ ブラザーの再来か

長年、私のPCはXP上で動いてきました。Microsoftが誇る最も堅牢で安定している不屈のオペレーティング システムです。何年も乗りに乗って、走行距離計が32万キロに達してもまだ走れた私の愛車ダッジ アスペンによく似ています(まさに当時のEnergizerです)。しかし、私が愛したグリーンのツートンカラーに塗り分けられたこのガス食い虫も、ついに買い換えなければならなかったように、私のタワーPCも(Microsoftのパッとしないレビューにも関わらず)後継のWindows 7、Windows 8、そしてWindows 10に換えなければなりませんでした。そのインストール中に、私と家族のプライバシーがどのようにして突然露呈し、どの程度のリスクにさらされるかに気付きました。 それはすべて、Microsoftのプライバシーに関する声明に由来します。この声明は、私がWindows 10を購入したときにデフォルトで同意し、エンド ユーザー ライセンス契約を締結したもので、次のような文言が含まれていました。 Microsoftは効率的に業務を行い、サービスでは最高の利用体験を提供するために個人情報を収集しています。ユーザーがMicrosoftアカウントを作成する際、Bingへ検索クエリーを送信する際、Cortanaに音声コマンドを行う際、文書をOneDriveにアップロードする際、サポートにご連絡いただく際など、直接個人情報を弊社に提供していただきます。その一部は、お客様が弊社サービスをどのように利用しているかを記録することで入手します。そのための手段として、たとえば、Cookieなどの技術を使用したり、お客様のデバイスで実行されているソフトウェアからエラー レポートや使用データを受信したりします。また、(他社を含む)サード パーティからデータを入手することもあります。  おぉ、非常に具体的です。次のようにも書かれていました。           ユーザーの同意の下、または取引を完了する、またはユーザーが要求した、または認証したサービスを提供するのに必要な範囲で、弊社はユーザーの個人情報を共有します。また、弊社はMicrosoft 関連会社、子会社、および代理で業務を遂行するベンダーと、法律により要求される、または法的手続きに対応する際に、またはお客様を守るため、命を守るため、サービスのセキュリティを維持するため、およびMicrosoftの権利または財産を守るために個人情報を共有します。  言い換えると、Microsoftの顧客としては、サービスをどのように利用してもプライバシーなどないということです。実際にこの使用条件によると、同社にとっては、ユーザーの行動から収集したデータを集約して処理し、同社が望む任意の対象として、子会社、ベンダーなどの他、同社が必要とみなせば、法的執行機関にも配布することが解禁されたのと同様です。 これはほんの一例で、インターネットの危険性という氷山の一角に過ぎません。SHODAN(Sentient Hyper-Optimized Data Access Network)に関する最近のこの投稿について考えてみましょう。SHODANはインターネット接続デバイス(たとえば、IoTなど)を対象とするオンライン「検索エンジン」です。 投稿に書かれているように、ShodanはGoogleのスパイダー ボットのようにネットをクロールし、サービスに入り込み、そこで見つけたものを記録した上で、検索可能な索引を生成します。 これは必ずしも悪いことではなく、ホーム ルーターにハッカーを寄せ付けないようにする場合などに特に有効です(これが発生する原因と手法はこの投稿に書かれています)。しかし、このような公開によって、あらゆる種類のいたずらに対してルーターを開放してしまうことになります。 最もおぞましい結果として考えられるのは、設置したWebカメラにインターネットからアクセスされることでしょう。ShodanはWebカメラを発見して索引化し、ログイン プロンプトさえも記憶できます。子供部屋に設置したWebカメラを通じて不審者が「盗聴」したり、家の中の別の場所を盗み見たりする不気味さを想像してみてください。案の定、Shodanで最も人気がある上位5位の検索のうち、3件がオンライン カメラに関するものです。したがって、すべての条件が揃った上、使っているオンライン カメラが十分に安全でなければ、Shodanはオンライン カメラに侵入し、子供部屋や、もしかしたらあなたの寝室からライブ フィードを直接送信できてしまいます。 私たちのプライバシーは、インターネットからのリスクにさらされていると考えられます。では、このようなプライバシー侵害をまったく新しいレベルに引き上げる可能性のある、モノのインターネットではどうなるでしょうか。次のような例について考えます。 Microsoft Xbox。このKinectデバイスにはビデオ カメラとマイクロフォンが搭載されていて、ユーザーのやり取りを取得して記録し、同社に送信することができます。実際に、この製品の使用条件には、デバイスの使用時は「ユーザーはどのレベルのプライバシーも期待すべきではない」と明記されています (どこかで読んだ記憶はありませんか)。 Verizon。同社は定性的なターゲティング広告の精度を高めるために、薄型テレビやDVRに組み込んで「環境アクション(ambient action)」を監視するカメラの特許を取得しようとしました。つまり、ユーザーの挙動を逐一観察して、ユーザーが次回のコマーシャル タイムに興味を示しそうな広告の種類を決める仕組みです。 Google。  同社は2014年、サーモスタットに接続されたモノのインターネットを扱うNestを30億ドル以上で買収しました。スマートフォンを使用してリモートからサーモスタットを設定し、屋内でのエネルギー消費を効率よく管理したり、煙や一酸化炭素の警報を受信したりすることが本来の目的ですが、このデバイスはプライバシー問題について、「ハチの巣をつつくような」騒ぎを引き起こす非常に現実的な可能性があります。これには、毎月の電気料金をGoogleが把握して毎日の行動に基づくプロファイルを作るという無害なものも含まれますが、悪用すれば、ターゲティング広告に影響を与えるだけでなく、留守宅の安全性に関して非常に現実的なリスクを与えることになってしまいます。 「スマート」街灯。米国の3都市(シカゴ、デトロイト、ピッツバーグ)では、エネルギー管理とセキュリティを補助する目的で、いわゆる「スマート街灯」(ハイテクを駆使した街灯)が設置されています。しかし、この街灯はストリート上の人々の行為を監視することもできます。広く一般市民に向けて放送を流すことも可能です。また、テロ対策の時代にふさわしく、通行人を監視して会話を記録する機能さえも持っています。 これらのすべてのことが、ジョージ・オーウェルの往年のディストピア小説「1984」に似ていると思う人は少なくないはずです。  私たちはテクノロジーによって生活を向上させ、ものごとを簡単にしたいと望んでいますが、その利便性を得るために、どれぐらいのプライバシーを進んで犠牲にすればいいのでしょうか。オーウェルの小説の結末で、アンチ ヒーローのウィンストン・スミスは「ビッグ ブラザー」を愛するようになりましたが、私の気持ちはこれとは異なります。これまで簡単に紹介してきたように、モノのインターネットによるプライバシーの侵害があるとすれば、私はこのような特殊な感情を抱くことは当分の間ないでしょう。  

リアルタイム決済がもらす金融詐欺の影響

数週間前に、Australian Payments CouncilのAustralian Payments Planの概要を紹介する記事を公開しました。 このプランは、オーストラリアにおける将来の決済の戦略的なロードマップ、特にNPP(New Payments Platform)を中心としたイニシアチブとして策定されています。 簡単に説明すると、NPPでは今後、オーストラリアの決済市場内部の競争力と技術革新を高める手段として、オンライン バンキングを介したリアルタイムでの送金機能を導入する、ということです。 現在、オンライン バンキングを介して受取人(個人または法人)に送金する場合、通常は資金が入手できるようになるまで24時間の遅れが生じます。 送金元と送金先が同一の銀行の場合など、いくつかの例外はありますが、概ね翌日まで送金が遅れます。 「リアルタイム」モデルへの移行はオーストラリアにおける決済のあり方を一新するものとなり、次のような影響が予想されます。 利用者には、決済の低コスト化や機能の向上などのメリットがもたらされる 銀行、販売業者、決済業者には、商業的なインパクトがもたらされる オンライン バンキングでの詐欺行為や損失が増加する 利用者のメリット 利用者はNPPが想定している中心的な受益者になります。これは利用者にとって、決済方法の選択肢が大幅に広がり、最終的には市場での競争の活性化につながるからです。 メリットは3つの幅広い分野に分かれると予想されます。 当事者どうしによる決済:家族や友人への送金が簡単かつスピーディに行える ビジネス決済:商品やサービスのシンプル(安価)な決済オプション E-コマース:クレジット カードやデビット カードの代わりとなるオンライン決済オプション 商業的なインパクト NPPがもたらす商業的な影響のすべてを予測することはきわめて困難ですが、それらは非常に重大なものになるでしょう。 NPPによって、まったく新しい代替の決済手段が提供されるわけですが、それは現在の業者の多くに直接対抗するものとなるでしょう。 NPPは業界団体として、今後、商品やサービスの新しい決済手段を顧客に提供し、決済処理コストの削減をもたらすと予想されます。 決済業者にとっては、新たな競争相手に対抗するために価格体系や製品体系の見直しや調整が求められることになります。 詐欺行為への影響 私は職業柄、NPPがオーストラリアにおけるオンライン バンキング詐欺にどのような影響を及ぼすのかについて特に関心を持っており、 2つのことを予想しています。1つは、オンライン バンキングでの詐欺行為のスピードが激化して件数が増加することで、もう1つは、オンライン バンキング詐欺の回収率が低下することです。 1つ目の予想の根拠としているのは、単純に、悪人は最も少ない手間で最も多くの利益を上げようとするという事実です。オンライン バンキング アカウントのセキュリティを侵害することにより、リアルタイム決済を通じて直ちに現金が手に入るという状況は、彼らにとって非常に魅力的なことなので、攻撃の件数は今後増加するものと予想されます。 いわば、悪人のROIです。 2つ目の予想の根拠は、現行の遅延決済の仕組みは、銀行側が(マルウェア、フィッシング、データのセキュリティ侵害、ソーシャル エンジニアリングなどを原因とする)不正送金を検出し、保留し、回収するための余地になっているという事実です。 大多数の決済において、NPPはこうしたセーフティ ネットをなくすものとなり、詐欺の損失がもたらす影響の可能性は重大なものになります。 現在のオンライン バンキング詐欺の検出率(決済後)が80%であれば、送金先の(不明朗な)アカウントが消される前に、そうした資金を保留して回収するチャンスが残ります。 企業が100万ドルの不正送金を許したとしても、回復措置が完了すれば、実質的な損失は20万ドルほどで済みます。 リアルタイム決済ではこうした余地がなくなることになります。 カード詐欺(カード発行会社側)の観点から見て、これは回収の仕組みとしての支払拒否が完全になくなるようなものです。 こうした考えはカード詐欺の対策責任者にとって最大の悪夢となることでしょう。なぜなら、通常はカード詐欺で生じたすべての損失のうち少なくとも60~70%が支払拒否の手続きを介して回収されているからです。 詐欺による損失がもたらす潜在的な影響はどのくらいなのでしょうか。イギリスで2008年5月に導入されたFaster Payments(決済迅速化)が参考になります。 次のグラフで明らかなように、イギリスではリアルタイム決済の導入後、詐欺事件が急増しています。 イギリスの事例に従えば、NPPの導入後、オーストラリアでのオンライン バンキング詐欺による損失が少なくとも倍になると予想しても、さして的外れというわけではありません。 その理由は先ほども述べたように、不正送金後の詐欺の検出と回収を行うセーフティ ネットの余地が実質的になくなってしまうからです。 潜在的な影響をもっと実感してもらえるように、参考として、イギリスの具体的な数値をオーストラリアの市場に適用してみます。 イギリスにおける1人あたりのオンライン…

ログインの先へ:小売業の不正対策に有効なWeb行動分析

詐欺や不正行為、悪意のある行為を実行する者があふれる世界で、そうした行為を防止しようとするITプロフェッショナルたちが肝に銘じている不変のルールが2つあります。  ルール1:何か現金化できるものがあれば、サイバー犯罪者たちはそれを見つけます。  ルール2:Webサイトにループホールや弱点があれば、サイバー犯罪者たちはそれを見つけます。 高い評価を受けているBrian Krebs氏は最近の投稿で、Amazon.comがお客様を不正行為から守るための対策として多要素認証を導入したことを紹介しています。 Krebs氏が述べているように、この「多要素」認証、つまり2要素認証では、犯罪者は盗んだアカウントのユーザー名とパスワードを運よく見つけ出したとしても、「第2の」要素(携帯電話番号など)が分からなければAmazonのサイトに自由にアクセスすることはできません。 しかし、多要素認証を導入しているAmazonでは、各ユーザーとそのユーザーのデバイスは「記憶」されています。そのアカウントに関連づけられている認証情報を使用しようとすると、保存されている第2の「要素」(モバイル デバイスの電話番号、テキスト メッセージやSMSのメッセージなど)から正しいコードを入力するよう求めるプロンプトが自動的に表示されます。この「手順」(2要素認証など)を正しく完了することができなければ、Amazonでは偽のユーザーがショッピング カートに何かを入れることはできません。 不正行為を検出するためにオンライン ストアやその他のeコマース プロバイダーの間でさらに広く活用されているもう1つの方法として、Web行動分析があります。行動分析ソリューションでは、ユーザーの行動を解析し、そのWebサイトで大半の訪問者に見られる一般的な行動パターンにあてはまらない、疑わしいパターンを探します。たとえば、サイト内でページ間をどのように移動しているか、それは同時期の他の「通常の」ユーザー セッションと同様のものか、そのユーザーのページ移行、クリック数、ページごとのクリック頻度は通常見られるパターンと異なっているか、といったことです。 Web行動分析では、そうした差異を探し出し、それに解釈を加えて提示し、何らかのレベルの不正行為が行われようとしていることを実証できます。 最近のある投稿では、行動分析によってトランザクション レベルでの例外(たとえば、同一のIPアドレスを使用して数分間で同時に数百ものアカウントを開設するなど)を特定できるだけでなく、個々のカード不在(CNP)取り引きも特定できると述べられています。 たとえば、ある個人が1回のトランザクションで複数の片道航空チケットを購入する場合を考えてみましょう。これは何か異常なことのように思われるかもしれませんが、これだけで異常な兆候と判断することはできません。しかし、この個人が、さまざまな出発日、出発時間、航空会社のページを閲覧せずにほぼ瞬時にショッピング カートに移動してチェックアウトした場合には、そのような行動をさらに精査する必要があることはほぼ間違いありません。 行動分析ソリューションを活用して潜在的な脅威を特定できるシンプルなルールの一例を、以下にご紹介します。   メール変更後の不審なアクティビティ。特に、その変更が非常に短時間のうちに計画的に行われている場合は注意します。このような人は、以前にも同様のことを行っている可能性があります。   メールを更新して、同一のIPアドレスで複数のアカウントを開設する。     アカウント認証情報のチェック。犯罪者は別のサイトでパスワード情報を盗んだ後、ある時点で1つのIPアドレスを使って複数のログイン認証情報をチェックします(多くの場合、ほとんどのお客様は複数のサイトで同一のパスワードを使い回す傾向があるからです)。     複数のIPアドレス、特に地理的に分散した場所から同一のアカウントにアクセスする。     ITセキュリティに力を入れている今日のプロフェッショナルにとって、一般に多要素認証と行動分析はどちらも不正行為防止というパズル全体を構成する一部のピースにすぎません。  実際、自社サイトのユーザー エクスペリエンスを徹底的に理解し、脅威に対処できるようにサイトを調整して、複数のアクセス ポイントにたどり着くのを難しくしてはじめて、悪者にアクセス ポイント、つまりあなたの企業を悪用されにくくすることができるのです。  

サイバー犯罪におけるTorの役割

前回の投稿で、ディープWebのレイヤーについて考察し、匿名化テクノロジー(Torなど)が違法な闇市場をどのように助長しているかという概略を説明しました。  今回の投稿では、Torがどのように機能し、それによってインターネット上でどのように匿名性が実現されるのか、その概念を説明します。 Torとインターネットの匿名性の概要 インターネット上で匿名性が実現される仕組みを理解するためには、まず、インターネット上の一般的なアクティビティではIPアドレスによってIDが開示されるということを理解する必要があります。  たとえば、あるWebサイトに接続しようとする場合、私たちはそのサイトをホストしているサーバーに対して、コンテンツのリクエストを自分のIPアドレスとともに送信します。 すると、そのサーバーはそのIPアドレスをリターン アドレスに使用してコンテンツを返送します。  このアドレスによって、地理的な位置や接続を提供しているISPなど、私たちに関する何らかの情報が開示されることがあります。  またISPも、どのIPアドレスが誰に割り当てられているかというログを常に保持しています。  そのため、インターネットのトラフィックを監視する者(とりわけ、政府機関)は、大半のインターネット トラフィックに関わる当事者を簡単に特定できます。  一般的なネットサーフィンは匿名ではないのです。 では、どうすれば匿名になるのでしょうか? 匿名性を実現する1つの方法は、暗号化です。現在多くのサイトでは、ユーザー データやその他のコンテンツがインターネット内を移動するときに暗号化プロトコル、SSL(Secure Sockets Layer)を使用してそれらを保護しています。SSLは暗号化プロトコルの中で最も広く利用されています。 SSLを介して接続されていることを示すものの一例が、「https://」で始まるURLです。  これはオンライン ショッピングなどのアクティビティではすっかり定着しています。私たちは、クレジット カード番号など個人が特定される情報を保護したいと考えているからです。 しかし、暗号化すると転送されるコンテンツは隠せますが、通信やその通信に関わった当事者の記録は隠せません。  つまり、通信の内容はわからないが、いつ誰と通信したかはわかるということです。 二者間でインターネット通信が行われたことを隠すためには、一方の当事者が「中継」コンピューター、つまりプロキシ サーバーを使用すればよいのです。 たとえば、Ashleyはcnn.comにアクセスする必要があるが、アクセスしたことは隠したいという場合を考えてみましょう。 このような場合、Ashleyは自分のコンピューターからのリクエスト(cnn.comへのアクセス)をCNNサーバーに直接送信するのではなく、プロキシ サーバーに送信するように設定できます。 プロキシ サーバーは、このリクエストを受け取るとそれをCNNサーバーにリダイレクトしてサイトのコンテンツを取得し、そのコンテンツをAshleyに返送します。 このようにすることで、他者(彼女の雇用主、ISP、その他偶然ネットワーク トラフィックを監視していた者)は彼女がプロキシ サーバーに接続したことはわかっても、CNNに接続したことはわかりません。 このプロキシ サーバーのトラフィックが監視されていると、さまざまなユーザーからさまざまなWebサイトへ多くのリクエストがあったことは明らかになりますが、個々のユーザーが何をしていたか、具体的にはわかりません。ただし、調査担当者がプロキシ サーバーのログへのアクセス権を持っていれば、AshleyのIPアドレスと彼女がリクエストしたサイトのIPアドレスが突き止められる可能性はあります。 したがって、この例ではある程度の匿名性は実現されますが、完璧ではありません。 そこで登場するのがTorです。そして次のような疑問です。 Torとは何でしょうか?どのようにしてオンラインの匿名性を保持するのでしょうか? Torは「The Onion Router」の頭字語で、Web上の匿名性を促進する無料のプラットフォームです。Torを使用するとWebトラフィックの送信者と受信者の双方が匿名になります。このプラットフォームには次のような2つの独自機能があります。   すべてのWebサイトへのアクセスが匿名になり、誰がどのWebサイトを閲覧しているかを見極めることが不可能になります。   Torを使用せずにアクセスを試みるとブロックされるWebサイト(「秘匿サービス」)に、アクセスできます。     Torでは、いわゆるOnion Routingを使用してユーザーの匿名性を実現しています。Onion Routingはトラフィックを暗号化して、それを中継コンピューターのネットワークを介してランダムに転送します。  中継コンピューターはそれぞれ独自の暗号化レイヤーを使用し(これが「玉ねぎ」にたとえられる理由)、匿名性を確保します。 このシステムが機能する仕組みを説明するにあたって、まず、玉ねぎのたとえを何重にも重なった封筒に置き換えてみましょう。 あるクラスの学生であるDavidが、秘密のメモをJamesに渡したいとします。Davidは、誰がそのメモを渡したかをJamesも含め誰にもわからないようにする方法を考え出そうとします。 …

SBIC

RSAラボ

DDoSの取り締まりは恐喝の「交戦規則」を変えるか?

アカウントの乗っ取り、DDoS(分散型DoS)攻撃、ランサムウェア、個人や団体を標的としたあからさまなサイバー恐喝の蔓延は、ハッカーによる攻撃の激化というだけでなく、私たちの交戦規則に関しても問題を投げかけています。「悪人たちの規則は私たちと同じではない」という現実を踏まえて、私たちはこうした問題のすべてにどう対処していけばよいのでしょうか? 今回の考察で真っ先に思い浮かんだのは、最近、DDoSの「サイバー恐喝」グループであるDD4BCにかかわった容疑者たちが(ビットコインを標的としたDDoSで)逮捕された事件です。このサイバー集団は逮捕により打撃を受けたはずですが、次の日には新たなランサムウェアがクラウドへの攻撃を開始しました。つまり、こうした特定の個人が犯罪の場から排除されても、すぐに代わりが登場するということです。おそらくは(逮捕されるという)リスクを補って余りある(身代金という)報酬があるのでしょう。 ランサムウェアやそれに関連するオンライン犯罪にかかわる個人が入れ替わることは重大な問題ですが、もう1つ、それよりもずっと重大だと思うことがあります。Javelin Strategy & Researchで不正行為対策およびセキュリティ対策の責任者を務めるAl Pascual氏の考察は、そのことを示唆しています。Pascual氏は、今回の取り締まりによって、DDoS恐喝者が発見され、逮捕され、訴追を受ける可能性があることを彼らに明確に知らしめているものの、国家間の国際的な協力体制には不備がある(犯罪者引き渡し条約の不備など)と指摘しています。ランサムウェアのほとんどが警察当局の訴追範囲を超える一部の地域から発しているという状況の下で、こうした仮想世界での犯罪を食い止めることは現実的ではありません。 「旧来の戦い」と「不釣り合いな戦い」 Pascual氏も、先に触れた交戦規則について詳しく考察しています。 こうした「規則」は、戦争のような状況では遵守されることがあります(たとえば、関係国に対して拘束力のあるジュネーブ条約や、米国が戦闘地域における市民の死者を減らすために使用している「スマート」爆弾など)。しかし、DD4BCのような恐喝者を抑止しようとする場合、私たちがこうした犯罪者をどのように認識するのか、そしてどのように彼らと継続的に戦っていくのかという点が問題になります。 犯罪者に対する私の認識は(これは正確な認識だと思いますが)、彼らは私たちよりも行動が機敏であり、私たちのセキュリティ プロトコルよりも身軽に変化できる、というものです。理由は簡単で、彼らはいとも簡単に必要なツールを購入したり、情報を共有したりできるからです。どれだけ多くのセキュリティ対策を実施しようと(さまざまなパッチやウイルス対策アプリケーションを組み合わせて、あとは神頼み)、サイバー恐喝者は、地理的や境界や政治的な境界、企業のポリシー、政府の規制に縛られることはありません。 彼らには、初めて組織を立ち上げ、初めて私たちに対してDDoS攻撃を仕掛けてきたときから掲げている交戦規則があります。その規則に従って、彼らは、サイバー犯罪の地下組織や、闇のWebや、ソーシャル メディアを通じて互いに共謀し結託しています。その一方で、企業団体も政府機関も、その多くが情報の共有に頼らざるを得ない状況ですが、そうした情報では、今日私たちを(ゼロデイ攻撃などで)攻撃している悪人たちに十分対処できるだけの必要なデータやインサイトが、容易に得られるとは限らないか、場合によってはまったく得られず、頻度や激しさがますます高まっているDDoS攻撃にはほとんど対処できていません。 言い換えると、私たちが従来こうした脅威に対抗するために頼ってきた既存の「プレイブック」は、もう時代遅れであるか、または間もなく時代遅れになる、ということです。 情報共有の価値 では、これからどのようにして、これらの脅威と戦えばいいのでしょうか? 今後逮捕者が増えることは引き続き期待できますし、企業どうしが足並みを揃えて、自社のデータの身代金を払わないという統一的なポリシーを策定することもできます。しかしその一方で、世界的な規模で、あらゆる業界にわたって、一貫性のある詳細な情報共有が必要だという声も多く聞かれます。セキュリティ ホールのすべてに対策を施し、長期的な整合性を保つためには、そうした情報のギャップを埋めることが唯一の確実な手段になります。 ずっと以前から、インターネットによってファイアウォールや境界や規制が取り払われてきていることは疑う余地がありません。私たちはこれまで、自ら依存し信頼してきた組織や機関において私たち自身の安全とセキュリティを保つために、さまざまなセキュリティ措置を講じてきましたが、そうしたものすらインターネットによって取り払われてきています。だからといって、ここで白旗を揚げてサイバー恐喝やDDoS攻撃にリソースを費やし続けなければならない、というわけではありません。そうではなく、ビジネスの継続と保護に必要な情報を集めるために、国際的な業界組織やセキュリティ専門家と連携を図るという決意を固めることが必要なのです。 善い行為であれ悪い行為であれ、行為の原動力となるものは、その行為によってもたらされる結果です。現実の結果が伴わなければ、交戦規則は決して変わりません。 RSAの不正行為やリスクに関する情報の詳細については、次をフォローしてください。@RSAFraud

一石二鳥のセキュリティ:高速で堅牢な新しいコーディング スキーム

今日のデジタル世界には膨大な量の重要なデータが存在します。これらのデータは、伝送中か保存中かに関係なく、予期しないデータ損失やデータ破損が発生しても、安全に利用できるようにする必要があります。ECC(エラー訂正コード)は、低信頼性のネットワークやメディア上で高信頼性のデータ伝送やデータ保存を実現するうえで重要なツールであり、デジタル メディア ブロードキャスト、セルラー ネットワーク、衛星通信から、ハイエンドのRAM、DVD、ディスク、クラウド ストレージに至るまで、実際に幅広く使用されています。 ECCでは、冗長性を付加してデータをエンコードします。データは記号に分割されたメッセージと見なされ、その記号が各種のコード記号に変換されます(多くの場合、追加の記号をメッセージに付加するだけです)。コード記号の一部が変更または削除されても、通常は、それらをデコードして元のメッセージを復元するのに十分な情報が残ります。ほとんどのECCは少数のランダムなエラーから保護できるように設計されていますが、ECCの重要な応用例の中には、甚大な損害を引き起こすように特別に的を絞ったエラーを攻撃者が添加できるものもあります。 こうした敵対的なデータ破損から保護することを目的とした既知のECC(リード ソロモン コードなど)のほとんどは、計算コストが高く、大規模なデコード処理が必要になります。噴水コード(LTコード[1]やRaptorコード[2]など)は、その対極にあるECCです。これらのECCは、新しいコード記号から成る潜在的に無制限のストリームをオン デマンドで生成し、記号が利用可能になったときにデコードすることにより、極めて効率的なメッセージのエンコーディングおよび復元を実現します。RaptorコードはIETFによって標準化(RFC 5053および6330)された最先端の噴水コードで、マルチメディア サービス(MBMS、DVB-H、IP-TVなど)のストリーミング メディアや衛星通信といった幅広い応用分野をサポートするために他の標準でも採用されています。 しかし、このように効率性に優れている反面、品質上の制限があります。設計上、LTコードおよびRaptorコードが確実に動作できるのは、コード記号が偶然に失われたと考えられるランダムな消失が発生した場合だけです。これらのECCは、この穏やかな使用上の設定から逸脱するとすぐに、デコードを確実に行うことができなくなります。的を絞って記号を消去するだけで、デコードの失敗や遅延発生の可能性が高まることもあります。これは、攻撃者がコード構造の弱点を利用することで、メッセージの復元を最大限に妨げるように消去する記号を選択できるためです。 実際、的を絞った消去は簡単に実行できます。たとえば、セキュリティ侵害を受けたルーターが通過する記号を選択的に消去するような場合です。最近、Lopes氏とNeves氏[3]がTFTPアプリケーションに対する攻撃のデモンストレーションを行いました(標準化されたRaptorコードでエンコードしたファイルをTFTPアプリケーションで転送)。彼らは、コードの弱点を利用して、その構造を完全に予測し、最も有害な消去パターンを事前に計算しました。驚くべきことに、消去された記号はデータに依存せず、ほとんどの場合、その構成にはごくわずかなコード記号しか含まれていません。しかも、ほぼ必ず、メッセージは復元できなくなります。攻撃は回線速度で実行可能であり、ごくわずかな記号しか消去されないため、攻撃を検出するのは極めて困難です。しかも、エンコーディングが認証または暗号化されている場合(つまり、TFTPがIPsec/ESP上で実行されている場合)でも、ファイル転送を効果的に妨害することができます。 RSAは最近、上記の問題の解決策を見つけました。共同研究者であるAri Juels氏、James Kelley氏、Roberto Tamassia氏との共同作業において、実用的な効率性と、的を絞ったエラーに対する強力な耐性の両方を備えた、暗号で強化されたコーディング スキームを開発できることを示したのです。Falconコード[4]と呼ばれるRSAのソリューションは、LTコードに基づく認証型のECCに分類され、効率性と消失に対する耐性の両方に優れた品質を実現します。Falconコードはほぼすべてのケースにおいて、標準的なLTコードの主な機能を維持しながら、敵対的な記号破損を訂正することができます。つまり、十分な量の記号が破損せずに残っている限り、コード記号の「噴水」をすばやく生成し、メッセージを迅速に復元できるのです。 この新しい設計は、LTコードを2つの基本的な方法(秘密鍵の使用およびコード構造の保護)で強化します。秘密鍵は、データのエンコーディングとメッセージの復元に使用されます。また、強力な擬似乱数生成器(エンコーディングをランダム化し、予測できないようにする)、オプションの安全な暗号(記号を暗号化し、漏洩を防止する)、偽造不可能なMAC(記号を認証し、エラーの伝播を防止する)の単純な組み合わせにより、コード構造が完全に保護されます。この新しいエンコーディングをデータ ストライピングと注意深く組み合わせると、大きなサイズのメッセージ(たとえば数GB)を処理できる拡張性に優れたバリエーションを作成できます。Falconコードは、核となるLTコーディング レベルにおいて暗号を適切に使用することにより、Raptorコードを安全に拡張しつつ、高効率性(300 MB/秒のスループット速度など)を実現できます。Falconコードは便宜上、通信チャネル(SSHまたはIPsecによるトンネリングなど)によって実現されるセキュリティを利用して、必要なオーバーヘッドをさらに制限することもできます。 悪意のある限定的な破損が存在する場合でもメッセージの迅速な復元を保証する、包括的かつ高速なオンザフライのコード記号生成は、多くの実践的なシナリオにおいてFalconコードの価値を高める魅力的な特性です。Falconコードは、LT/Raptorコードよりもはるかに強力なセキュリティを実現できるうえ、わずかなオーバーヘッドしか発生しないため、優れた実用性を継続的に提供できます。特に、Falconコードは、Lopes氏とNeves氏が行った的を絞った消去攻撃に対して、実証可能な方法でRaptorコードを強化することができます。さらに、リード ソロモン コードなどの攻撃耐性の高い既存のコードに匹敵するセキュリティだけでなく、優れた効率性も提供します。特に、クラウド ストレージのセキュリティ プロトコルで使用される、カスタム設計されたコード(Shi氏など[5])の一時的な代用品として使用する場合、Falconコードによって35%高速化できます。このような設計により、Falconコードはセキュリティと効率性の両方を強化することができます。 [1] M. Luby:「LT Codes」、IEEE Symposium on Foundations of Computer Science 2002:271ページ [2] A. Shokrollahi:「Raptor codes」、IEEE Transactions on Information Theory 52(6):2551~2567ページ、2006年 [3] J. Lopes、N. Neves:「Stopping a Rapid…

オンラインのE-コマース トランザクションはEMVによって安全になるか

それでは、この疑問をすぐに片づけてしまいましょう。EMV、つまりチップが組み込まれたスワイプ不要のクレジット カードは、(利用者本人が直接関係する)クレジット カード詐欺に対する強固な防御手段です。  しかし、カード不使用のE-コマース トランザクション(オンラインE-コマースなど)では、EMVは関係なく、サイバーセキュリティの脅威が急増し続けています。このような場合、実店舗と同じように安全で便利な操作性をサイバー世界のお客様にも提供する必要はないのでしょうか。 当然のことながら、対面で不正行為を働くチャンスが減少するにつれて、オンラインの不正行為は大幅に増加するであろうと予想されています。実際、Javelin Strategy and Researchが作成したデータによると、カード不使用の不正行為は2018年までにPOSでのカード詐欺の約4倍になり、オンラインでの損失額はなんと190億ドルを超えると予測されています。 Aite GroupがRSAのために行ったこの調査では、カード不使用の環境を保護するために加盟店とカード発行会社が利用できるソリューションは多岐にわたっており、階層型アプローチによって個々の防御策に対応できることがわかりました。 カード発行会社向け:   カード不使用トランザクションのリスク ベース認証に投資する。カード不使用の不正行為は、もはや加盟店だけの問題ではありません。米国において3Dセキュアの採用が増加していることや、カード会員の一貫した操作性を保証しなければならないという競争上の圧力のおかげで、カード不使用の効果的なリスク評価は共通の責務となっています。カード発行会社は、不正行為の結果として生じる不利益とともに、3Dセキュア トランザクションの量も増えていくことを認識するでしょう。リスク ベース認証は、カード発行会社がお客様の操作性に与える影響を最小限に抑え、低い誤検出率でトランザクション リスクを適切に評価するのに役立ちます。   トークナイゼーションを採用する。加盟店のデータ侵害はなくなりません。安全なカード環境を作成する最善の方法は、加盟店のシステムから機密データを排除することです。これにより、避けることができない侵害が発生しても、カード会員は守られます。   加盟店向け:   行動分析に投資する。オンラインおよびモバイル チャネル内での行動分析は、エンド ユーザーに対して透過的であり、差し迫った攻撃や進行中の攻撃を示唆するパターンを検出できる優れた方法です。   不正行為スコアリング システムを活用する。オンライン セールスで役立つこのツールは、特に各セールスを「評価」して、そのリスク レベルを判断するために導入できます。メトリックとデータ ポイントを融合させて、IPフィルタリング、地理的な場所、プロキシ検出、セールスの閾値などを取り入れた不正行為スコアリング ツールは、高リスクで、多くの場合不正なセールスを特定、回避するのに役立ちます。     トークナイゼーションを採用する。現在の脅威環境を考慮すると、遅かれ早かれ悪者がシステムに侵入することを想定する必要があります。新聞記事に載るような重大ニュースに巻き込まれないための最善の方法は、悪者がシステムに侵入したとしても、貴重なデータを入手できないようにすることです。     3DS 2.0の採用を計画する。静的なパスワードの完全な全廃に向けた業界の「潮流」は2016年も続いており、従来の3DS標準は近い将来に「3DS 2.0」になります。業界の主要なステークホルダーと共同で開発されている2.0バージョンでは、高度でインテリジェントなリスク ベース認証を利用した、より円滑なユーザー エクスペリエンスに対する要件が取り入れられる予定です。   結局のところ、操作性とセキュリティの間にはトレードオフの関係があります。 セキュリティとエンド ユーザーの利便性のバランスをとり、リスクに勝る見返りを保証することは個々の判断です。また、オンラインで買い物をするか、あるいは実際の店舗で小売りの取引を行うかを選択する場合も同様です。どちらのチャネルを利用するお客様も保護したい企業にとって、今日のテクノロジーは、お客様のオンラインまたは実店舗でのトランザクションの安全性を保証できるだけでなく、お客様を維持してさらなるセールスにつなげていくのに十分な利便性と信頼性を提供します。 RSAの不正行為およびリスク インテリジェンス ソリューションの詳細については、@RSAFraudをフォローしてください。

モバイル アプリのダウンロードに見せかけたトロイの木馬に注意

RSAでは、オンライン バンキング アプリケーションのエンド ユーザーを標的とする新しいマルウェア攻撃を認識しています。この攻撃を受けると、被害者の口座から振り込みが不正に行われる可能性があります。この攻撃には、信頼性をアピールするべくRSA SecurIDのブランドを「装った」、AndroidベースのSMS(ショート メッセージ サービス)ハイジャック アプリが使用されています。この攻撃の標的は、Androidベースのモバイル デバイスの所有者のみです。これまでのところ、Appleデバイスは影響を受けていません。攻撃は次のように実行されます。 トロイの木馬マルウェアが被害者のデバイスに展開されます。 その後、被害者がOTP(ワンタイム パスワード)を使用して送金を認証するオンライン バンキング アプリケーションに接続すると、トロイの木馬により偽のRSA SecurIDアプリをダウンロードするように推奨されます。このアプリは、実際にはRSA SecurIDのブランドを「装った」AndroidベースのSMSハイジャック アプリです。 トロイの木馬は、Androidモバイル デバイスの電話番号の入力を被害者に求め、偽のRSA SecurIDアプリをダウンロードする(公式のGoogle Playストア以外のサイトから)ためのリンクを含むSMSテキストを、被害者のデバイスに送信します。 被害者が偽のアプリをダウンロードしてインストールすると、攻撃者はエンド ユーザーの口座から不正に金を引き出し始めます。 オンライン バンキング アプリケーションから、SMSテキストとOTPがユーザーのモバイル デバイスに送信されるとき、テキストはマルウェアによってインターセプトされるため、ユーザーにはまったく見えません。 その後、攻撃者は収集したOTPをアプリケーションに入力し、不正な取引を実行します。 アプリのセキュリティと信頼性を確保するため、RSAでは、デバイス プラットフォーム向けの公式アプリ ストアでのみ、RSAモバイル アプリをダウンロードできるよう制限しています。この点によくご留意ください。つまり、上記のような場合、アプリがGoogle Playストア以外のサイトからダウンロードされるということが、そのアプリが本物でないことを明確に示しています。RSAのAFCC(不正対策指令センター)は、偽のRSAモバイル アプリ ダウンロード サイトを厳重に見張ってシャットダウンしており、この新しいマルウェア攻撃にも対処しています。 この攻撃方法は、決して目新しいものではなく、RSAのお客様以外にも被害が及ぶ可能性があります。しかし、優れたサイバー セキュリティ予防策があれば、複数のポイントで防御することができます。RSAのお客様(およびそのお客様)は、次の方法で効果的に防御することができます。 デバイス プラットフォームの公式ストア(Google Play、Apple App Storeなど)以外のサイトからRSAモバイル アプリを絶対にダウンロードしない。 ソーシャル エンジニアリング ベースの攻撃に注意する。この場合、マルウェアによりモバイル デバイスの電話番号の入力がエンド ユーザーに求められますが、この情報はほとんどの場合銀行がすでに持っています。 RSA ECATなどの強力なマルウェア対策検出および緩和ソリューションや、トロイの木馬攻撃による損害の可能性を下げる企業デバイス向けの商用ソリューションを活用する。 マルウェア対策/AVソフトウェアを最新の状態に保ち、ファイアウォールを有効にし、デバイスをroot化しないようにする。 この投稿は、SecurID/Viaのプリンシパル プロダクト マネージャー、Kenn…

ブラウザーがロックされた?この番号へ電話してください。

最近、新しい形のブラウザー ロッカーが姿を現しています。ブラウザー ロッカーは、ブラウザーをロックするウェブサイトへ、ブラウザーをリダイレクトするウェブサイトやポップアップです。ユーザーは、問題を起こしているブラウザー ウィンドウのクローズや新規ページのオープン、アプリケーション自体のクローズといった通常の操作を、その後一切できなくなります。 この新しいブラウザー ロッカーは、図1のとおりMicrosoft公式サポートと自称しています。もちろん、このページはMicrosoftとは何の関係もなく、Microsoftが承認したものでもありません。 図1: 偽のMicrosoft公式サポート ブラウザー ロッカー このブログで取り上げたようなランサムウェアとしての役割も果たす、より一般的なブラウザー ロッカーとは異なり、この新しい形式のブラウザー ロッカーは、サポートの番号へ電話するようユーザーに求めます。 このブラウザー ロッカー ウィンドウがポップアップすると、まず図2および図3のような「Your Windows(Microsoft) Computer has been blocked(お使いのWindows(Microsoft)コンピューターはブロックされました)」というメッセージがユーザーに表示されます。 図2: Internet Explorerに表示されるブロック メッセージ 図3: Firefoxに表示されるブロック メッセージ よく見ると、このブロック メッセージには、図4のとおり次のようなメッセージが含まれています。 図4: ブロック メッセージ全文 ポップアップ メッセージの他にも、ブラウザー ロッカーは音声メッセージの再生を無限に繰り返します。以下は、音声メッセージを転記したものです。 「Important security message.(重要なセキュリティ メッセージです。)Please call the number provided as soon as possible.(できるだけ早く指定の番号に電話してください。)You will be guided for the removal of…

GlassRATを覗き込む

本日、RSAはGlassRATについて報告します。これは、以前は検出できなかったRAT(リモート アクセス ツール)ですが、RSAインシデント対応チームが発見しれ、多国籍企業との関わりのなかで、RSA Researchが調査を行いました。このマルウェアは、エンドポイント ウイルス対策製品では検出できませんでしたが、RSA Security Analyticsはそのネットワーク トラフィックを特定し、警告できました。その後、RSA ECATが、このマルウェアを特定しました。 このツールが標的をかなり絞ったキャンペーンの一部として使用されており、商業組織の中国国民に焦点を合わせていることを、さまざまな証拠が示しています。 GlassRATのコマンドおよびコントロール ストラクチャは、もともと2012年に報告されたマルウェア(太平洋地域の政府組織と軍事組織を標的としていました)に関連するキャンペーンで特定されたC2と少し重複することを示しています。 重複の正確な理由はまだ不明です。GlassRATが2012年後半にコンパイルされたと思われる点は注目に値します。これは、関連するマルウェアが公に報告されるようになったのと同じ期間です。攻撃の実行者はよく、RATなどの下位レベル ツールが検出されるようになると、それだけを単純に置き換えます。戦術、処理手順、インフラストラクチャや、標的そのものすら変更しません。ただし、このケースでは、事実は異なることを示唆しています。標的は量(多いか少ないか)の点でも特性(地政学的か商業的な)でも似ていません。さらに、C2の重複があった期間は比較的短かったため、これは重複が誤って生じ、運用上のセキュリティが短期間低下した可能性を示唆しています。インフラストラクチャと開発者を共有しているかなり大きな組織の下部部門がこれらのキャンペーンを実施している可能性があります。 RSA Security AnalyticsやRSA ECATなどの検出および対応ツールは、ハッカーのツールを簡単に検出できない状況で大きな価値がありますが、脅威の実行者によるセキュリティ侵害が自分の組織を標的としていることを示す証拠(この場合はドメインとIPアドレス)がある場合にも価値があります。 RSA ResearchのKent Backmanが作成した添付のレポートには、GlassRATの詳細と分析(そのC2と、以前のキャンペーンとの重複)が示されています。付録には、C2インフラストラクチャ、重複するC2を図示したもの、マルウェア ハッシュ、GlassRAT Yaraシグネチャの詳しい説明があります。

隠された罠(パート2):ブラウザーをロックさせるランサム ページの解決

元の「隠された罠」ブログでは、攻撃者のありふれた風景の中に潜む能力について説明しました。このアプローチを活用して非常に大きな成功を収めたキャンペーンとして偽装FBIランサム ページが挙げられます。これは、FBIの所有物であることをうたいながら、被害者からお金をゆすり取ろうとする不正なWebサイトです。 図1: 偽装FBI Webサイト このサイトは、ブラウザーがロックしたように見せかけることにより、システムがロックしていてブラウザーのロックを解除するには身代金を支払うしかないとユーザーに思い込ませます。上で紹介した前の記事では、このサイトの仕組みについて説明しています。 このタイプの攻撃は最近大きな成功を収めたため、同じ考え方の新しいバリエーションのサイトが次々と見つかっています。いくつかの国の法務機関を装ったローカライズ版の攻撃さえあります。ただし、検出を逃れるために使用される基盤テクノロジーは一貫しています。従来のAVおよび静的スキャン テクノロジーでは、これらのページはブロックされません。ブラウザーをロックするための基になるコードは、実際には悪質なコードではないからです。ただし、不正に適用すれば悪質な使い方ができることは確かです。 この場合、使用されているコードは150回ループするループ文です。つまり、ユーザーがクリックを150回繰り返せば、ブラウザーのロックが解除されます。しかし、ユーザーはこのことを知るすべがなく、おそらくは屈服してしまいます。また、攻撃者が回数を150回から150,000回に増やすことを防ぐ手段もありません。 良いニュースがあります。第一に、この問題は、実際にはほぼすべてのユーザーが複雑なセキュリティ ツールを入手または使用することなく解決できます。次の4つのステップ(詳細は以下で説明します)を実行すると、ブラウザーのロックが解除されます。 プロセスを強制終了する 履歴をすべてクリアし、ブラウザーをリセットする 「クラッシュからの復元」設定を変更する ブラウザーを更新する ブラウザー プロセスを強制終了する手順は、ハングしたプログラムを強制終了する場合と同じです。Windowsの場合は、Ctrl-Alt-Delを押し、ブラウザー プロセスを見つけて終了します。Macの場合は、Apple アイコン | [強制終了]をクリックし、ブラウザー アプリケーションを選択して終了します。これにより、ロックされたブラウザーが強制終了されます。 攻撃者は、これがほとんどのユーザーが最初に試みる対策であることを知っています。そのため、偽装Webサイトがブラウザー プロセスの終了後も存続するようにしています。通常は、ブラウザーを再度開くと、偽装FBI Webサイトが再び表示されます。攻撃者は持続性を組み込んでいるのです。 2番目のステップは、履歴をすべてクリアし、ブラウザーをリセットすることです。こうすることで、問題を部分的に解決できます。これを達成するにはさまざまな方法があります。どの方法を使用するかは、お使いのブラウザーによって異なります。図2は、MacでSafariをリセットする手順を示しています。図3は、WindowsでFirefoxの履歴をクリアする手順を示しています。 図2: Safariのリセット 図3: Firefoxの履歴のクリア 言うまでもなく、問題はまだ完全には解決されていません。「クラッシュからの復元」設定も変更する必要があります。プロセスの強制終了または終了は、アプリケーションまたはプログラムによってクラッシュ条件とみなされます。プログラム(この場合はブラウザー)がクラッシュからのリカバリー後に最後のセッションを表示するように設定されている場合は、ブラウザーを開くと偽装FBI Webサイトが再び表示されます。これを防ぐには、すべてのブラウザーがクラッシュからのリカバリー後に新しいセッションを開くか、ホーム ページに直接移動するように設定します。一部のブラウザーでは、ページに直接移動する代わりに最後のセッションを開くように選択できます。Safariの場合は、図4に示すように、「最後のセッションのすべてのウィンドウ」ではなく「新しいウィンドウ」を開くように設定します。この設定は、Safari | [環境設定]の[一般]タブにあります。 図4: Safariの「クラッシュからの復元」 最初の3つのステップはある程度の労力を必要としますが、追加のツールを使用せずに偽装Webサイトの問題を解決できます。ブラウザーの製造元は、偽装ランサムWebサイトの問題を認識しており、ありふれた風景に隠れているこのロック メカニズムの悪用を制限するための対策を講じています。ダイアログ ボックスを閉じるために操作を150回繰り返さなくても済むように、一部のブラウザー ベンダーは、「OK」をクリックしたときにメッセージ ウィンドウを閉じるかどうかをユーザーに尋ねるシンプルなチェック ボックスを導入しています。これは偽装ランサム サイトを阻止するのにかなり役立ちました。 したがって、ブラウザーの更新(プロセスの4番目のステップ)は非常に重要です。問題の再発を防止できるようになる可能性があるだけでなく、最新の機能やセキュリティ対策がすべて手に入ります。お使いのプラグインとの互換性の問題が発生する可能性もありますが、これはまた別の問題です。

入力ミスのコストは?~タイポスクワッティングの狙いと対策

セキュリティ製品は、企業、ベンダー、エンド ユーザーが現在のネットワーク環境を生き抜くために必要不可欠です。どのセキュリティ製品を導入すべきかは、コストとメリットに基づいて決めるのが理想的です。コストは、費やす金額や導入・管理作業によって容易に定量化できますが、セキュリティ製品のメリットを評価する方法については、確定的なものがありません。多くの場合、メリットは、検出されたバグや駆除されたマルウェア、ブロックされたスパムや判明した認証情報の盗難の数によって定量化されています。これらはすべて意味のある指標ですが、これらを使用して、人々の日常生活にもたらす直接的なインパクトについて結論を出すことはできません。 たとえば、クレジット カードの盗難を例にとりましょう。クレジット カードの盗難は金銭的損失につながる可能性がありますが、損害はそれだけではありません。ユーザーは、カード番号の変更や新しいカードの申請のために貴重な時間を失います。実際のところ、サイバー犯罪の成功率は低いと思われることから、時間のロスは、実際の金銭的損失よりも一般的です。 ユーザーの被害の程度を把握するには、サイバー犯罪による時間のロスを測定できる適切な指標が必要です。私たちは、イリノイ大学シカゴ校の研究者と協力し、この目標に向けて第一歩を踏み出しました[1]。特に、私たちの研究では、一般的かつ軽微なタイプのサイバー犯罪である、タイポスクワッティングのコストを測定することに焦点を置きました。 タイポスクワッティングとは、サイバー犯罪者が既存のWebサイトのドメイン名と類似するドメイン名(google.comを真似たgoodle.comなど)を登録することで、入力ミスしたドメイン名にトラフィックの流れを集めようとする攻撃です。タイポスクワッティングは、マルウェア感染のような暴力的な形態のサイバー犯罪に誘導するための一般的な手段とは考えられていません。過去の調査によると、入力ミスしたドメインを訪問した際にマルウェアに遭遇する可能性は、Alexaの上位100万サイトの正規のドメインに訪問した場合と比べて、さらに低いことが分かっています[2]。とはいえ、その害を見過ごすべきではありません。ユーザーは、目的とするサイトへのリダイレクトを待つ際や、入力ミスを修正する際に時間を無駄にします。さらに、ブランド所有者は、自社の正当なユーザーのトラフィックを失います。このことが、防御のための登録や、入力ミスを自動修正するブラウザ プラグインといったタイポスクワッティング対策製品への投資につながります。 私たちの研究では、こうした投資のメリットを定量化するために、タイポスクワッティングに起因してユーザーが失う時間とブランド所有者が失うトラフィックを測定することにしました。私たちは、310万個のソースIPからのWebトラフィックを分析するとともに、最新の条件付き確立モデルを活用して自然発生的な入力ミスを特定し、ユーザーが目的のWebサイトに辿り着くまでに要する時間を測定しました。 その結果は意外なものでした。タイポスクワッティングによって、典型的なユーザーが無駄にする時間は、ブラウザのエラー ページが表示された場合と比べて、タイポスクワッティング イベント1件当たり1.3秒にすぎませんでした。入力ミスのドメインからのレスポンスが向上しているためと思われますが、多くのタイポスクワッターは、入力ミスと修正の間のレーテンシーを実際に改善しています。ブランド所有者の場合、自社の正当なサイトは、入力ミスが登録されていない場合と比べ、入力ミスしたトラフィックの約5%を失います。負の外部性の比率(ブランド所有者の金銭的損失に対するサイバー犯罪者の収益の比率)は18:1であり、スパムの場合(100:1)と比べてはかるに低くなっています[3]。これらの結果から、タイポスクワッティングの被害は、ユーザーとブランド保有者の双方にとってまだそれほど大きなものではなく、タイポスクワッティング対策製品への投資は慎重になるべきであることが分かります。 [1]Mohammad Taha Khan、Xiang Huo、Zhou Li、Chris Kanich、「Every Second Counts:Quantifying the Negative Externalities of Cybercrime via Typosquatting(1秒1秒に価値がある:タイポスクワッティングによるサイバー犯罪の負の外部性を定量化する)」、IEEE Security & Privacy、2015年。 [2]Janos Szurdi、Balazs Kocso、Gabor Cseh、Jonathan Spring、Mark Felegyhazi、Chris Kanich、「The Long“Taile” of Typosquatting Domain Names(ドメイン名のタイポスクワッティングのロング テール)」、USENIX Security Symposium、2014年。 [3]Justin M. RaoとDavid H. Reiley、「スパムの経済学」、The Journal of Economic Perspectives、2012年。