ホーム » IT・セキュリティ

IT・セキュリティ」カテゴリーアーカイブ

恐怖の『ランサムウェア』 感染を避ける4つの習慣とは

サクセス!インテリアさんに寄稿しました。

「恐怖の『ランサムウェア』 感染を避ける4つの習慣とは」
今回は実際の感染から復旧、そして予防策までを、幅広くご説明しています。

http://success-interior.jp/it_consulting04/

Facebookアプリ、クリックの前にちゃんと読んでますか?

サクセス!インテリアさんにセキュリティの記事を寄稿しました。
ぜひお読みください。

プライバシーが危ない! 日常にひそむセキュリティの盲点 【第3回】
Facebookアプリ、クリックの前にちゃんと読んでますか?

今の、あなたのその投稿、大丈夫ですか?

サクセス!インテリアさんにセキュリティの記事を寄稿しました。
ぜひお読みください。

プライバシーが危ない! 日常にひそむセキュリティの盲点 【第2回】
今の、あなたのその投稿、大丈夫ですか?

”情報の宝庫”スマホの隠れた危険

サクセス!インテリアさんに記事を書きました。

http://success-interior.jp/it_consulting01/

とある社内SEの物語 敵は社内にあり!?

脆弱性の発見、標的型攻撃、ランサムウェア、不正送金、BEC詐欺と、ITセキュリティに関するニュースは毎日のように目にします。しかし、対策をしようにも、その出費を上長に納得してもらうことができない……そんな社内SEの経験談をもとに、上長の説得にはなにが必要になるのかを考えてみました。

◎標的型攻撃への対策が急務

総従業員約250名の企業で社内SEを務める内藤さん(仮名)は、年金機構の情報漏洩事件を教訓として「怪しいメールは開かないように」との社内告知を繰り返してきましたが、その効果には疑問を感じていました。
そこで、実行すると日時とPC名およびユーザー名を記録する簡単なスクリプトを自ら書き、これをメールに添付して従業員に送る「IT防災訓練」を企画しました。
この企画には上長も取締役も乗り気で、すぐに実施することとなりました。送信するメールは、IPAが公表している「標的型攻撃メールの例と見分け方」を参考に作成。防災訓練のメールは、そのために取得した無料メールアドレスから全従業員あてに配信されました。
その結果は、驚くべきものでした。全従業員のほぼ半数が添付ファイルを実行したのです。
ウイルス対策ソフトは導入済みでしたが、それでは検知できないマルウェアが実際の標的型攻撃メールに添付されてくる可能性もあります。
ひょっとしたら、すでに何らかのマルウェアに侵入されていることもあるのではないか?
そう考えた内藤さんは、すぐに対策案を考えました。

◎IPS導入の壁

どれほど啓蒙活動をしても、標的型攻撃メールにひっかかってしまう従業員は存在します。だとすれば、マルウェアの通信を遮断するIPS(侵入防止システム)を社内ネットワークに設置するしかありません。
これが内藤さんの結論でした。
幸いにも社内ネットワークにはファイアウォールが設置済みで、ライセンスさえ購入すればファイアウォールにIPSの機能を追加できます。新しくアプライアンスを購入するよりは安く済むので、出費にうるさい上長も説得できるはず……と内藤さんは考えたのです。
しかし、年間約350,000円のIPS導入を上長に提案した内藤さんは、思いがけない上司の言葉に直面することになりました。
「技術的な細かいことを言われてもよくわからない。そのIPSとかいうものを入れると100%安全になるのか?」
「いいえ、100%ではありません。でも、安全性は確実に高まります」
「今の安全性がどのくらいで、入れるとどのくらいまで高まるんだ?」
「今は対策を何もしていないので、無防備です。IPSを導入することで、まあ大丈夫、というくらいには安全になります」
「月々30,000円とは言え、そんな曖昧なことには使えない。却下だ」
内藤さんは上司という壁に直面したのででした。

◎技術にくわしくない上長の説得に必要なもの

内藤さんは悩んでいました。
従業員の約半数が添付ファイルを開いてしまう現状でセキュリティを守るには、IPSの導入は不可欠だという思いに変わりはありません。なんとかして上長を説得しなければならないのです。
悩む中で気がついたのは、上長のイメージの問題でした。本人も認めている通り、もともと上長は技術にくわしくありません。
対策にどのような意味があるのか、イメージができていないのではないか?
そう考えた内藤さんは、話をインフルエンザの予防接種にたとえて、上長の説得に再度チャレンジすることにしました。
インフルエンザの予防接種を受けても、100%感染しなくなるわけではありません。しかし、感染の可能性は減らせます。今回のIPS導入の役割は、インフルエンザの予防接種と同じなのです。
会社のネットワークが人体。標的型攻撃により社内に侵入するマルウェアが、インフルエンザウイルス。マルウェアの活動を妨害して無力化するIPSが、予防接種のワクチンの役割となります。
このたとえ話は、効果がありました。
上長はIPS導入に理解をしめすようになったのです。

◎さらなる壁

これでIPS導入に向けて前進できる、と内藤さんがホッとしたのも束の間、上長が言いました。
「インフルエンザのたとえ話はわかりやすくていいな。でも、そうなると、予防接種以外の対策はどうなっている? 予防には手洗いやうがい、感染してしまったら病院で薬をもらったり、感染を広げないために自宅待機したり、いろいろあるだろう」
ここで、内藤さんは自分の重大なミスに気づきました。
防災訓練の結果とIPSの導入ばかりを考えていて、全体像を見ていなかったのです。
内藤さんは、あらためて全体像から見直しました。
マスクの着用や手洗いのように人の行動が予防に役立つ部分は、社員教育をすることでカバーします。感染後の病院や薬、自宅待機などに該当する部分は、インシデント対策マニュアルを整備して体制を整えておくことで対応します。
標的型攻撃に対して、教育、IPS、対策マニュアル、という3本柱で備える——そんな全体プランを提示して、ようやく内藤さんは上長の説得にようやく成功したのです。

◎内藤さんに欠けていた2つの視点

この話には、大きなヒントが隠れています。
内藤さんが上長の説得に苦労した理由は、2つの視点が欠けていたからです。
1つめは、イメージの共有。問題意識や危機感といったあいまいなものを、内藤さんはきちんと相手に伝えて共有する努力をおこたっていました。IT用語やセキュリティ用語を並べても、うまく伝わらない相手は必ずいます。より身近な例を出して説明することは、イメージの共有にとても役立つことでしょう。
2つめは、全体像の把握です。現場の担当者は、目の前の事象ばかりに注目して、全体像の把握を忘れてしまいがちです。いわゆる「木を見て森を見ない」という状態では、正しい提案も判断もできなくなってしまいます。全体を見て判断を下す決裁権者たちを説得するには、時に「森を見る」ことも必要になるのです。

◎忘れられがちな「事後」のプランを準備する

セキュリティ対策の現場において思いのほか多いのは、予防措置を講じただけで対策が完了した気分になってしまうことです。ソリューションの導入をしただけでは不十分なことは言うまでもありませんが、利用者の教育をしても終わりではありません。100%の安全がありえない以上、インシデント発生時への備えが欠かせないのです。
インシデントへの対応は大きく「認知」「対応」「事後処理」の3ステップに分類されます。
いかに素早く攻撃があったことに気づくか、というのが「認知」です。インシデント発生から何ヶ月も、ときには何年も経過してから発覚することがありますが、そういうことを避けるためにも、インシデント発生に気づくための体制作りは必要です。
認知されたインシデントに対してどのような行動をとるか、というのが「対応」でです。対応が悪いと被害が拡大し、場合によっては社会的な制裁を受けることもありえます。対応を間違わないためにも、マニュアル化しておかなければいけません。
対応が終わった後には、再発防止策の検討という重要なミッションが待っています。これが事後処理の中心的な内容となります。同じ手口の攻撃で再度インシデントが発生してしまうと、社会的な信用は失墜してしまうでしょう。
以下に、「事後」のプランに参考になりそうな資料へのリンクを張っておきます。
これらをベースに、自社の現状に即した対策マニュアルを用意して、万全を機していただきたいと思います。

コンピュータセキュリティ インシデント対応ガイド(IPA 独立行政法人 情報処理推進機構)

情報漏えい発生時の対応ポイント集(IPA 独立行政法人 情報処理推進機構)

インシデントハンドリングマニュアル(JPCERT コーディネーションセンター)

「ハッカーになる方法」なんてクソの役にも立たない

世の中に「ハッカーになる方法」的なお題の書籍・記事は数多くあります。
しかし、私は断言します。
ハッカーになる方法を検索し、その記事を見てハッカーになる方法を学ぼうと思っているそこのあなた。あなたにはハッカーになる才能はありません。残念ですが、今すぐに諦めることをおすすめします。

◎ハッカーという「生きかた」

言葉の定義はいろいろありますが、私はハッカーを「生きかた」のひとつであると考えています。ハッカーというのは職業でも技能でもありません。
目の前に転がっている物事の背景を想像し、未知の仕組みへの理解を深め、思いもよらない方法で利益を得ることに喜びを感じる。
これがハッカーという生きかたです。
この「利益」という部分がキモで、だいたいにおいてハッカーが喜ぶ利益というのは「誰も考えなかった方法で得られたちょっとした利便性の向上」であったり、「予想外の手段で実現したいたずら心の充足」であったりするので、直接的に金銭がともなうものではありません。金銭がともなわないので職業としては成立せず、状況によって必要となる技術が異なるために特定の技能と呼ぶこともできません。
このハッカーという生きかたに必要となるのは、以下の3つの才能です。
・独力で課題を見つけて取り組める、飽くことのない好奇心
・誰かが教え導いてくれなくても答えを出せる、問題解決能力
・これらを支える、辛抱強さと集中力

◎商売としての「ハッカー」

中には、ハッカーとしての資質を、直接収入に結びつけようとする者もいます。技術力を売ってまっとうに稼ぐ者も多いのですが、中には不正アクセスをして情報を盗んで売りさばく者や、他人の銀行口座から勝手にお金を引き落とす者など、犯罪に手を染める者もいます。
これが、「ハッカー」という呼び名に犯罪行為のイメージがつきまとっている理由です。最近では、犯罪をおかす者を「ハッカー」、まっとうなハッカーは「ホワイトハッカー」と呼ぶことも多くなっているようです。
社会がコンピューターへの依存度を高めている今、犯罪者ハッカーにとっての商売は、とても実入りの良いものになっています。参考まで、以下に2015年から2016年に流行のきざしを見せている、犯罪者ハッカーの攻撃方法をご紹介しておきます。

・オレオレ詐欺のメール版「BEC(Business Email Compromise)」

攻撃者は、まず企業のパソコンに侵入して、乗っとります。そのPCでやりとりされたメールを解析し、得意先との取引情報を発掘。担当者になりすまして振込先の口座が変更になったと得意先に連絡し、誤った口座に振り込ませてお金を詐取します。企業のCEOになりすまして、経理担当者に送金指示をする形もあります。いずれも、メールだけで相手が本人だと錯覚してしまう人の心理的弱点を突く、攻撃手法です。

・パソコンのデータが人質「ランサムウェア」

攻撃者は、不正プログラムをばらまきます。攻撃メールの添付ファイルを開いたり、改変されたWebサイトを閲覧したりすると、使用者のパソコンに感染します。不正プログラムに感染したパソコンの内部では、保存していたファイルが勝手に暗号化されてしまい、閲覧不能になります。そこに表示されるメッセージは「データを取り戻したければ金を払え」というもの。どうしてもなくせない大切な仕事のファイル、個人的な思い出のファイル、これらを取り戻すには、身代金を払うしかありません。もちろん、払ったからといって、本当にデータが取り戻せる保証がないのも、実際の誘拐事件とそっくりなところです。

◎で、それでもハッカーになりたいの?

そんなあなたには、昔ながらのエンジニアの間でよく言われてきた格言をご紹介します。
「資格を持っている奴ほど使えない」
これは、日進月歩で新技術が生まれ、常に未知の課題に直面し、それを解決しなければならない技術者にとって、テキストを読んで勉強して試験を受けて資格をとる……なんて時間があったら、もっとやるべきことがあるだろう、というニュアンスです。たとえば上記で説明したような最近流行の攻撃手法について学び、対策を考えるとか。
資格で得られるのは、いわば必須の基礎知識です。その知識をどう使うかが問題であり、資格をとっただけでは何の役にも立たないわけです。しかも、今やGoogle先生に質問をすれば、不足している知識はいつでも補うことが可能です。
ネットで調べればわかる知識が頭の中にあるメリットは、課題解決にかかる時間が短縮できるという意味しかありません。
資格をとったことに満足せず、既存の知識を組み合わせて新たなアイデアや価値を創造する努力を続けてください。

で、具体的にどういう努力をすればいいかって?

まずその課題から独力で解決してみましょうかw

公衆無線LANは危険! 安心につなぐ3ヵ条

外出先でもスマートフォンでネットにつながっているのが当たり前の時代となりました。そこで問題になってくるのが、データ通信量の増加です。
私は動画の視聴などはほとんどせず、ネットでは調べ物をするだけです。普段は文章を書くだけなので、ネットに繋がっている必要性すらありません。しかし、スマートフォンをフル活用している方々にとっては、毎月のデータ通信量の上限にまつわる問題は深刻ですね。
月半ばで上限に達して通信の低速化に見舞われ、追加のお金を払って解除。それから1週間もたたずに、また低速化になる……そんな経験をしている人も多いのではないでしょうか。
そこで利用したくなるのは、外出先で使えるWi-Fiです。もちろん、追加の費用なく誰でも使える無料のWi-Fiであれば、なおのことありがたいでしょう。
でも、軽い気持ちでつないでいるそのWi-Fi、本当に安全ですか?
今日は、そんな公共の無料Wi-Fiにまつわるお話です。

◎そのネット回線は安全? ホテルにひそむ罠

多くの場合、ホテルの部屋にはネット回線が用意されていますよね。昔は部屋に有線ネットワークケーブルの差し口が用意されていましたが、今はケーブルがなくても簡単につなげられるWi-Fiが増えました。
ところが、です。
先日、こんなニュースが流れました。
『旅館のLAN、ウイルスの危険も サミット控え守り薄く』(asahi.com)
要約すると、宿泊施設が提供している無料Wi-Fiの設定が不正に書き換えられ、つないだ人にウイルスを観戦させる可能性がある状態になっていた、という内容です。
適切に管理されていないWi-Fiスポットは容易に改変可能で、意図せず危険なサイトへ誘導されたりする可能性があるのです。
この攻撃手法は目新しいものではなく、数年前にも大きなニュースとなりました。
『宿泊客を狙うウイルス「ダークホテル」に要注意』(nikkei.com)
にも関わらず、ホテル側の対策は進んでいないようですね。利便性ばかりを優先させた結果として、セキュリティに問題のある状況が残り続けているのです。

◎通信内容が丸見え! 野良Wi-Fiの恐怖

外出先など接続可能なWi-Fiの電波を見ると、おどろくほど多数の電波が飛び交っていることがわかります。
ネット接続欲しさに、よく知らないWi-Fiにつないだりしていませんか? ほとんどのWi-Fiはパスワードの入力を求められますが、中にはパスワードなしであっさり接続できてしまうものもあります。
しかし、そのWi-Fiは、誰がどんな目的で設置をしたものか、わかっていないのであれば使うべきではありません。
無料には、無料の理由があります。会員や訪問客への利便性の提供という善良な理由だけではなく、接続された機器を監視したりウイルスを送り込んだり、といった悪意のある理由がひそんでいる場合もあります。
通信が暗号化されていない場合、あなたが打ち込んだ内容が丸見えになってしまいます。それどころか、前述の「ダークホテル」のところでも書いたように、意図せず危険なサイトに誘導されてしまうかもしれません。
たとえば、あなたがいつも使っているネットバンキングのサイトにつないだつもりが、実は悪い奴らが用意した偽サイトだった、なんてことも起こり得るのです。偽のサイトに銀行のID/パスワードを打ち込む……なんて想像しただけでおそろしいですよね。
野良Wi-Fiには、そんな危険が潜んでいます。
タダより高いものはありません。日常的に外出先でネット接続するのであれば、スマートフォンのテザリングやポケットWi-Fiの契約を別途おこなって、野良Wi-Fiの使用は絶対に避けましょう。

◎パスワード記憶の罠

意外に見落としがちなのは、Wi-Fiのパスワードが端末に記憶されることです。同じWi-Fiスポット名を見つけると、機器は自動で記憶されたパスワードで接続を試みます。
最近はあまり見かけなくなりましたが、昔は「この名前がウチのWi-Fiスポットだから、このパスワードを打ち込んで使ってね!」というスタイルのWi-Fiがありました。もし悪い奴らが、このWi-Fiスポット名と同じものを、同じパスワードで用意していたら……。
本家のWi-Fi一度でも使ったことのある人なら、その偽のスポットに近づくだけで接続してしまします。
それから先に起こることは、前述のとおり。
悪い奴らは、あの手この手で悪意のある通信設備にあなたを呼び込もうとしています。
そのことを忘れずに、慎重な行動を心がけてください。

◎外出先でのWi-Fi利用3ヵ条

1.個人的なID/パスワード類は打ち込まない

ネットバンキングや通販サイトのログイン、クレジットカード番号などは、外出先では打ち込むべきではありません。一見安全に見えるWi-Fiでも、「ダークホテル」のような形で悪者に乗っ取られている可能性は否定できないのです。

2.つなぐ場合は鍵マークのついたもの

鍵マークのついたWi-Fiは、パスワードで保護されて暗号化されています。最低限、この鍵マークのついたWi-Fiにつなぐようにしましょう。ただし、暗号化形式のうち「WEP」という形式は古く、暗号化解除が容易だと言われています。「WEP」の表示が出るWi-Fiは、鍵マークがついていても使用を避けましょう。

3.固定パスワード共用のWi-Fiはダメ

Wi-Fiのパスワードを公開しているようなサービスは、偽スポットの作成が容易なので避けましょう。最近では、まず最初にユーザー登録して専用のパスワードを発行してもらい、それを使ってWi-Fiに接続するようなタイプが増えています。パスワードが共用でないぶん、安全性が高くなっていますので、可能な限りこのタイプを使うようにしてください。

以上、どうぞお気をつけください。

パスワード管理の落とし穴 絶対にやってはいけない3つのコト(とおっさんの教訓)

仕事でお会いした女性と会話しているうちに、こんな話に発展しました。
「へー、滝澤さんはITコンサルタントなんですね。それって何をする仕事なんですか?」
「ひらたく言うと、ITに関連する相談を受けて、解決策を一緒に考える仕事ですね」
「そーなんだー。じゃあ、あたしの相談も聞いてくれます?」
「有料ですよ」
「かんたんなことですから。お願いしまぁーす♪」
「しょうがないなぁ。いいですよ、なんですか?」
女性の頼みごとにはめっぽう弱い私のことです、渋い顔はポーズだけで、内心では大喜びで話を聞くことにしました(^^)
「Gmailのパスワードがわかんなくなっちゃったんです〜」
なんだ、楽勝じゃないか。
私は軽い気持ちで、そのドツボにはまり込んでいったのでした。

◎パスワードの復旧ができない?

多くのWebサービスには、「パスワードリセット」機能がついています。登録時に管理用メールアドレスを登録しておき、パスワードがわからなくなった場合にはそのメールアドレスあてに再設定手順を送り届けてくれる機能です。
この機能を使えば簡単……と思いきや、女性からは驚きの言葉が返ってきました。
「登録しておいた管理用のメール、もう見られないんです」
「はい?」
「ケータイのメアドを登録したんですけど、その後で機種変しちゃって。あたし、2年ごとにキャリアを変えてるんです。そのほうがおトクでしょ♪」
ぬぁっ……。
変えた時はそのアドレスを登録しているサイトも全部変更しなきゃ、とか、そもそもそんなに頻繁に変更しないアドレスを使うべきでしょ、とか、さまざまな小言が頭に浮かびましたが、わたしは言葉を飲み込みました。
Gmailを使うためのGoogleアカウントには、管理用メールアドレスが使えなくなった場合のパスワードリセット機能もあったはずです。
「ここから、いくつかの質問を答えていくと、パスワードがリセットできると思います。私もやったことないから、どういう質問が出てくるかわからないですけど」
「やってみまーす。一緒に見ててもらっていいですかぁ?」
「仕方がないなぁ」(←ちょっと嬉しそうなバカ)
画面には秘密の質問「ペットの名前は?」が出てきました。そこからつまずきます。
「カタカナにしたっけ? アルファベットで打ったっけ? おぼえてないなぁ……」
次はGoogleアカウントの取得時期。
「え〜っ? そんなのおぼえてるわけないよ〜!」
登録していたことのあるメールアドレス。
「機種変前のメアドなんて、おぼえてないよ〜。むりむり!」
と、すべてのステップでつまずきました。
もちろん、てきとうに入力した情報がマッチするはずもなく、リセットは失敗に終わりました。
「しばらく使ってなくて重要な情報も残ってないようだから、このアカウントは諦めて捨ててしまって、新しくとりなおすほうがてっとりばやいですね」
そうアドバイスすると、彼女から驚愕の一言が。
「そうですねー。誰かに勝手にパスワードを変えられて乗っ取られてから、ずっと使ってなかったし。もう、いっかなー♪」
……はい? 今、なんと?

◎アカウント乗っ取りの恐怖

実際にアカウント乗っ取りの被害にあった経験のある人は、けっこうな数にのぼると思います。
ですが、その多くが、乗っ取られた個別のアカウントだけの問題だと誤解しがちです。
現実問題としてどのような影響のひろがりがあるのか、ここで解説しましょう。
今回の彼女のGoogleアカウントを例にして、以下の情報が登録されていたと仮定します。
管理用メールアドレス:abcdefg@i.softbank.ne.jp
Gmailアドレス:hijklmn@gmail.com
秘密の質問と回答:ペットの名前は?/ジョン
パスワード:1234567890
彼女のパスワードをなんらかの手段で破った不正アクセス犯は、次に他のサービスへの侵入を試みるはずです。

・代表的な無料メールアドレスへのログイン試行

無料で登録できるメールアドレスはGoogle以外にもあります。たとえばiCloudをターゲットにするのであれば、「abcdefg@iCloud.com」と「hijklmn@iCloud.com」に、パスワード「1234567890」でログインを試みます。もしも、@の前が共通のメールアドレスを同じパスワードで登録していれば、一発で侵入されてしまいます。

・代表的なSNSへのログイン試行

今度はメールではなく、SNSがターゲットです。登録済みの「abcdefg@i.softbank.ne.jp」「hijklmn@gmail.com」をIDとして、パスワード「1234567890」でログインを試みます。

・さらにさらに!?

ほかにも、メールアドレス+パスワードでログイン可能なWebサービスはたくさんあります。
パスワードが違っていたとしても、メールアドレスや秘密の質問と回答が使い回されているサービスがあれば、パスワードをリセットすることで不正ログインができるかもしれません。
もしもSNSの侵入に成功したとすると、そこに登録している情報から住所や友人たちとの私的なやりとりを盗み見られるかもしれません。
Facebookのように共通のIDで他のサービスにログインできる機能を提供しているSNSが乗っ取られたら、その影響範囲はどこまでも拡大していきます。
こうした内容を説明したところ、彼女から衝撃の告白が。
「そっかー。だからiCloudもログインできなくなっちゃったんですねー」
……おいおい(^^;)

◎対策は……?

彼女がとるべき対策は、ひとつしかありません。
同じパスワードを登録している可能性のあるネットサービスを巡回して、片っ端からパスワードを変更してまわるのだ。
そのことを伝えると、彼女はひとこと。
「えー面倒くさいですよー」
「じゃあ、ショッピングサイトとかで、登録されているクレジットカード情報を使って勝手に注文されたら?」
「それはこまる〜」
「じゃあ、誰かがあなたになりすまして、友人たちに変なメッセージを送ってもいい? たとえばお金をせがむとか」
「やですよ〜」
「じゃあ、SNSの写真を見て一方的に盛り上がった男かがあなたの住所にまでやってきたら?」
「こわっ」
「だったら、パスワード変更はしたほうがいいです」
「滝澤さん、なんとかしてくださいよ〜」
「いや、あなたのパスワードを私が管理するわけにはいかないですから」
「なーんだ。ITコンサルタントっていっても、たいしたことないですね」
…………。
ぎゃふんっ。

◎本日の教訓

・パスワードの使い回しは超危険。全部別々にはできなくても、メールアドレスのパスワードとWebサービスのパスワードは別々に。一緒、ダメ、絶対!
・乗っ取り被害にあったら他のサービスも含めてすぐにパスワード変更を。変更しない、ダメ、絶対!
・いざというときのリセットのために、管理用メールアドレスは常に使えるものを。使えないメアド、ダメ、絶対!
・おっさんのスケベ心は怪我の元w

以上、お粗末さまでした(^^;)

これからのセキュリティの話をしよう 〜「テロとの戦い」に見るコンピューティングの未来〜

テロリズムは人類の長い歴史に付きまとってきた深刻な課題であるが、2001年9月11日のアメリカ同時多発テロ以降、テロを実行する側と防ぐ側の争いは新たな段階に突入したと言える。
一方、コンピュータの世界ではすでに「サイバーテロ」という言葉が生まれていることからもわかるように、サイバー攻撃や不正アクセス、マルウェアなど、コンピューティングにおける各種の「不正な手段」も、テロと不可分ではなくなってきている。
現実世界での「テロとの戦い」の変遷から、近い将来コンピューティングの世界で起きるかもしれない未来の姿を想像してみたい。

◎パラダイムシフトの契機となった911

2001年9月11日、ハイジャックされた航空機が高層ビルに突っ込んだ。航空機がビルに激突して炎が吹き上がる瞬間、炎上していたビルが崩落する瞬間の映像が、メディアを通じて繰り返し流された。
この映像が、自由主義の国にアンチ自由の風潮を生み出したのである。
テロリストに破壊活動をおこなう自由はない。国を守るためならば、自由が制約を受けても仕方がない。愛する人を失った復讐のためならば、疑わしきは罰してしまえ。
メディアが流し続ける破壊の映像を見る者は、恐怖と怒りのないまぜになった感情の中で、そう感じていたのである。
これは、自由を尊んできたアメリカが変質をきたした瞬間であった。

◎自由主義社会における自由の死

かつて、自由主義/資本主義⇔社会主義/共産主義という対立軸の東西冷戦時代があった。しかし、自由主義/資本主義陣営の筆頭であったアメリカにおいて、2016年の大統領選では「民主社会主義」をうたう候補者が大躍進を見せた。
内戦状態のシリアからヨーロッパへ流入を続ける移民の問題でも、特定のカテゴリに属する人を排除しようという動きが増えてきている。
これは、テロリストと、その予備軍(と思える人)への、自由の制限にほかならない。
背景には、本来テロリズムとは無関係だったはずの経済問題、とくに新自由主義に基づく市場経済において「負け組」となった庶民たちの、負の感情が渦巻いている。自分が社会の仕組みに適合できない、能力が低い、学がない、努力が足りない……などとは認めたくない負け組が、スケープゴートとして「移民が俺たちの仕事を奪っている」という理屈にしがみついているのだ。
が、そうした転嫁は昔からよくある話。
問題は、現在の自由主義社会にそうした多数の庶民の怨嗟を処理できる能力がないことを、多くの者が気づきはじめたことである。
自由主義社会における自由は、失権が著しい。

◎自由と性善説によって成り立ったインターネット

1980年代はじめにインターネットが生まれた当初、ネットワークを構成する機器を運用する人に他人を害する意図を持つ者がいるとは想定されていなかった。基盤となる技術も公開されていて、実にオープンで自由な仕組みであった。
後にさまざまなセキュリティ面における脆弱性が発見され、修正されてきたが、インターネットの根幹をなす思想が「自由」であることに変わりはない。誰もが自分の自由意志で発信し、自由意志で情報を受信する。
裏を返せば、ネットは究極の「自己責任主義」によって成り立っているとも言える。
自分が発信した情報に問題があれば、その尻拭いは自分自身でしなければならない。自分が受信した情報は、自分自身で精査し、取捨選択しなければならない。それが、自由にともなう責任であった。
しかし、情報技術に詳しくない者が日常的にネットを使うようになり、その依存度が増している今、この自己責任主義では利用者の利益を守ることが困難になってきている。
それが、自由なネット社会にとってのテロリストとも呼べる、サイバー犯罪者がもたらした変化であった。

◎過渡期における利用者の意識の混乱

メーカーは商品を完成形で提供し、ユーザーは商品を壊れるまで使い続ける。これが旧来の消費のありかたであった。
そうした完成品の購入に慣れた者にとっては、ソフトウェアほど不可解な商品はないだろう。不完全な状態で提供され、随時更新が必要となる商品など、欠陥品に感じられるに違いない。
しかし、この意識のずれが、ソフトウェアの更新をおこたり、サイバー犯罪者につけ込まれる隙を生み出している。こうした隙の多い今の世界は、サイバー犯罪者にとって最高の狩猟場だろう。しかも、最小限ので最大限の効果を得るべく、攻撃を自動化している。利用者はいつでも攻撃者がしかけた罠にかかってしまう危険があるのだ。
この状況は、デジタル・ネイティブ世代が社会の中心となり、商品は不完全な状態で提供されて常に更新により改良されていくもの、という意識が社会全体にきちんと浸透していくまで続くだろう。

◎インターネットにおける自由の対価

もっとも、どれだけユーザーの意識が向上しようと、サイバー犯罪は増えることはあっても減ることはないだろう。
ネットバンキングを使う人が増えれば、不正アクセスによる送金が増える。不可欠なデータが増えれば、そのデータを人質にして金銭を要求するランサムウェアが流行する。このように、人々がネットに依存する率が高くなればなるほど、サイバー犯罪の収益率は上昇してきた。
サイバー犯罪者が利用するセキュリティ・ホールも、見つかれば修正されて更新が配布されるものの、日々新たな欠陥が見つかり続けていて修正作業が間に合わない。
さらに、ネットにおける「自由」が犯罪者をのさばらせている要因となっている。
ネットを正しいことに使うのも自由。
悪いことに使うのも自由。
この状況は、サイバー犯罪者との不利な戦いを強いられているセキュリティ専門家たちにとって、まさに切望的である。専門家たちがどれだけ努力をしても犯罪者の勢いを止めることはできないのである。

◎ネットの自由は死ぬのか

私たちは現実世界での自由の死を目の当たりにしている。このことから、ネットの自由も死に向かっていくと考えるべきである。
しかし、結論から言えば、ネットの自由は死なないだろう。自由を制限すべし、という声は多く生まれ、そのための対策も多数考案されるはずである。しかし、その対策自身にもセキュリティホールがあり、対策を回避する方法が編み出され、共有されるはずだ。
制約を受けながらも生き続けるネットの自由。
それはユーザーにとって不都合この上ない状況となるだろう。
・国家からは自由の制約への圧力がかかり続ける
・犯罪者からは攻撃を受け続ける
・情報の発信と受信においては自己責任を追求され続ける
これらの不都合があってもなお、私たちはネットの利便性に依存し続けるに違いない。

◎セキュリティと自由の間で私たちにできること

これから先さらに増えていくだろう不都合に向き合うために、私たちにできることとは何だろうか。
一般のユーザーにできることは少ないが、それでもいくつかはある。

・更新を怠けない

OS、アプリ、その他各種ソフトウェアの更新は、なるべく迅速に適用していかなければならない。
あなたの財産や利便性を守るために、攻撃者に見せる隙は少ないほうが良いのはいうまでもないが、そのためには更新の適用が不可欠である。
しかしながら、更新の適用には慎重さも求められる。iOSを更新したらiPhoneが使えなくなった、だの、Windowsの更新を適用したらパソコンが起動しなくなった、だの、更新そのものの不具合も多い。公開されてから数日は様子を見て、問題なさそうであれば更新するという姿勢でいるほうが安全である。

・タダより高いものはない

ネット上には無料でダウンロードできるものが多数ある。
純粋に善意から公開されているものもあるだろう。しかし、多くの場合、その無料にはワケがある。
無料を餌に人を呼び集めて宣伝を見せることで利益を上げる広告モデルや、基本無料だが有料サービスで機能を付加させるフリーミアムなどは、有名だろう。しかし、中には無料で集まった人たちにウイルスをばらまくことを目的とした、邪悪この上ないものもある。
無料の甘い罠には、十分な注意が必要だ。

・無知は言い訳にできない

最低限の知識は身につけておかなければならない。
世界には邪悪な攻撃者がいて、いつでもあなたの財産を狙おうとするだろう。国家は保安を理由に、あなたの発言を監視しようとするだろう。そんな人がいるとは思わなかった、は通用しないのである。
ほかにも、あなたがSNSで発信した情報は、全世界に向けて公開されているのか、友人にだけ届いているのか。あなたが何気なく打ち込んだIDとパスワードの組み合わせは、万が一漏洩してしまったときに他に影響がないか。など、気をつけるべきことは無数にある。
無知を言い訳にせず、常にセキュリティに心を配っていただきたい。

これからのセキュリティの話をしよう 〜決して折り合わないAppleとFBIの泥仕合に見る個人情報保護〜

iPhoneのロック解除をめぐって争われていたAppleとFBIの泥仕合が、多少の火種を残しつつもいちおうの決着を見た。FBIが「外部の協力者」のおかげでロックの解除に成功したという。
この一連の騒動について視点を変えて考えてみると、個人情報をめぐる環境について、これまでとはすこし違った景色が見えてくる。

◎個人情報はすでにダダ漏れである

みなさんは、どこまで熱心に「プライバシーポリシー」を読んでいるだろうか。
私たちが日常的になにげなく閲覧しているWebサイトやサービスなどには、ほとんどの場合「プライバシーポリシー」というドキュメントへのリンクがある。このドキュメントには、サイトにアクセスした人が意識的もしくは無意識的にサイト運営者に渡してしまっている個人情報の取り扱いについて記載されている。もちろんその内容はさまざまであるが、おおむね以下の点では共通している。
1.あらかじめ決めてある用途以外に個人情報を利用しません
2.法律に従ってきちんと個人情報を取り扱います
3.ただし特定の場合には個人情報を事前の承諾なく他者に開示します
そう。特定の条件を満たした場合には、運営者は集めた個人情報を勝手に外部へ引き渡す、と規定しているのである。そして、この「特定の条件」の部分でもっともメジャーなのは、法令に基づく場合、人の生命や財産の保護に必要な場合、といったものだ。
運営者が必要と判断したら、自由に個人情報は開示される。それが現実である。

◎司法への個人情報の開示は当然の義務:FBIの視点

犯罪捜査のために運営者がログを開示する……というのは、もはや日常茶飯事である。
十数年前、匿名掲示板に書き込まれた内容から犯人を特定するために運営者がログを司法に渡す、という行為がニュースになっていた。しかし、最近では当たり前のこととなり、開示そのものがニュースになることはなくなっている。
当然である。
当時は、匿名のつもりが実は匿名ではなかった、という事実が目新しかっただけなのだから。
法律に従い、司法の求めに応じて手持ちの情報を渡すのは、運営者にとってはいたって自然なことである。
その感覚からすれば、銃乱射事件の捜査のために被疑者のiPhoneをロック解除して情報を見られるようにしろ——とFBIが主張するのは、無理もない。

なんでできないんだ、犯罪者を擁護するつもりか、それじゃあ犯罪者といっしょじゃないか、ふざけるなApple。

それがFBI側の思いだろう。
しかしながら、これは重大な事実誤認に基づく感情的な意見である。
すでに取得している情報を開示するだけならAppleもNoとは言わなかったはずである。犯人がAppleのサービスを使った際のログを提供せよ、という内容がFBIの要求であれば、まったく問題がない。
問題なのは、現在存在しない「ロックを解除するソフトウェア」を開発せよ、という点である。存在しないものを作れ、というのは、取得済の情報を開示せよ、という要求とはまったく異質なのだ。

◎利便性という名の光とセキュリティホールという名の闇:Appleの視点

私たちの身の回りには便利な道具やサービスが満ちあふれている。それらには複雑なプログラムが組み込まれており、このプログラムの機能によって利便性が提供されていることは言うまでもない。

利便性を光とすれば、プログラムに潜むセキュリティホールは闇である。複雑なプログラムを作るのが人間である以上、必ずミスは起こる。このミスがセキュリティホールを生むのである。そして、セキュリティホールが存在する以上、それを悪用しようとする犯罪者は必ずあらわれる。
利便性を手にいれるために、私たちは犯罪被害者となる潜在的なリスクとしてのセキュリティホールを甘受するしかないのである。
Appleからすれば、FBIに要求されていることは、自身の製品のセキュリティホールを見つけて不当に侵入するツールを作れ、と言われているに等しい。

セキュリティホールは発見次第すぐに修正するべきものだ、それを使って侵入するツールを作るなんて犯罪者と一緒じゃないか、ふざけるなFBI。

これがApple側の思いだったに違いない。
そもそも、セキュリティホールが残っていたら、犯罪者に悪用されかねない。仮に今回、AppleがFBIの求めに応じて侵入ツールを作ったとしても、すぐにAppleは自社製品の使用者のセキュリティを確保するために、セキュリティホールを修正するだろう。
では、次の事件が起きたら? またセキュリティホールを見つけ出し、一度限りの侵入ツールを作って提供し、すぐにセキュリティホールをふさぐ。
これでは堂々めぐりである。
こうして、AppleとFBIの不毛な争いは解決を見ないまま泥沼化していたのである。
そこに登場したのが「外部の協力者」である。

◎不正なはずの侵入が許されてしまう「正当な理由」:外部協力者の視点

技術者の視点であれば、Appleの対応は当たり前すぎて、議論する余地などない。

しかし、犯罪者が保存していた情報にアクセスしたいという司法当局の思惑も理解できる。事件の全容解明に必要なのであれば情報を入手する手段を提供してやってもいい。
そんな協力者が登場したとしても不思議ではない。ロック解除に成功した協力者が具体的にどのような手段を使ったのかは不明だが、協力者はセキュリティホールを突いて侵入し、ロックを解除したはずである。

なんだ、FBIの技術力もたいしたことないな。俺がひと肌脱いでやるよ。

外部協力者はこのように考えたに違いない。
通常であれば、侵入は犯罪である。おこなえば逮捕されても文句は言えない。理論上、侵入方法が存在することは知っていても、それを試す機会は限られている。
が、その技術的なチャレンジを正当化してくれる条件がいくつかある。所有者本人からの依頼があった場合と、司法当局からの免責が認められている場合だ。
もしかすると、FBIから報酬がもらえるかもしれない。見つけた新たなセキュリティホールの情報をAppleに伝えれば、報奨金が出るかもしれない。実利もあり、技術的な好奇心も満足させられる千載一遇のチャンスだったのである。
この外部協力者が善良なホワイトハッカーだったかどうかは、侵入に使ったセキュリティホールの情報をAppleに報告したかどうかにかかっている。技術者としての道義心があれば、セキュリティホールは放置できないだろう。
さて、この協力者、はたして黒かだったのか白だったのか?

◎目的は手段を正当化する風潮の中での自衛手段とは?

FBIの思惑の根底には「目的が正しければ手段は問わない」という考え方がある。これは、2001年9月11日の同時多発テロ以降、とくに増えてきた風潮である。公共の安全のためであれば、人権は制限されても構わないということだ。
マイケル・サンデルはこんな問いかけを学生にしている。
「1人を殺せば5人が助かる状況があったとしたら、あなたはその1人を殺すべきか?」
多くの学生は「殺すべき」と答えたという。殺人という犯罪行為はより多くの人を救う目的のために正当化される、という考え方が、現代の社会には蔓延していることが、このことからもよくわかる。
われわれが暮らす現在の社会は、大義があればより小さな悪には目をつぶる。そういう社会なのである。

もちろん、ここでその是非を議論するつもりはない。
個人情報は漏れる。
意図せず、もしくは意図的に、時には公権力によって強制されて、必ず。
そんな不都合な現状を受け入れ、自分の個人情報を守るためにどうすれば良いのかを考えてみたい。

【対策1】何か確認メッセージが出たら基本「No」

たとえば、スマートフォンにアプリをインストールしたとしよう。アプリの起動時に「このアプリはアドレス帳へのアクセスを要求しています。許可しますか?」といったメッセージが出ることがある。ここで許可したばっかりに、アドレス帳の情報をごっそり抜き取られてしまうことがある。
たとえば、PCにフリーソフトをインストールする際に「一緒にこんなアプリもインストールする」というオプションが出てくる場合がある。余計なプログラムに入り込まれて、勝手に情報を収集されてしまうかもしれない。
何か確認されたら基本「No」の姿勢を実践することで、意図せぬ個人情報の提供を防ぐことができる。

【対策2】登録する情報は最小限に

サイトなどに登録する際、必須項目以外は入力しないことが重要である。
また、オンラインのサービスを使うだけなのに物理的な住所を入力する必要はない。それどころか、メールアドレスで認証できさえすれば良いのだから、氏名を正確に入力する必要すらない。
サービスを使用する目的に応じて「不要なはずなのに必須入力の項目」にはダミーの情報を入れるくらいのことをしてもいいだろう。
これはサービスの運営者から情報が漏れた際の被害を最小限に抑えるために有効である。

【対策3】公開されて困ることはしない

当たり前のことだが、もっとも難しいことでもある。
法律に反するような行為をしないのは当然だが、法律に反していないものの人に知られるのはちょっと……という恥ずかしいことはある。
あまり人には言えない性癖や嗜好は、誰もが多かれ少なかれ持っている秘密なので、仕方のないことである。しかし、そうした秘密の活動をする際、「ネットを使えばこっそり秘密裏に活動できる」という幻想を抱くのは禁物だ。ネットを使っているかどうかに関わらず、常に秘密の活動が暴露されるリスクは存在している。情報がネット上に蓄えられているぶん、ネットを使うほうがリスクが高いと言えるかもしれない。
秘密の活動をする場合には、常に暴露されてしまうリスクを覚悟した上でおこなわなければいけない。暴露された際に開き直ってさらけ出す覚悟がないのであれば、とくにネットを使ってそうした活動をしてはならない。
2015年に著名な不倫サイトのユーザー情報が暴露された事件は、まだ記憶に新しいことだろう。あなたが秘密で登録しているサイトで同じことが起きないという保証はないのである。

家の鍵をかけないでいて泥棒に入られても、仕方がないだろう——だから家の戸締りはきちんとしよう。
財布を落として、中身ごとちゃんと返ってきたらラッキーだ——だから財布は肌身離さず持ち歩こう。

これらと同じように、個人情報を守るためにも自分自身で工夫をしていかなければいけないのが、21世紀という時代なのだろう。