バックドアとの戦い(2)

サイバーレジリエンス
バックドアの点検を進めましょう
 前回はクラウドのバックドアについてお話ししました。ライブラリやツールにバックドアを仕込まれても気付きにくいため、なかなかやっかいです。前回の記事を書いたあとも、RubyライブラリやPythonライブラリにバックドアが仕掛けられていたことが大きなニュースとなりました。これらの対策に追われていた方々も多いと思いますが、この種のバックドアは今後も長期間にわたって残るリスクだと言えるでしょう。

 ではライブラリを「残存リスク」のチェックリストに加えることにして、さらにバックドアの点検を前に進めていきましょう。
 ほかにバックドアを仕込まれると気付きにくいポイントはないのでしょうか。
ブラウザのバックドア
 このタイミングで(2020年1月現在)、あらためて注目したいのがブラウザです。ブラウザはWebサイトを開くだけで、出所不明のWebサイトから送られて来たプログラムをものすごいスピードで実行する「冒険野郎の乗り物」だということはうすうす感じておられると思います。これが「バックドアの巣」になりうることは技術者にとっては当たり前だと思いますが、最近そこに「ねずみの通り道」がもう一つ開通したことはご存知でしょうか。

 その名をWebAssemblyと言います(Wasm, ワスムと略称で呼ぶ人も多そうです)。これはバックドアというくらいで、みなさんがお使いの主要なブラウザに標準機能として搭載されています。けしからん、そんな機能は禁止しろ、と呻く声が聞こえて来そうですが、ブラウザゲームやブラウザ上で動くアプリなど、JavaScriptでは物足りずにさらなる高速化をもとめる人々は、もはやこれなしではダサい、と斬って捨てるのではないでしょうか。

 WebAssemblyの何がそんなに危険なのでしょうか。あたらしい、大きな「ねずみの通り道」が開いたことに気づかない人々が大半だという状況が、まずもって危険だと言えるでしょう。試みに、自称セキュリティ専門家の人々に、ワスムの解析はどうやってるの、と聞いてみてはどうでしょうか。「ワスム?何それ?」と言われたら、すでにバックドアとの戦いに負けているかもしれません。

 WebAssemblyは現在のところ、暗号通貨のマイニングで使われるケースが半数以上という報告があがっています。Webサイトを訪れただけで暗号通貨を採掘することの是非については日本では面白い議論が展開されていますが、ブラウザが採掘に使われている実態を知らずに放置すれば、電力会社からの請求書をみて、ある日、経理担当が愕然とすることでしょう。

「今月の電気料金、10万円も上がってるよ? なんで?」

 社内で(お昼休みに)流行っているブラウザゲームが、裏で暗号通貨を採掘していた、なんていうことはセキュリティ担当者としては想定内でなければなりません。
 しかし、ワスムの解析はどうやるんでしょうか。対応製品はあるんでしょうか。あたらしい、大きな穴が開いた、というのはそういうことです。

 そんなWebAssemblyなんてFlashと一緒で、うちの会社ではブロックしちゃうから大丈夫、そう思った人も多いかもしれません。たしかにブロックしてしまえば、新技術がネズミの穴を開けるのは防げそうです(もちろんブロックを迂回することも想定されるので、本当にブロックできているかテストしないことには、枕を高くして眠れないのですが)。
漏洩したアカウントがバックドア
 では現在、もっとも憂慮すべきバックドアは何でしょうか。それは漏洩したアカウントです。現在、漏洩したユーザIDとパスワードをまとめたものが市場に出回っており、それを使って正規の従業員のIDとパスワードでメールシステムやクラウドにアクセスする事案があとをたちません。最近Emotetというマルウェアが猛威を振るっていますが、これは従業員のIDでログインして、これまでのメールでの仕事のやりとりに返信するかたちで、取引先や同僚にマルウェアを添付するため、これまでの(明らかに怪しい)標的型攻撃メールとちがって、被害者が添付ファイルを開いてしまうケースが多いのです。

 そもそも何故こんなことになるかというと、誰か一人のアカウントが乗っ取られた(あるいは誰か一人が添付ファイルを開いてしまった)ことが発端です。きちんと管理されていないアカウント、つまりIDとパスワードが漏洩しているのに変更していないようなアカウントは、万能のバックドアだと言えるでしょう。

 最近はクラウド型のメールサービスを活用することも多くなっており、メールを読むために自社のファイアウォールを経由して… といった面倒な認証手続きがもはや昔話になりつつあることも、Emotetの被害が増えている原因だと言えるでしょう。

 では何をすべきでしょうか。自社のアカウントがどれくらい漏洩しているか、すでに調べていないとしたら、まずそこから手をつけるべきでしょう。それから、IDとパスワードだけでログインさせるのは、そろそろ時代遅れだということも認識すべきでしょう。パスワードに加えて、USBトークンや指紋などを使って「知っていること」に加えて「持っているもの」で認証する方式(2要素認証)も国際標準化が終わっていて、Gmailをはじめとして多くのクラウドサービスで利用することができます。

 今回はこれくらいにしておきましょう。次回は IoT のセキュリティについて、お話ししたいと思います。


■関連ページ
【サイバーレジリエンスコラム】
 ・バックドアとの戦い(1)

【アクセリアのサービス一覧】
 ・セキュリティ関連サービス

<<< 前の記事 | 一覧 | 次の記事 >>>

門林 雄基

アクセリア株式会社 主幹研究員
奈良先端科学技術大学院大学 先端科学技術研究科 教授
WIDEプロジェクトボードメンバー

◆crash.academyで動画講座公開中です。(動画視聴には会員登録が必要です。)
https://crash.academy/lecturer/kadobayashi