【DEFCON22レポート（３）】やはりIoTは要注意

IoT(Internet of Things）が大流行なのですが、もしかしたら、これがInternet of Threatsになるかもしれないなどと思わせる話が多かったのも今回のDEFCONでした。

個別の事例がいくつか・・・。たとえば、米英で、信号機制御を行う交通システムに使われている車両検知センサの無線通信の問題とか。

このシステムでは、交差点での交通量をみながら、信号機のタイミングを制御するために、道路に埋め込まれた磁気センサで車を検知するのですが、その情報を無線で信号機周辺にあるアクセスポイントに送信しています。また、アクセスポイントから離れたセンサーの信号を中継するための、リピーターなども設置されており、これらは、信号機周辺をよく見ると簡単に発見できます。実は、この通信が暗号化されてもおらず、容易にプロトコルの解析ができるという話で、実際に情報の傍受ができるだけでなく、情報を改竄できる可能性もあるとのこと。直接的に、安全に影響するものではありませんが、悪用することで、交通を混乱させ、間接的に社会を棄権にさらす可能性があります。たとえば、混雑している側のセンサーに介入して、車がいない状態に書き換え、逆に空いている側に混雑情報を流せば、信号のタイミングは本来とは逆に調整され、渋滞をさらに悪化させることができます。これを街の複数地点で同時にやれば、都市交通を大混乱させることができる可能性も有り、ドライバーのストレスを増加させて事故を大幅に増やす危険もあります。また、それによる経済的、社会的なダメージを狙う攻撃も考えられるでしょう。この問題をメーカーに報告した発見者は、しばらく無視され続けたあげくに、最後に「指摘はもっともだが、我々のプロトコルは独自のものなので、危険は少ない」との返事を受け取ったとのことです。会場はその話で大爆笑。これは単純なシステムの例ですが、現在各国が進めている高度交通システムなどでは、もっと影響が深刻になります。このような感覚のメーカーが、そうしたシステムの開発に携わっているとしたら、将来的に大きな社会的リスクとなるでしょう。

スマート家電の問題は、昨年も取り上げられました。特にいわゆるホームコントローラの脆弱性は、様々な家庭内機器を不正に制御できる可能性や、ドアロックなども制御できる可能性が有り深刻だという話が上がっています。カメラやマイク内蔵のスマートTV（最近のテレビはSkypeアプリなどを積んでいるものも多いので）が乗っ取られると、家庭が丸裸にされてしまったり、会社の会議室での会議内容が筒抜けになったりというリスクも指摘されていました。しかし、いわゆるIoTは、こうした既にIT化が進んでいる家電だけではなく、様々なものをネットワークにつないでしまいます。たとえば、今回紹介されていたWiFi接続可能なLED照明などです。

電球などにリスクはない・・・と考えるかもしれませんが、少なくとも混乱や心理的な不安は引き起こせるかもしれません。また、むしろその実装によっては、先に書いたUSBコントローラのように、内蔵されたチップのファームウエアに介入することで、それを乗っ取り、踏み台化することも可能になるかもしれないという問題の方が、より深刻でしょう。このように、従来はネットワークとは無縁だった様々な機器がネットにつながることで、新たな脅威に直面するという単純な事実が、あまり重視されていないことが問題なのだと思います。米国では、政府も、そろそろこうした問題に対して取り組みを始めています。

さて、日本は・・・・と言う前に、こうした国を挙げての検討で、ひとつ問題点を挙げるとするならば、省庁縦割りの弊害で、こうした検討が、とかく特定の業界に閉じてしまいがちな点です。これまでネットと無縁だった業界が、いくら自分たちだけで頭をひねっても、ネットを長年使いこなしてきた攻撃者とは、その知見において何十年もの開きがあります。それでは、十分なセキュリティを考えられるはずが有りません。実際、業界主導で考えられたセキュリティ規格の多くが、その後、悲惨な状態に陥っています。こうした検討は、広くIT業界からセキュリティ専門家の参加を募って行われるべきでしょう。とりわけ、モノは世に出してしまったら、それに重大な欠陥があってもリコールする以外に修正する手立てがないことが多いからです。また、業界統一規格などに欠陥があれば、その修正は非常に困難です。（たとえば、デジタル放送で端末識別や有料放送の視聴管理に使われるBCASカードが改竄できてしまう問題などがいい例です）特に、日本はそうした傾向が強いと考えられるので注視しておく必要があるでしょう。

ホームコントローラ類の話では、ある超高級ホテル（中国）が、iPadで室内の様々な機器を制御できるシステムを導入したところ、その欠陥で、他の部屋の機器の制御までできてしまった・・・という報告もありました。どうやら、導入したのは欧州系のベンダのようで、制御のためのプロトコルは、欧州でも一般的なものだそうです。このプロトコルは、部屋の識別にiPadのIPアドレスを使用する、というきわめて単純な方法を使っているということで、かなり簡単に偽装ができたようです。また、この通信は客室のゲスト用WiFiを経由して行われていて、これも簡単にアクセスができてしまうという極めてセキュリティ的に幼稚なシステムでした。

これも、十分なセキュリティ上の検討を設計段階で行わなかったことが原因だろうと考えられます。あらゆるものがつながる時代。そこに踏み込んでしまった瞬間に「閉じた世界」は崩壊します。もはや「閉じたネットワーク」も存在しません。なぜなら、ネットワーク化することは繋ぐことが前提だからです。利便性を追求しようとすれば、それは少なくとも間接的にパブリックなネットワークと関係を持つことになります。そのリスクを「想定外」にしてはいけないのです。

今回のDEFCONでは、そうした思いもまた新たにしました。

【DEFCON22レポート（２）】USB機器の隠れた問題点

既に、複数のメディアでも取り上げられていますが、BlackHatとDEFCONで今回、大きな話題となったテーマです。

具体的には、USB機器の制御チップのファームウエア改竄への警告です。

USB（Universal Serial Bus）は、いまやPCのみならず、様々な機器と周辺機器接続のための標準的なインターフェイスとして不可欠のものです。ありとあらゆる種類のデバイス接続を可能にする柔軟性は、その制御機構に大きく依存しています。実は、すべてのUSBデバイスには、コントローラチップが内蔵されていて、それにより通信が制御されています。たとえば、旧型の携帯電話をPCに接続するためのUSBケーブルといったものにまで、制御チップが入っているのです。USB制御チップは一種のマイクロプロセッサで、プログラミングすることで様々なデバイスタイプに対応できるようになっています。このプログラムがファームウエアで、チップ内のフラッシュメモリに書き込まれています。

ファームウエアはバグ対策や機能追加などのために更新が必要なことから、外部から書き換えが可能になっています。問題は、これを書き換えることが、意外と簡単にできてしまうということなのです。

制御チップは、周辺機器とPCなどのコンピュータ間の通信に介在できます。もちろん、チップの処理能力の限界はありますが、理論上は通信の改竄などができることになります。また、USB経由で指令を受け取って、何かの動作をするというような仕掛けが可能になる場合もあるでしょう。

最も大きな問題は、外付けだけでなく、PCやタブレット、スマホなどの内部に、多くのUSBコントローラチップが組みこまれていることかもしれません。こうした内蔵デバイスはデバイスドライバによって制御されるため、改竄されたファームウエアがドライバの動きに介入できる可能性もあります。デバイスドライバの多くは、システム上での高い権限で動作するため、こうした特権を外部から奪取することができる可能性もゼロではありません。（こうした問題は、DEFCONのセッションで指摘されていました）

USBデバイスの開発者向け情報は、開発者向けサイトでオープンにされており、かなり詳細な技術情報が得られます。また、以下のスライドのような、USB通信をモニタしながらデバッグが可能な機器や開発用のソフトウエア、ツールなども商用、フリーを含め、様々な物が入手できます。

セッションでは、こうしたツールを使用して、USB機器のチップを書き換え、PCから違うデバイスに見せるというデモが行われました。こうしたデモはあくまでもコンセプト的なものですが、もし、誰かが本気で取り組んだら、マルウエアにファームウエアを書き換えさせてデバイスを乗っ取るということが出来てしまう可能性を示すものでもあります。コントローラチップの能力は限られており、一般のソフトウエア完全性チェックで使用されるハッシュなどの暗号技術に基づく計算は困難だといいます。そうした制約の多い環境下で、どのような改竄対策が取れるのか。これは真剣に考えなければいけない問題だと感じました。

【DEFCON22レポート（１）】今年のDEFCONは・・・・

先週、８月７日～１０日の日程で行われた毎年恒例のDEFCONに参加してきました。今回も、なかなか面白い講演を聴くことができましたので、このブログでも、いくつか紹介したいと思います。

会場はラスベガスの Rio Hotel and Casino で、ここ数年はこの会場で行われています。このイベントは、いわばハッカーの「夏フェス」ともいえるもので、様々な講演（しかも、かなりコアな内容）やハッカーイベント、ＣＴＦ、ジャンク市といった様々な催しが行われます。格式張った他のコンファレンスなどとは違い、ビール片手に講演を聴く・・・といった雰囲気の中で、実は世界のセキュリティ界でも指折りの人たちが集まる場です。DEFCON22という名前の通り、今年で２２回を数える老舗のイベントでもあります。

事前登録などはなく、当日、デスクに並んで現金で参加費を払い、バッジなどを受け取るという形なので、例年、初日にはホテルの会場周辺に長蛇の列ができます。今年は、その列がホテルの中をはみ出し、炎天下のプールサイドを一周するという殺人的な混雑になりました。

上の様子を見るだけですさまじい感じがわかると思いますが、実は、この数倍の長さの列がホテルの中まで続いているのです。結局、午前１０時に列に並んだあと、３０分あまりを炎天下で過ごし、さらに中に入ってから２時間半・・・・。バッジを受け取るまでに３時間かかるという壮絶なものでした。

こうした列が出来るのには、ちょっと訳もあります。それはDEFCON恒例になっている、この特製バッジです。

毎年、趣向を凝らした電子回路搭載のバッジが配られます。実は、このバッジにはマイコン内蔵チップが搭載され、ユーザが改造を施すことができるのです。実際、会期中に改造してしまう猛者も多くて、バッジ改造コンテストも開かれます。通常はＬＥＤがいくつかのパターンで点滅するのを、タッチスイッチで制御するだけなのですが、出ている端子に外付けで回路を追加し、それを制御するプログラムを書き込めば、様々なことができます。まさに、Geekの祭典にふさわしいバッジですが、数に限りがあり、出遅れると入手できずに悲しい思いをします。なので、みんな３時間並んででも初日にバッジを入手しようとするわけです。

今年は４日間の日程で開かれたDEFCONですが、初日は２トラックで、あまり多くの講演もないので、多くの人は、バッジを受け取るためだけに会場に来ています。私も、さすがにこの３時間で疲れ切って、バッジを手にホテルに戻って休憩となりました。

夏場のラスベガスは４０℃近い猛暑です。湿気がないので、日本の夏ほど蒸しませんが、午後になると路面が焼けて、風が熱風になります。会場のRIOから、今回滞在したホテルまでは、見通し距離なのですが、歩こうと思ってしまえば地獄が待っています。特に、鉄道とハイウエイ１５号線を越える橋の上が最悪。思えば砂漠の中に出来た街ですから無理もありません。

ペットボトルの水を持ってはいたものの、ホテルに帰り着く頃にはすっかりバテきっていました。ラスベガスの夏の日中は危険です。

とりあえず昼寝などして、体を休めてから、夕食がてら街に出てみました。日が落ちて涼しくなった街は、様々な国の観光客であふれ、賑わっていました。

ということで、引き続き、ＤＥＦＣＯＮの話題を書いていくことにします。お楽しみに。

【講演予定】ID&IT Management Conference 2014

ID&IT Management Conference 2014 で以下のようなタイトルの講演を行う予定です。


Internet of *
「IoTとビッグデータが招くアイデンティティーの多様化」


なんとなくバズワードと化しつつある「ビッグデータ」。Internet of Things (IoT) も同じ道をたどるのでしょうか。こうした「言葉」の流行の陰に、いつしかその本質が覆い隠されてしまうのはよくあること。デバイスのクラウドと言ってもいい IoT がビッグデータと結びつく時、何が起きるのか。デバイスやデータの集合がアイデンティティーを獲得する。そして、それが人間とも不可分になっていく。そんな社会について考えてみます。

大阪： 2014年9月17日（水） 9:30〜17:40（9:00〜受付開始）ANAクラウンプラザホテル大阪
東京： 2014年9月19日（金） 9:30〜17:40（9:00〜受付開始）ANAインターコンチネンタルホテル東京


ご興味があれば、是非、ご来場ください。

なにか起きてから慌てても遅いインシデント対応

先日も、通信教育会社大手の個人情報漏洩が大きな話題になりました。こうした事故が起きるたびに思うことがあります。たとえば、様々なメディアから一斉にニュースが流れ、事実と憶測がまざった情報やらコメントが巷にあふれたあと、当事者側から、あたりさわりのない、もしくは、場合によっては問題を（結果的に）過小評価したようなコメントが出される・・・。謝罪会見が行われ、そこでは「想定外」が強調され、再発防止への努力が約束される・・・・。

これまで、多くの企業がこうした事故を起こし、同じような対応をしています。しかし、事故がなくならないばかりでなく、事故後の対応も、私などから見れば、まったくといっていいほど進歩がみられません。

その原因はひとつです。企業が、こうした事故が起きるという前提に立ってものごとを考えられていないからです。

面白い話があります。ずっと以前から、専門家の間では、情報セキュリティ事故の際の対応訓練といったものの必要性が言われてきました。ある時、とある企業の情報セキュリティ責任者が、経営者にこうした訓練を提案したそうです。そのときの経営者が言ったとされる言葉が、日本企業の現状を物語っているのです。「なぜ、そんなことをしないといけないんだ。そういうことが起きないようにするために、君に給料を払っているんだぞ」・・・と。

たしかに、事故は起きてはいけないことです。そのための予防手段を考えることは重要です。しかし、そこに人がからむ以上、ミスや故意、想定不全による事故は必ずと言っていいほど発生します。予防対策がしっかりしていればいるほど、何か起きた時は重大なものになりがちです。予防対策で、些末な、もしくはある程度の事故が発生する頻度は大きく下がります。しかし、とりわけ、故意や対策が想定していなかった原因による事故が相対的に大きな比率を占めるようになるわけです。それを考えれば、どれだけしっかりした対策を考えていても、事故の可能性は捨てられません。まして、一旦発生してしまえば、ビジネスをゆるがす問題に発展しかねないわけですから、発生した場合、どうして影響を最小限に押さえ込むかが重要になってきます。

海外のセキュリティコンファレンスに行くと、必ずと言っていいほど、リスク管理のトラックに、こうしたインシデント対応を考えるセッションがあります。先日、シンガポールで開催されたRSA　ＡＳＩＡ PACIFICコンファレンスでも、「情報漏洩事故を起こした後、いかにして信頼を回復するか」と銘打ったセッションがありました。こうしたセッションでは、共通していくつかの「原則」が語られます。

・コミュニケーションの原則

被害者がいる場合、その人たちへの連絡とケアを最優先すべきである。事態が公になる前に、被害者との間でコミュニケーションが必要な場合（そうしないと、被害者にさらなる被害や苦痛を与えるような場合などがあるので、公表タイミングは慎重に行うこと。

会社として、広報を交えたかたちで、迅速に体制を立ち上げ、正確な情報をこまめに発表すること。（最初の会見で、責任を回避するような言動や、被害を過小評価するような言動を行うと、信頼の維持が難しくなるので、事実を事実として伝え、わからないことは、はっきりそう言ったうえで、タイムリーにアップデートしていくこと）

コンプライアンス上、当局への報告などが必要な場合は、迅速に実施すること。また、捜査機関等の関与が必要な場合は、早い段階で連携を開始すること。


・延焼防止とビジネスの維持

問題がわかっている場合、ただちに問題箇所に対して応急処置を行うこと。但し、その処置によって、原因究明や証拠収集に影響が出るような操作は回避すること。

同種の問題が他で生じないかどうかを迅速に確認すること。また、そうした可能性のある部分に対して応急措置を講じること。

その上で、業務やサービスの変更、停止が必要な部分について、優先度の高い部分から対応していくこと。やむなく業務、サービスを継続せざるを得ないという経営判断はありうるが、その場合、新たな問題が生じないか厳重に監視、管理を行いつつ継続すること。



このほかにも様々な原則が語られますが、こうした原則の多くは、事前の準備がないと実行できません。シナリオに基づいて、体制や対応方法を十分検討し、関係部署や関係者に周知しておく必要があるのです。そのためには、こうした事故がありうるという前提に立つ必要があるのです。

企業の情報セキュリティ責任者の仕事は、第一義的には、こうしたインシデント発生を未然に防ぐことにあるわけですが、本当に手腕が試されるのは、こうしたインシデントが発生してしまった時です。いかに迅速に対処し、様々な被害を最小限にとどめられるかが問われます。そういう意味では、日本企業の情報セキュリティ担当者は、まだその仕事の半分しかこなせていないのかもしれません。

競争が激化するビジネスにおいて、勝ち残っていくためには、どんどん新しいことにチャレンジしていくことが必要です。たとえば、市場を広げるためには、これまで避けていた、リスクの高い取引を行う必要も生じます。このような場合、ビジネスの世界では、たとえば、貸し倒れやキャンセルなどの発生を想定しつつ、それがビジネス全体を脅かさない方策を考えます。それがビジネスを成功に導くリスクマネジメントなのです。そして、これは、情報セキュリティやＩＴの世界でもまったく同じです。リスクを抑えながら、どのようにして新しい技術を取り込んでいくか、それがこれからのＩＴに求められることであるならば、様々なインシデントの発生を前提とした取り組みが必須だと言えるのではないでしょうか。

【記事】セキュリティにもストラテジストが必要

エンタープライズ・ジン IT Initiatve に対談記事が掲載されました。

セキュリティにもストラテジストが必要


日本ＨＰの藤田さんとの対談形式の記事です。クラウドのセキュリティを考える上で、とりわけ日本のクラウドユーザがかかえる課題についてお話ししました。

【記事】ＩｏＴとビッグデータの組み合わせは劇薬かもしれない

エンタープライズ・ジン　IT Initiative にインタビュー記事が掲載されました。

「ＩｏＴとビッグデータの組み合わせは劇薬かもしれない」

IoT (Internet of Things）は、様々な機器をネットワーク化することにより統合管理しようという流れなのですが、実は、こうしたネットワークはビッグデータ収集のためのセンサー端末としても働きます。事業者にとっては近い将来、機器管理の効率化よりも、収集されたデータの方が大きな価値を産むという可能性が高いのです。そのような視点からIoTを見た時、単にデバイスネットワーク以上の課題が浮き上がってきます。このインタビュー記事ではそうした視点からIoTとビッグデータがもたらす、セキュリティ上の課題についてお話ししています。

【寄稿】ＩＴＬｅａｄｅｒｓ続編

第７回　クラウドにおけるインシデント対応（後編）

第８回　クラウドアプリケーションのためのセキュリティアーキテクチャ確立を


が公開されました。いずれも、前回同様、ＣＳＡクラウドセキュリティガイダンスに基づく解説記事です。

【寄稿】クラウドにおけるインシデントレスポンス

CSAジャパン（一般社団法人日本クラウドセキュリティアライアンス）の有志メンバーでインプレスビジネスメディアさんの IT Leaders に連載中の記事です。CSAガイダンスをベースにして、その各ドメインでのポイントを解説しています。

今回、私はインシデントレスポンスに関する部分を担当しました。第6回と第7回の2回にわけて掲載されます。

【第6回】クラウド利用におけるセキュリティインシデント対応（前編）

読まれたご意見などいただければ幸いです。

昨今の話題まとめとか

この連休は、ちょっと長めのお休みをいただき、リフレッシュしてきました。ちょっとエネルギーをもらったので、また仕事に励もうと思っています。

ところで、このところ、様々な脆弱性問題などが発生しています。このあたりをまとめた記事をJNSA（NPO日本ネットワークセキュリティ協会）のホームページに寄稿しましたので、お読みいただければと思います。

執筆中、さらに IEゼロデイ問題やApache Strutsの問題などが騒ぎになりましたが、これらはこの記事では対応できていません。

IEゼロデイ脆弱性は、発見される前に有効な攻撃コードが流通してしまったため、米国DHS（国家安全保障省が警告を出す事態に陥りました。XPサポート切れ直後にゼロデイ脆弱性が使われることは、ある程度予想されていたため、やはり・・と行った感じです。今回、マイクロソフトがXPも含めて対応をしてくれたのは、有り難かったと思います。

この脆弱性は、use after free と呼ばれるタイプの脆弱性で、プログラム内で一時的なデータ領域を確保するためのヒープ領域の取り扱いに問題が生じたものです。この脆弱性は、使用後、解放されたヒープ領域のデータを再利用できる手段を提供します。攻撃コードでは、最初にAdobe Flash Playerのオブジェクトを実行させ、その機能を使ってヒープ領域に大きなメモリを確保した上で、攻撃に必要な情報を埋め込み、領域を解放します。その後、Java Scriptで、IEの脆弱性を悪用し、あらかじめ書き込んであった情報を使って、攻撃コードを実行させます。この方法により、マイクロソフトが組み込んでいるASLR（攻撃コードによって、既存のライブラリコードが悪用されるのを防ぐため、プロセスごとにメモリ配置をランダマイズする対策）やDEP（データ領域でのコード実行禁止）などが回避できてしまうことになり、攻撃者が悪意あるコードを実行できてしまいます。

この攻撃コードを使って攻撃を仕掛けるには、まず、利用者を不正な（もしくは改ざんされた）Webサイトに誘導してFlashオブジェクトやJava Scriptを実行させることが必要です。このことから、いわゆる水飲み場攻撃を目的として作られた攻撃コードであるとも言え、特定の企業や政府機関などが標的にされた可能性があります。これが、DHSがまっさきに警告を出した理由でしょう。

このコードでは、Flash実行を禁止することで被害は防げますが、それ以外にも悪用する方法はあると考えられるので、早めに修正プログラムを適用することが重要です。今回は幸いにもXP対応が行われましたが、今後、これが保証されるものではないので、XPについては、できうる限り早くOSを更新しておく必要があります。

Apache Struts は、Webアプリケーションを開発するためのJavaベースのオープンソースフレームワークです。TomcatなどのJavaアプリケーションサーバの上で動作し、Webアプリケーションを開発するための様々な機能を提供します。このため、多くのWebサイトでアプリケーション構築に際して利用されています。

今回の脆弱性については、当初、Strutsの現バージョンであるStruts2の脆弱性として公表され、開発元のApache Foundation によって修正パッチが配布されました。この脆弱性は、外部から不正に加工されたリクエストを送ると ClassLoaderと呼ばれるJavaランタイムの機能を掌握することができ、攻撃者が任意のJavaコードを実行できるというものです。これによって実行されるJavaコードはWebサーバ（アプリケーションサーバ）の実行権限で実行されるため、制限はありますが、サーバの構成によっては重要なデータが漏洩したり、Webが改ざんされるといった可能性があります。また、これらがシステム権限で動作していた場合（通常、これは絶対行ってはいけないこととされていますが、アプリケーションの構造を簡単にするため、安易に行われるケースが後を絶ちません）サーバ自体を乗っ取られてしまう危険もあります。

修正配布で一件落着したかに見えたのですが、後日、この修正が不十分だったことが発覚します。さらに、同様の脆弱性が既にサポート切れとなっているStruts1という古いバージョンにも存在することが確認されたため、大騒ぎとなりました。Struts2の再修正は行われましたが、Struts1についてはサポート切れから相当期間経過しているため、修正は行われません。一方、国内では、まだStruts1で動作しているWebサイトが相当数有り、これらをどうするかが大問題となっています。Java環境はそのバージョンへの依存が強いため、どうしても開発者やサイト運用者はバージョンアップを嫌う傾向にあります。しかし、一旦サポートが切れてしまうと、こうしたリスクに曝されることになりますから、早め早めで対応していくという考え方に切り替える必要があるでしょう。これは、SIerだけではなく、コストを負担するユーザ側の認識も必要です。このような対応は必要なコストとして将来的なロードマップに乗せておく必要があるのです。今回、一部のSierが独自に修正コードを提供しはじめていますが、これが出来るSIerはそれほど多くありません。オープンソースのソフトウエアを使うということは、こうしたこと（自己責任でに利用）を頭に置いておく必要があります。

とりあえず、簡単にまとめてみました。ご参考まで。

IPv6ってご存じですか？

こう聞くと、IT関係の方の多くは「知ってるよ」と答えると思います。それでは、現在ＩＰｖ６はどれくらい使われているでしょう、と聞くと「ほとんど使われていない」という答えがほとんどではないでしょうか。

実際、日本ではもうずいぶん前から、先行して実験が行われ、実用化のための基本的な技術は世界的にも確立されています。しかし、実用化という意味では、ＩＰｖ４と呼ばれる現在のＩＰアドレス体系における割り当てアドレスが既に枯渇しているという状況下においても、少なくとも一般ユーザ（ビジネスユーザを含む）にはほとんど普及していないのが現実です。

一方、我々がＰＣで使用しているオペレーティングシステムの多くは、既にＩＰｖ６を標準でサポートしており、ＩＰｖ６をサポートするネットワークに接続した瞬間にＩＰｖ６が利用可能になります。しかも、ＩＰｖ６と従来のＩＰｖ４が共存する環境ではＩＰｖ６が優先される仕組みになっています。また、世界的に見ると、著名なサービス企業、たとえばGoogle, Facebook, Amazonといった企業のサービスの多くが、ＩＰｖ６での接続に対応しています。これらのサイトへのアクセスも、ＩＰｖ６をサポートするネットワークに接続した瞬間にＩＰｖ６に切り替わります。

さて、ここまでならば問題はないのですが、こうしたユーザにあまり認知されていないＩＰｖ６サポートが、思わぬ問題を引き起こすことがあります。試しにブロードバンド接続を行っている自宅のＰＣで、コマンドプロンプトを起動し、ipconfigというコマンドを叩いてみてください。以下のような画面が見られると思います。

私のオフィスはＩＰｖ６を導入しているため、このように、ＰＣがIPv6アドレスを取得しているのがわかります。もちろん、特にＰＣの設定は行っていない状態でこうしてアドレスを自動取得します。一方、このコマンドを叩いたときに、自分ではＩＰｖ６を導入した覚えがないのに、グローバルのＩＰｖ６アドレス（プリフィックス：fe80から始まる以外のもの）を取得してしまっている場合があります。これは、契約している通信事業者がＩＰｖ６アドレスを配布していることが原因です。現状では、このＩＰｖ６アドレスでは、インターネットとは通信ができません。これは事業者が自分たちのサービスのために配布しているアドレスなのです。しかし、このことが先年、日本のインターネットにおいて大きな問題となりました。先に述べたようにＯＳや一部のサイトではＩＰｖ６がサポートされ、ＩＰｖ６接続が優先されるため、こうしてインターネットに接続できないＩＰアドレスを勝手に配布してしまったことで、こうしたＩＰｖ６接続可能なサイトへのアクセスに障害（アクセスの大きな遅延）が発生することが明らかになったからです。これをＩＰｖ６フォールバック問題と呼びます。この問題に対応する苦肉の策として、家庭用にサービスを行っているプロバイダでは、現在ＤＮＳ情報からＩＰｖ６アドレスを除外することを行っています。つまり、ＩＰｖ６アクセスをサポートするサイトについてＤＮＳ情報からＩＰｖ６アドレスのみを削除してユーザに渡すことで、アクセスをＩＰｖ４に限定させ、この障害を取り除こうというものです。ある意味時代に逆行する方法ですが、一部の大手事業者が勝手にＩＰｖ６アドレスを配ってしまっている現状を簡単に変えられないための苦渋の選択と言えます。

このことは、もう一つ大きな問題を提起します。たとえば、公衆無線ＬＡＮや宿泊施設のＬＡＮなど公共の場所で、誰かがＩＰｖ６のサポート情報（RA:Router Advertisement）を勝手に流したら何が起きるかという問題です。これを行うことで、そのＬＡＮに接続されたＰＣに対してＩＰｖ６がサポートされたネットワークであると誤認させることができます。これを悪用して様々な不正行為を行える可能性があるのです。従って、ＩＰｖ６を使いたくない人は、自分のＰＣのＩＰｖ６機能を停止させておく必要があります。これは、Windows7/8ならば、コントロールパネルから、ネットワークと共有センターを開き・・

【ネットワークと共有センター】

ここのサイドメニューからアダプター設定の変更を選んでネットワークアダプタの一覧を表示させます。

【アダプタの一覧】

複数ある場合は、自分がＬＡＮ接続に使用している、もしくはノートＰＣの場合は無線ＬＡＮなど、外で使用するアダプタのすべてで以下の操作を行います。まず、アダプタアイコンを右クリックしてプロパティ画面を開きます。

【アダプタのプロパティ】

ここで、インターネットプロトコルバージョン６の項目のチェックを外してください。【ＯＫ】で保存すれば完了です。

こうした問題は専門家の間では、ずっと議論されていますが、社会的にはなかなかアナウンスが進みません。身近な方に教えてあげてください。

さらに、ちょっと困った問題もあります。それは、スマートフォンやタブレットが、表向きはＩＰｖ６サポートを仕様として公表していないにもかかわらず、実際はＩＰｖ６接続ができてしまうことです。実際、筆者のオフィスの無線ＬＡＮにアンドロイドやiPad/iPhoneなどを接続すると、GoogleなどのサイトへのアクセスはIPv6に切り替わります。これは、いくつかのＩＰｖ６をサポートしているサイト、たとえば、以下の「ＩＰｖ６推進協議会」などのサイトにアクセスして確認できます。

【IPv6アドレスの確認方法】

これは、筆者のアンドロイド携帯の画面です。ここにＩＰｖ６アドレスが表示されているのがわかります。ＩＰｖ４アクセスの場合はドットで区切られた見慣れたＩＰアドレスが表示されるはずです。この現象は、アンドロイドだけではなく、アップル社のiPadやiPhoneでも発生します。一方で、これらのデバイスにIPv6通信を止める機能はありません。つまり、先に書いたようなリスクを回避する手段がないわけです。これは、メーカーになんらかの改善を要求すべき問題でしょう。少なくとも、IPv6通信を無効にする手段がサポートされるべきです。

最近増えてきたスマート家電も、そのベースにはLinuxなどの汎用ＯＳが使われている場合が多く、同じような問題が起きる可能性があります。但し、いまのところ筆者のオフィスにあるスマート家電類では、こうした問題はおきていません。

IPv6は、今後、IoTとも言われる様々な機器のインターネット化に伴って、急速に利用が拡大すると考えられます。それに伴って、過渡期にはこうした問題が頻発する可能性があるため、注視しておきたいところです。

スマート家電とクラウドサービス

最近、スマート家電と呼ばれる製品が増加しています。これらはインターネットに接続され、メーカーのサイトを通じて、様々なサービスを受けることができます。当然ながら、このようなネットワーク機能を持った製品には、ネットワーク経由で攻撃されるというリスクが伴います。家庭内のネットワークは、通常、ホームルータなどのファイアウォール機能で外部から直接のアクセスは遮断されているのですが、たとえばPCに感染したコンピュータウイルスが家電製品を探索する、といったことも十分に考えられます。最新のPCに搭載されたOSには、既にこうした家電製品の探索機能が組み込まれているからです。

昨今、IoT（Internet of Things ：モノのインターネット）という言葉がはやり始めました。例に漏れずバズワード化しそうな感じですが、ユーザが意識しないところで、周囲にある「モノ」がネットでつながり始めるという状況が拡大しつつあるのも事実です。

こうした機器のセキュリティ問題は昨今、様々なところで指摘され、対応の取り組みも始まっていますが、IoTの拡大の速さを考えると、我々は、もっともっと危機感を持って対応にあたる必要があるかもしれません。

先日、NPO日本ネットワークセキュリティ協会（JNSA）のHPに以下のような寄稿をさせていただきました。

スマート家電への攻撃に備えよ

重複する内容はここに書きませんが、是非、お読みいただき、ご意見などいただければと存じます。

Windows XPサポート終了間近

とうとう、マイクロソフトによるWindows XPサポート終了が秒読み段階に入りました。しかし、まだ更新されていないPCも世の中には多数あると考えられています。サポート終了によるリスクは様々有り、既に多くのメディアや公的機関が注意喚起を行っています。ただ、現実はもっと深刻かもしれません。

それは、ゼロデイ脆弱性、つまり未公表の脆弱性とそれに対する攻撃コードを流通させるブラックマーケットの存在です。こうしたマーケットでは、犯罪などに利用するために攻撃コードなどの情報が闇取引されていますが、XPサポートの終了を狙って、大量のゼロデイ脆弱性が温存されている可能性が高いと考えられています。こうした脆弱性は、XPサポート終了と共に、おそらく値段が跳ね上がります。その理由は、セキュリティ修正が提供されないことで、その利用価値が大きく上がるからにほかなりません。

つまり、サポートが切れた瞬間にXPは、格好の標的とされてしまう可能性がきわめて高いのです。セキュリティソフトなどで、こうした脆弱性をカバーすることはある程度できるかもしれませんが、それがきわめて不確実なものであることは、昨今の新種マルウエア感染率の高さが証明しています。あからさまに言えば、ゼロデイの標的にされてしまえば、これらはほとんど無意味です。そして、これまでと異なり、そうした攻撃が公知のものとなる可能性も大きく低下してしまいます。

残ったXPは僅かかもしれませんが、その中の一台でもマルウエアに感染してしまえば、そのPCが存在するネットワークにある全システムが危険にさらされます。また、インターネットから隔離されているネットワークといえども、たとえば、そのネットワークと他のネットワークに接続された機器の間でなんらかのオフラインデータやデバイスの移動があるならば、リスクはゼロではありません。実際、こうした隔離されていると思っていたネットワークにマルウエアが入り込む事例が昨今頻発しているからです。

結論を言えば、XPはもう使うべきではありません。どうしても使わざるを得ないなら、最大限にそれらを監視しつつ、出来るだけ速やかに更新すべきです。おそらく事態は考えられている以上に深刻なのです。

e-Crime Congress （ロンドン）にて

今週はロンドンで e-Crime & Information Security Conngress というイベントに参加しています。ロンドン在住の知人（日本人）に紹介されて、初めて参加してみました。イベント自体は今年で12回目だそうですが、このAnnual Congress以外にもヨーロッパを中心に各地で小さなイベントを開催しているようです。

会場は、米国などの大きなコンファレンスに比べればこじんまりとしていますが、２～300人程度の参加者を集めています。内容は、サイバー犯罪とセキュリティ全般といった感じで、基本的に、上の写真の全体会場での全体トラックを中心にして、午前と午後に、スポンサープレゼン主体のブレークアウトセッションが一コマ～二コマずつあります。全体トラックの講演者は、ベンダ系と非ベンダ系の比率は3対1くらいですから、ちょっとベンダ色が強めですが、講演内容は比較的宣伝色を抑えたものになっているので、それほど違和感はありません。

初日の基調講演は、FBIとNCA（英国のNational Crime Agency）からで、それぞれのサイバー犯罪に対する取り組みの紹介でした。どちらかといえば一般的な内容ですが、いずれも、政府、捜査機関、民間一体での情報共有フレームワークと国際連携フレームワーク作りの取り組みについて強調したものだったと思います。

講演の中で印象的だったのが、Cyber Enabled Crime という表現です。だいたい、こうした講演では、Cyber Crimeという言葉になるのですが、捜査機関がCyber Enabledという言葉を使うことには大きな意味があると思います。つまり、これは、Crime であって、それがCyber（技術）を手段として取り込んでいるという関係を表しているからです。サイバー犯罪というとどうしても特殊な犯罪とうつりがちですが、実際、現在の多くのサイバー犯罪が、金銭や怨恨などといった一般の犯罪と同じ動機と目的を持っていることは明らかです。とすれば、これらをサイバーとしてくくるのではなく、一般の犯罪カテゴリにわけた上で取り扱うことが必要になってくるわけです。僅かな言葉の違いですが、そこに大きな意味が隠されていると感じています。

ベンダ系のプレゼンは、宣伝色を薄めているとはいえ、どうしても自社の製品やサービスに関連したテーマを選んで、かつ自社が優位になるような視点で話をするのが常なので、そこを頭に置きながら聴く必要があります。ちょうどメディアの報道と同じで、客観的な情報ソースであっても、そこから切り出された内容をつなげると、意味合いが変わってしまうことがあるので、できれば、オリジナルの情報を後で参照して全体像を見ておく必要があると思います。

製品系の話では、最近のSDN流行にのって、SDxという名前のセキュリティソリューションも増えてきています。ただ、SDNと同様にまだその仕様は各社各様で、互換性がない部分が多いので注意が必要でしょう。こうしたソリューションが本当にユーザにとって使えるようになるには、インターフェイスが標準化され、各社の互換性が取れることで、ユーザが自分に会ったソリューションを選んで組み合わせることができるようになることが不可欠ではないかと思います。ただ、組織内のネットワークだけではなく、クラウドやモバイルの環境も統合したソリューションは魅力的ですから、今後を注視していきたいと思っています。

ユーザサイドからは何人かのCISOが登壇しました。どちらかと言えば、保守的なカルチャーの欧州企業でのCISOは米国企業などとは違う意味で何かと苦労が多そうですが、いずれの講演者も、「ビジネスに必要な新しいIT技術は使う前提で、どうリスクを軽減できるか考える」と述べていたのが印象的です。ビジネスサイドから見ると当たり前の話ですが、とりわけ日本ではそうなっていないのが実態でしょう。そろそろ「ダメ出しセキュリティ」は失格の烙印を押さないといけないのかもしれません。もちろん、経営者がCISOやセキュリティチームに必要なリソースと予算を与えることが前提ですが、こうしたことの実現には、セキュリティを受け持つ側と経営層の両方の意識改革が必要だろうと思います。日本のビジネスが世界に遅れをとらないためにも、また、新技術の罠にはまって大怪我をしないためにも、こうした意識改革を急いで進める必要があるでしょう。

そんなことを思いながら二日間のイベントに参加していました。今週のロンドンは天気に恵まれ暖かい日が続いています。

今日の夕方、ロンドンを発つ予定ですが、今回得た知見をまた今後の仕事に活かして行ければと思っています。

2014年情報セキュリティ予想

かなり長期間、ブログ更新をサボってしまいました。今年はもう少し真面目にあれこれ書いていこうと思っていますが、とりあえず、今年（を含めた今後）の傾向をちょっと占ってみましょう。

2014年情報セキュリティリスク予想

犯罪のIT化

・これまで、ITによる犯罪は「サイバー犯罪」というカテゴリに分類されてきたが、近年顕著になっている傾向として、従来からの犯罪形態においてのIT利用（悪用）が進んでいる点がある。今年は、それらが一層顕著になっていくだろう。また、それに伴って、「サイバー犯罪」というカテゴリ自体が「犯罪」全体の多くのポーションを占めることになり、カテゴリとしての意味が薄れていく可能性もある。これに伴って、犯罪の防止や取り締まりにおいても、全般的にIT活用を進めていくことや、ITと従来型の犯罪対策や捜査手法を組み合わせていくことも必要が高まるが、現在の「サイバー」を特別扱いしている風潮のもとでは、対応が後手に回る可能性も高い。

マルウエアの進化と隠れ感染の拡大

・犯罪のIT化が進むことにより、その道具としてのマルウエアのニーズがさらに高まると思われる。一方で、対策も従来型に加えて、通信やコンピュータの挙動を監視する技術などが進化していくため、こうした技術との競争が激化すると考えられる。通信検知を避けるために、内部に入り込んだマルウエアが外部との通信なしで自律的に活動できるような仕組みの開発も進むと考えられ、検知はさらに困難になっていくと考えられる。これに伴い、一般のITユーザや企業の情報システム内のPC、サーバに潜伏したまま発見されないマルウエアの数が激増し、社会全体にとって潜在的な脅威となる可能性がある。

人材育成の偏り

・昨今、セキュリティ人材育成のかけ声は高いが、その内容は、「高度な技術者」育成に偏っている。一方で、複合的な原因によるセキュリティインシデントへの対応においては、各分野の「高度な技術者」をいかに、適切に現場にアサインし、全体の状況判断をしながら対応全体を管理していくかを考える指揮系統が不可欠となる。とりわけ、大企業や社会をまきこんだインシデント対応では技術者同士の自律的な連携には限界があり、対応が十分に行えない可能性が高い。今後発生するであろうインシデントでは、こうした問題から対応が十分でなかったり、結果として何度も再発を繰り返すようなことが頻発する可能性がある。

・また、こうした指揮系統をになう人材抜きで専門人材のみを大量に育成すれば、（専門技術者を活かす力の欠如によって）結果的に供給過剰が生じかねず、生活に困った余剰人材が犯罪側に流れてしまう可能性も出てくる。

不十分な対策が原因となるインシデントのさらなる顕在化

・ここ数年で話題となったセキュリティインシデントの多くが、古くから提唱されてきた基本的なセキュリティ対策の欠如を切り口として発生している。一方、こうした基本的な対策は、セキュリティ人材ではなく、IT人材全般のセキュリティに関する意識と知識を底上げしなければ実現しない。現在、こうした取り組みはきわめて遅れており、今後もこうした問題から発生するインシデントの数は、「セキュリティ人材」の増加にもかかわらず減ることはないだろう。

・また、結果として、高度な教育を受けたセキュリティ人材が、こうした基本的な事項が問題のセキュリティインシデント対応にあたるケースも増加すると思われ、こうした技術者自身のモティベーションやモラルを低下させてしまう危惧もある。そこにダークサイドのつけいる隙が生まれる。

サイバーテロリズムの活性化

・サイバー攻撃は、きわめて非対称戦向きの手法であり、これまで以上に、テロリストが大規模なサイバー攻撃を仕掛ける危険性は高まるだろう。周到な準備により、極論すれば、たった一人でも国家を相手に戦えるサイバー戦では、同時多発的に問題を顕在化させることによる社会的混乱を発生させることを主目的とする。一人の攻撃者が、あらかじめ仕掛けた多数のマルウエアを制御できる一方で、対応側は個別対応を余儀なくされる。こうした事件が発生する可能性は、一層高まっていくだろう。

正直言うと、あまり明るい見通しではありません。こうした状況を防いで行くには、ITサイドとしてIT全般を見据えたセキュリティを考え、ユーザ、IT技術者、セキュリティ専門家という階層構造で対応を考えていくことだろうと思っています。また、ITのみではなく、防衛や犯罪対策における従来からの手法とITの融合も加速していく必要があるでしょう。なかなか簡単ではありませんが、微力ながらこうした部分でも役に立っていけたらと思っている次第です。