セキュリティ問題の深刻化 (GoogleがIntelなどのCPU脆弱性指摘)

2018年1月3日、GoogleがIntel、AMD、アームなど広範なCPUに脆弱性があると発表し、主要メディアが一斉にセキュリティ・リスクを報道しました。1月4日以降に日経ITProなどは、Googleの発表内容や該当チップベンダーのコメントなどを技術的に報道しています。一般紙やTVでは、4日に殆どのコンピューターがセキュリティ・リスクに直面しているとの報道をしただけです。

Googleによれば、一般的に採用されている投機的実行という処理ロジックの分岐を先読みして実行する機能を悪用すれば、アクセスできない筈のメモリーを読み取れる可能性があるということです。Intel社などはGoogleの発表以前からこの脆弱性を認識しており、「他のチップベンダーやOSベンダーと協力して対応を進めている。また、この脆弱性によってデータを窃取できる可能性はあるが、破損、改ざん、削除はできない。」と声明を出しました。

Gooleが今回、公表したことに対して賛否が分かれています。売名行為だとか、大勢の人々に不安を与えるだけだとする意見もあります。一方で、リスクの存在は明らかであり、多くの関連ベンダーが認識する脆弱性であれば、犯罪者集団も知っており、少しでも早く対応を行なう必要があるという意見です。まさに、危機管理の初動段階におけるジレンマといえます。筆者は、今回の公表は良いことだと思っています。我々は自分が見たくない、聞きたくないことには、無意識に鈍感となります。時々は、「100%安全はないのですよ、万一への備えは欠かさないことが重要ですよ。」とリマインドさせてくれることはとても重要です。

昨年の10月から筆者のところにも頻繁に楽天カードや三菱UFJ信託銀などを騙ったメールが届きました。いずれも取引がないか、あってもメールアドレスを教えてない会社なので、開封せずに削除したのですが、余りにしつこく送信されてくるので、セキュリティ企業はなぜフィルタリングしてブロックしないのかと疑問に思っていました。聞くところでは発信者を変更しながら送信するので、ブロックしきれないとのことでした。ボットネットを使っているのです。

12月11日に警察庁はDreamBotの被害が急増していると警告を発しました。DreamBotはIBを狙ったウィルスで感染すると入力したIDやPWを窃取し、偽画面から正規のOTPを入力させて不正送金する遠隔操作機能もあるそうです。名を騙る銀行には、みずほ、三井住友、スルガ、ゆうちょ銀行などもあり、10月以降は月70件のペースで被害が発生しているとのことです。被害者の大半は、セキュリティソフトを導入していない、更新してないなどセキュリティ対策が不備の人だそうです。銀行としても、利用者に警戒を呼び掛け、セキュリティ対策を着実に実施するように求めるしか対策はありません。無料でセキュリティソフトを配布するといっても応じてくれません。結局は、こうした顧客の利用は停止するか、第三者機関のセキュリティ・システム経由でないとアクセスを認めないようにするしか手の打ちようがないのでしょう。

金融庁は10月に第2回横断的サイバーセキュリティ演習を実施しました。対応が遅れていると思われる中小金融機関を中心とした演習でしたが、参加社数は期待ほど増えず50数社にとどまり、対応不備も多かったようです。参加すらしない金融機関は一体どういう状態にあるのか。金融庁は、セキュリティ対策の実施状況を把握して対策強化を強力に指導する方針です。総務省も企業に対してセキュリティ基本方針の公表を始めとして利用者と協力した対策強化を推進しようとしています。中央官庁や国防関連企業、ハイテク企業などへのサイバー攻撃は手法が多様化高度化しつつ、頻度は増す一方です。アカマイの調査では、ECサイトへのアクセスの7割がBotから発信されるなりすましだそうです。最近はBotに関する報道を余りみなくなりましたが、大半の個人用PCがBotに汚染されている状況が続いています。犯罪者は、いつでもこうしたBotNetworkを悪用できると考えるべきです。事実、他人のPCを使ってビットコインのマイニングを行なえるツールを闇市場で入手して、稼いでいる集団もあるそうです。銀行は、こうした状況を知らないのでしょう。そこで、行政当局の危機感と大きなギャップを生じているようです。

多くは、うちのような小さな金融機関を狙うハッカーはいないだろう、ベンダーのネットバンキングを共同利用しており、そのベンダーがプロなのだからきちんと対応している筈ということのようです。オオカミに狙われた羊の群れで、一頭が捕まると他の羊は、自分はもう安全だと草を食べ続ける風景を思い起こします。サイバー攻撃は、食物連鎖の捕食と違って、手あたり次第に一斉攻撃するということを理解していません。確かに、ITベンダーなどの言いなりになって法外な対策コストをかけるより、インシデントに見舞われた際には、即座にサービスを停止して、被害者の損害を補償した方が確実で安いかもしれませんが。

昨年12月20日にJALがBEC(Business E-mail Compromise:ビジネスメール詐欺)で3.8億円を詐取されたと発表しました。NHKのニュースでも報道されましたから、金融関連の皆さんも知っています。この話題になっても自分のことと考える人はいません。これこれの手口を貴方は確実に見破れますかと聞いても、自分にそんなシチュエーションはないという反応です。日本は安全よりも安心が蔓延した国だと痛感します。

北朝鮮が国連の制裁を受けて、新たな資金源としてサイバー攻撃を拡大しているとの観測があります。特に韓国が狙われています。仮想通貨取引所が被害にあって、小規模な取引所ですが破産する事態すら起きています。仮想通貨で支払えとランサムウェア攻撃も増えており、仮想通貨取引所に緊急で口座開設を依頼する企業もあるという話もあります。BOTでIDやPWを盗むウィルスを配布し、その時にはMailsploitを悪用して送信元を偽装し、AIを装備したウィルスで対象者を常時監視して、ベストなタイミングでBECを送り込む、詐取した資金は仮想通貨で引き出すという、サイバー犯罪者には、やりたい放題のインフラが揃ってしまったようです。

昨年末には大手セキュリティ会社がこぞって2018年セキュリティ脅威予測を発表しました。上記のような攻撃の他に、サプライチェーン攻撃、IoTを経由したDDos攻撃、自己学習型ボットネット、ファイルレス・マルウェア、モバイルマルウェア高度化、金融機関狙いのトロイの木馬攻撃などがあげられていました。狙われたら避けようがないのも事実ですが、事前に防御体制を敷いておくことがインシデント発生時の迅速な対応にもなります。ネットバンキングを共同でアウトソーシングしているとしても、サービス提供者としての銀行の責任に変わりはありません。むしろ、自社のリスクに応じたガードができないというハンディキャップをどう補完するかという難しい課題が浮かび上がります。オープンAPI化の結果、IBシステムを無くすという構想が拡がっています。ネットワーク・サービスがミニマム・スタンダードのサービスを越えることになり、攻めのサイバーセキュリティが必要な時代となります。

                                (2018年1月9日 島田 直貴)