特別企画
対談

2014年のセキュリティ動向
「セキュリティ格差社会」における企業のサイト構築と運営

「格差社会」という単語が使われるようになって久しいが、インターネットセキュリティの世界においても格差が広がり続けているという。その「セキュリティ格差社会」の現状と企業としてどのように対応すべきなのかを、KCCS プロダクトサービス事業本部 技術顧問 徳丸 浩氏とセキュリティ営業統括部 セキュリティ営業部 部長 大嶋 茂雄氏に伺った。


■インタビュアープロフィール
山本 洋介山(やまもと ようすけざん/@yousukezan)
@IT、ScanNetSecurityなどの媒体でセキュリティ関連の記事を執筆、twitterセキュリティネタまとめ(http://twitmatome.bogus.jp/)、ブログを日々更新する傍ら、WebサイトやWebアプリケーションなどの脆弱性検査も行う。

INDEX

近年のセキュリティリスクと「セキュリティ格差社会」の現状とは

-最近はOpenSSLやApache Strutsの脆弱性などを狙った攻撃が話題です

プロダクトサービス事業本部 技術顧問 徳丸 浩

(徳丸)OpenSSLのHeartbleed脆弱性ですが、大丈夫だろうと思われていたSSLに脆弱性があって証明書を取られてしまう可能性も出てきたということになったので大変です。とはいえ実装のバグなので淡々と対応するしかなく、大騒ぎするのもどうかと思っています。

Apache Strutsに関しては特にStruts1の脆弱性が問題です。Struts1はすでにサポートが終了していますが、Struts1とStruts2は互換性があるとは言えず、移行が難しいのです。Struts2の方にも深刻な脆弱性がかなりあり、実際の攻撃も多く行われています。

また最近では脆弱性発覚から攻撃が始まるまでの期間がだんだん短くなってきており、素早い対処が求められるようになったのが最近の傾向かと思います。

-そのほかに現在気になる攻撃はありますか?

セキュリティ営業統括部 セキュリティ営業部 部長 大嶋 茂雄

(大嶋)3月から4月くらいにかけて、パスワードリスト攻撃やFilesManのようなバックドアを打ち込まれた事例があり、昨年流行っていた攻撃がまだ継続しているというのが傾向としてあります。

お客様からはパスワードリスト攻撃にサイトを対応させたいが、ユーザビリティを損なわずに短期間で対策したいと相談されることが多いです。簡単に二要素認証がよいといっても、それだと利用者が離れてしまう可能性があります。
そこでWAFを使ってパスワードリスト攻撃を緩和するというニーズが結構あります。WAFでCAPTCHA認証を後からサイトに追加することができるので、パスワードリスト攻撃を受けたときにはCAPTCHA認証で緩和しようというやり方です。あとはWAFを使ってIPのレピュテーションを行い、海外のIPアドレスからのアクセスはブロックするという対応が多く出てきています。

※CAPTCHA認証:サイトのID / PW入力前後に人間が画面を見て考えないと判断ができない画像に書かれている文字を入力させる機能

-パスワードリスト攻撃以外には


(徳丸)パスワードリスト攻撃以外ではフィッシングも続いています。フィッシングだとフィッシングサイトをどこかに立てないといけないのですが、今は世界中で見張っていて、ブラウザ側も警告を出すようになりました。そこで今はマルウェアによる攻撃に変わってきています。オンラインバンキングに接続した時に、「乱数表の番号を入れてください」
といった偽画面をマルウェアが出すようになっているのです。しかしマルウェアはサイトの方ではどうしようもありません。

-結局は利用者に対策してもらうしかないのでしょうか?

(徳丸)でも、サイト運営者の立場ではそうとも言っていられないですよね。また利用者にも格差の問題があって、大半はあまりよい運用はできてないというのが現状です。パスワードの使い回しもまだまだ多そうです。セキュリティの世界にいると、どうしても理想的な世界を追い求めてしまいますが、私は2008年くらいから「セキュリティ格差社会」という言葉を使い出したんです。すごく安全に使っていてもゼロデイが心配だねというような人もいれば、逆に気にせずソフトウエアを全然更新していないような人も多いということです。

パスワードリスト攻撃はセキュリティ格差が生んだ攻撃という見方もあります。セキュリティレベルの低いところからIDとパスワードを盗んで、セキュリティの強固なところにそれを使う。サイトのセキュリティは強固だけど、両者のIDとパスワードの問題なので被害に遭ってしまうというわけです。

でも利用者のリテラシーが急に向上するとは考えにくいので、こういうものだとある程度受け入れてやるしかないと思っています。サイトの運営者が頑張って対策するしかないというのが浮き彫りになったのはこの1年くらいではないでしょうか。
Webサイトの格差もそうで、ちゃんと対策しているという企業がある一方でSQLインジェクションが普通にあるサイトもたくさんあり、その辺の格差は課題ですよね。

(大嶋)セキュリティ格差社会の話でいうと、セキュリティレベルの高い企業は海外や子会社などセキュリティ対策をしっかりやりましょうと投資を増やしている傾向にあります。一方、セキュリティレベルの低い企業はあまり変化が見られません。逆に被害を受けたからどうしましょうと駆け込んできて、現状分析ではなく、サイトを停止させずに公開したいから何か使える防御製品はない?というような相談はかなり多かったですね。

【次ページ】セキュリティ格差解消のカギは「脆弱性診断」