2009年のセキュリティ業界

ITmediaの記事「1分で分かる2009年のセキュリティ業界」からです。

この記事では、2009年のセキュリティ業界をあらわす事柄として、以下のようなものが挙げられています。

・2009年度ワーム・オブ・ザ・イヤー：最大の脅威となったConficker

・Windows 7

・ソーシャルネットワーキング

・SEO（エンジン最適化）攻撃とスケアウェア（偽アンチウイルスソフト）詐欺

・iPhoneワーム

・2009年クラウドセキュリティ

どれも「確かに･･･」というものばかりですが、ワーム関係ではGumblar（通称GENOウイルス）もインパクトが大きいですね。
（特に最近のこのニュースにより）

ここに挙げられているものは、「2010年も引き続き･･･」になりそうなものばかりです。

平成21年度秋期情報処理技術者試験、過去最高の合格率

IPAのプレスリリース「平成21年度秋期情報処理技術者試験（応用情報技術者試験及び高度試験）の合格発表について ～ 全ての高度試験区分で過去最高の合格率 ～」からです。

21日に、応用情報技術者試験及び高度試験の合格者が発表されています。

(1)　応用情報技術者試験は、応募者数が62,294名、受験者数が41,565名、合格者数が8,908名で、合格率は21.4％でした。
(2)　ITストラテジスト試験は、応募者数が8,322名、受験者数が5,514名、合格者数が754名で、合格率は13.7％でした。
(3)　システムアーキテクト試験は、応募者数が13,056名、受験者数が8,395名、合格者数が1,112名で、合格率は13.2％でした。
(4)　ネットワークスペシャリスト試験は、応募者数が25,161名、受験者数が16,368名、合格者数が2,433名で、合格率は14.9％でした。
(5)　情報セキュリティスペシャリスト試験は、応募者数が26,666名、受験者数が17,980名、合格者数が3,326名で、合格率は18.5％でした。
(6)　ITサービスマネージャ試験は、応募者数が5,788名、受験者数が3,673名、合格者数が460名で、合格率は12.5％でした。

情報セキュリティスペシャリストが3,326名誕生したわけです。
合格率は18.5％ということで、以前は8％くらいの時期がありましたので、かなり上がっていますね。

この「過去最高の合格率」というのをどう考えるのかですが･･･
とりあえず、数が増えているのは良いことでしょう。
しかし、市場の活性化とか、人材の質の向上とミスマッチの解消につながらないとねぇ、というのが率直かつ個人的な感想です。

検索サイトのキャッシュにマルウェア

ITmediaの記事「検索サイトのキャッシュにもマルウェアの危険」からです。

このリスクは「マルウェアに感染したサイト本体がダウンしている場合でも、検索で表示されるキャッシュに不正コードがそのまま残っていることがある」というもの。
そして「キャッシュには、サイトに仕込まれた隠しiFrameも含めてページのコンテンツが正確に反映され、偽ウイルス対策ソフトの配布ページにユーザーをおびき寄せる仕掛けも生きていた」ということです。

このテのマルウェアは、ウイルス対策ソフトでの検出も難しいということで、検索サイトのキャッシュにも注意が必要ということですね。
ほんとに、現在のインターネットはいつどこで感染するか分からない地雷原といえそうです。

年末年始のセキュリティ事故予防策

ITmediaの記事「年末年始のセキュリティ事故予防策、JPCERT/CCが紹介」からです。

もうそういう時期なんですね。
今年も1年が早かった・・・

さて、これらの項目のチェックでもしてみるとしますか。

＜システム管理と利用者がそれぞれに注意すべき項目＞
●全般
・緊急時の連絡網が整備、周知されていることを確認する
・休暇中に使用しない機器の電源を切る
●システム管理者向け
・最新のセキュリティ更新プログラムが適用されていることを確認する
・不要なサービスを無効にしていることを確認する
・各種サービスへのアクセス権限を必要最低限に設定する
・休暇時の業務遂行のために特別にアクセス制御を変更する場合、通常の状態に戻す手順やスケジュール、およびそれに合わせた監視体制が整備されていることを確認する
●システム利用者向け
・不要なプログラムがインストールされていないことを確認する
・生年月日や電話番号、アカウントと同一のものなど、容易に推測できる脆弱なパスワードを設定していないか確認する
・データを持ち出す際には、自組織のポリシーに従い、その取り扱いや情報漏えいに細心の注意を払う

＜長期休暇明けに確認すべき事項＞
●システム管理者向け
・導入している機器やソフトウェアについて、休暇中にセキュリティ更新プログラムを確認し、速やかに適応する
・休暇中に持ち出していたPCを組織内のネットワークに接続する前に、ウイルスなどに感染していないことを確認する（確認用のネットワークを別途用意するなど）
●システム利用者向け
・ウイルス対策ソフトの定義ファイルを最新の状態にし、ウイルス検知機能が有効になっていることを確認する
・休暇中に持ち出していた外部記憶装置などは、組織内のPCに接続する前にウイルスチェックを行う

＜参考URL＞
「冬期の長期休暇を控えて」～JPCERT/CC

「Googleによるデータ保有が人々の個性を奪う」

ITmediaの記事「「Googleによるデータ保有が人々の個性を奪う」―セキュリティ研究者シュナイアー氏」からです。

この記事はブルース・シュナイアー氏の以下のような主張によるものなのですが・・・

　プライバシーとは権力者による情報の悪用から人々を守るためのものだ。たとえ、調査されたときに、われわれが何も悪いことをしていない場合でもだ。人々は愛し合ったり、トイレに行ったりするが、これは何も悪いことをしているわけではない。われわれが熟考したり会話をしたりするときにプライベートな場所を探すのは、意図的に何かを隠そうとしているのではない。われわれは内緒の日記を付け、シャワーを浴びながら1人で歌を歌い、片思いの相手に手紙を書いては破り捨てる。プライバシーは人間の基本的要求なのだ。

　われわれのあらゆる行為が観察されれば、訂正、評価、批判、さらには自身の独自性の盗用といった脅威に絶えずさらされることになる。プライベートで罪のない行為に対して取締当局の監視の目が向けられることにより、人々は注意深い視線に縛られる子供になってしまい、自分の残した形跡が今にも、あるいはいつか将来、何らかの事件と関連付けられるのではないかと絶えずおびえるようになる。人々は個性を失うだろう。人々のあらゆる行為が観察・記録可能になるからだ。

ブルース・シュナイアー氏は個人的に好きな方なのですが、（率直なところ）「人々は個性を失う」というこの主張は「そうかなぁ～」と懐疑的にならざるを得ません。
論理的に飛躍している気がします。注意喚起や問題提起というより、必要以上にリスクを強調して不安を煽っているような・・・
それとも、やはり、シュナイアー氏はアンチ・グーグル派？

何にしろ、リスクがあることはその通りなので、解決策は必要ですね。
専門家としては、不信を抱いたり、不安を煽ったりするのではなく、こういう考え方をすることが必要です。
それについて、この記事ではこう結ばれています。

　ではどんな解決策があるのだろうか。データの匿名化は無意味だ。だれもそんなことでは満足しないからだ。それよりも、Googleはリアルタイム分析エンジンを開発すべきではないだろうか。これは、システムにデータが入る時点でユーザーに関するデータを選び出し、検索機能の改善にそれを利用し（リアルタイムのパーソナライズド検索のようなものだ）、その後でデジタル墓場に永久にそのデータを廃棄するというものだ。

　Googleは先週、検索結果をリアルタイムでインデックス化できることを示した。つまり、有用なユーザーデータをかき集め、コンテキスト広告のターゲット設定に役立つリアルタイム分析を実行するアルゴリズムをGoogleが作成するのは、現実的に可能だということだ。

　そうすればGoogleは、ユーザーデータを保存してそれを匿名化手法で覆い隠さなくても済む。Googleは技術的チャレンジを解決するのが好きだ。つまり、同社がプライバシー問題を解決するために技術に目を向けるというのは、理にかなったことなのだ。

偽セキュリティソフト被害は1億5000万ドル超

ITmediaの記事「偽セキュリティソフト被害は1億5000万ドル超、FBIが注意喚起」からです。

この記事によると、

米連邦捜査局（FBI）は12月11日、ネット閲覧中にポップアップメッセージをしつこく表示して偽セキュリティソフトの導入を迫る手口が横行しているとして、消費者向けの注意喚起を行った。この手口による被害総額は推定1億5000万ドルを超えているという。

とのこと。私個人の予想をはるかに超える推定金額でした。
これだけの被害（攻撃者によっては、「市場」ということになります）があるということは、まだまだしばらくはこの手口が使われ続けられる、ということが予測できます。

ちなみに、対策は以下のようなものを推奨しているようです。

偽セキュリティソフトは名のある大手の製品を思わせる名称でだまそうとすることも多いため、ユーザーがセキュリティ製品を導入する際は、正確な製品名を確認する必要があるとFBIは忠告。もしも偽ソフトの購入を迫る警告メッセージがポップアップが表示されたら、ブラウザを閉じるかPCの電源を切り、再起動した後に正規のウイルス対策ソフトでPCをスキャンするよう促している。

2010年はソーシャル・ネットワークを悪用した攻撃が増加

Computerworldの記事「SNSや銀行を狙ったサイバー犯罪が増加傾向に―シスコ調査」からです。

この記事のサブタイトルは「かつてのフィッシングに代わり、「Koobface」や「Zeus」などのマルウェアが台頭」となっていて、「フィッシング」は、すでに過去のもの扱いなんですね。

現在、増加傾向にあるのは、ソーシャル・ネットワーク（「Facebook」「Twitter」など）を悪用したものや、データを盗み出すトロイの木馬「Koobface」などとのこと。2010年にはソーシャル・ネットワークを悪用した攻撃が大問題になると予想されています。

そして、最後にこのように締めくくられています。

　だが、それでも廃れることのない手口がスパムである。Ciscoでは、米国をはじめ各国が一部のスパマーをオンライン上から追放したにもかかわらず、スパムの量は来年30％～40％増加すると予想している。ただし、米国発のスパムは2009年に20％減少し、米国はもはや世界最大のスパム発信国ではなくなった。今やブラジル発のスパムのほうが多いということだ。

スパムは、まだしばらくは健在のようで…

クラウドサービスを使った攻撃

ITmediaの記事「Amazon EC2からマルウェアを遠隔操作、クラウド利用に着目か」からです。

Amazonのクラウドサービス「Amazon EC2」を使って感染PCをコントロールしているマルウェアがあるそうです。

クラウドサービスというと、ユーザーがサービス提供者に情報を預ける、サービスを委託する、ということばかりに目が向いているようです。
しかし、「クラウド化」はIT環境そのものの変化を意味するわけで、攻撃する側も何ら変わりがないということですね。

友達の友達はみな友達？

ITmediaの記事「架空ユーザーからの友達リクエストに多数反応、Sophosが実験」からです。

この記事では「ソーシャルネットワーキングサービス（SNS）で知らない相手から届いた友達リクエストに応えてしまうユーザーがあまりに多い」という問題を取り上げています・

　Sophosではユーザーの反応を調べる目的で、米大手SNSのFacebookに架空のユーザーアカウントを作成。「デイジー・フェレティン・21歳」にはアヒルの玩具の写真を、「ディネッティ・ストーニリー・56歳」には2匹の猫の写真を添えて登録し、Facebookユーザーの中からそれぞれ同じ年齢層の100人ずつを無作為に選んで友達になりたいとリクエストを送った。

　その結果、2週間で合計95人の友達ができてしまい、頼んでもいないのに友達になった相手も8人いたという。Sophosでは2年前にも同様の実験を行ったが、今回の方が成功率は高かったとしている。

　友達になったユーザーのうち、20代の89％、50代の57％が生年月日を公開していたほか、友人や家族の個人情報を公開していたユーザーも20代の約半数、50代の約3分の1に上ったという。

そして「こうした手口を使えばSNSのユーザーをだまして簡単に個人情報を収集し、犯罪目的で利用できてしまう」と結ばれています。
そうなると（特に中高生の親御さんから）「SNSとかプロフは使うな」という話がよく聞かれます。
しかし、それでは問題の本質的な解決にはなりません。

私は個人情報に関する講演や認証についての講習などでよく話すのですが「友達の友達は、みな友達でしょうか？」ということを考えてもらうことが大事だと思っています。それによって、「誰が信頼できて、どこまで情報が開示できるか」ということが判断できるようになることが必要です。

本当は「友達の友達は、みな友達だ」のほうが、コミュニケーションとしては楽しく、あるべき姿なんですけどね・・・

ネット詐欺師の儲け方［前編］

Computerworldの記事「ネット詐欺師の儲け方［前編］」からです。

「金銭的利益を得るためにサイバー犯罪者たちはどういった手口を使っているのか」 という内容の興味深い記事です。
先月のこのブログの記事（地下経済の調査報告書「アンダーグラウンドエコノミー」）でも取り上げた、「地下市場」についての記事です。

攻撃の動向や動機を知るための様々な情報があります。

たとえば・・・
フィッシングおよびファーミングを仕掛ける人たちはGoogle、eBayよりも、PayPalが好きなんですね。（しかも圧倒的に）

後編も期待です・・・