HOME > セキュリティ勉強室 > セキュリティ対談

2011/ 11/2	「セキュリティ研究」にコンテンツを追加しました！　テーマ：『【コンピュータセキュリティシンポジウム2011】経産省受託案件の展示と論文発表』
2011/ 10/31	「セキュリティ研究」にコンテンツを追加しました！2011年10月26日（水）から3日間、千葉県幕張メッセで開催される第2回クラウドコンピューティングEXPO 【秋】に出展いたしました。
2011/ 10/27	「ルール＆チェック All-in-One」サービスを追加しました！Webサイト全体のセキュリティレベルを向上させるためのサービスを追加しました。
2011/ 10/27	「プレスリリース」を追加しました！株式会社神戸デジタル・ラボは、自社サイトのセキュリティ水準を担保する包括サポートサービス「ルール＆チェック All-in-One」を2011年11月1日より開始します。
2011/ 10/26	「セキュリティ研究」にコンテンツを追加しました！Apache HTTP Serverのリバースプロキシ機能（mod_proxy）にリバースプロキシを迂回して内部LANにアクセスできる脆弱性が発見されました。
2011/ 10/18	「アンドロイドセキュリティ診断」サービスを追加しました！Android OSを対象としたアンドロイドセキュリティ診断サービスを追加しました。
2011/ 10/18	「プレスリリース」を追加しました！株式会社神戸デジタル・ラボは、スマートフォンやタブレットPCなどのAndroid端末向けセキュリティ診断サービス「ProactiveDefense for Android」を、2011年10月24日より開始します。
2011/ 10/05	「セキュリティセミナー情報」を追加しました！2011年10月26日（水）から3日間、千葉県幕張メッセで開催される第2回クラウドコンピューティングEXPO 【秋】に出展いたします。
2011/ 10/05	「セキュリティセミナー情報」を追加しました！2011年10月19日（水）から3日間、情報処理学会コンピュータセキュリティ研究会主催による 「コンピュータセキュリティシンポジウム2011 (CSS2011)」にて研究発表を行います。
2011/ 06/15	「お客様の声」を追加しました！「株式会社エルネット様」
2011/ 04/18	「セキュリティ研究」にコンテンツを追加しました！　テーマ：『【OSC関西/神戸】MistyGateとGlobal Incident Monitorの展示』
2011/ 04/18	「セキュリティ研究」にコンテンツを追加しました！　テーマ：『【神戸ITフェスティバル】MistyGateとGlobal Incident Monitorの展示』
2011/ 04/15	「セキュリティ対談」にコンテンツを追加しました！　テーマ：『「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」が公表されました』
2011/ 03/11	「セキュリティ研究」にコンテンツを追加しました！　テーマ：『【経済産業省シンポジウム】経産省受託案件の成果報告会発表』
2011/ 03/07	「セキュリティセミナー情報」を更新しました！3月10日(木)に「平成22年度新世代情報セキュリティ研究開発シンポジウム」にて研究発表を行います。
2011/ 03/05	「セキュリティ研究」にコンテンツを追加しました！　テーマ：『【情報処理学会全国大会】経産省案件の展示と論文発表』

Q（近藤）：

経済産業省は2011年4月1日、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公表されましたが、これはどのような内容ですか？

A（久野）：

クラウドを利用することで、機器購入などの初期費用やランニングコスト安く抑えたり、サービス立ち上げ期間を短くできるというメリットがありますので、 これから多くの企業でクラウドの導入が検討されると考えられます。

しかし、クラウド導入にあたり、クラウド特有の問題や不安を感じているユーザも多く存在しています。

ITmedia リサーチインタラクティブ 第1回調査
http://www.itmedia.co.jp/enterprise/articles/0909/01/news011.html

今回のガイドラインは、これからのクラウド活用を推進するために、利用者側とクラウドサービス提供者側に必要とされる 情報セキュリティの責任範囲を明確化する目的で策定されました。

クラウド利用者が、クラウドを利用する際に注意すべき点について、「クラウド利用者自ら行うべきこと」、「クラウド事業者に対して求める必要のあること」、 「クラウドコンピューティング環境における情報セキュリティマネジメントの仕組み」として示されています。

また、クラウド事業運営者に対しても、「セキュリティの基本方針」、「資産の管理」、「人的資源のセキュリティ」など、実施の手引き例が示されています。

Q（近藤）：

クラウドのセキュリティに対する不安を払拭する為の解決策として、どのようなものが考えられますか？

A（久野）：

解決策の一つとして、神戸デジタル・ラボ（KDL）では、クラウド環境での利用に適していると言われている、「鍵失効機能を持つ属性ベース暗号」について、 金沢工業大学 情報学部 五十嵐研究室と共同で研究を進めています。

【情報処理学会全国大会】経産省案件の展示と論文発表
http://www.proactivedefense.jp/SecurityLab/Publication03

属性ベース暗号とは、システム利用者全てに属性を付与し、その属性に応じて暗号化、復号化といった暗号システムを利用できるというものです。

この暗号システムに、鍵失効機能を加えることで、他の利用者の鍵を更新することなく失効した鍵のみを利用不可にできるので、 企業など、大人数での利用に適した暗号化システムを実現できるのではないか、という研究を行っています。

企業を例に挙げますと、
①「部長」、「課長」などの役職や、「総務部」、「営業部」といった部署単位で属性を設定します。
②データを暗号化する際に、復号化できる属性を指定して暗号化します。
③データを暗号化した上でクラウド環境にデータをアップロードします。
④暗号化されたデータは、暗号化時に指定された属性の人のみが復号化できます。
⑤退職者が出た場合、退職者を示すIDを失効リストに加えることで、退職者が利用していた鍵は利用不可となり、暗号化されたデータの復号ができなくなります。
といった利用フローを想定しています。

この暗号システムは、今回のガイドラインでいうと、「暗号による管理策」、「情報漏洩に関する対策」として利用できるのではないかと考えています。

Q（近藤）：

クラウドに適した暗号システムが実用化されることで、利用者の不安を軽減し、クラウド活用を推進していく一助になれるとよいですね。

Q（近藤）：

最近の中国のセキュリティに関係して何か最新情報はありますか？

A（オマール）：

中国のインターネット事情ですが、利用者が年々増え続ける一方、中国発のサイバー脅威も増えています。 Googleからの調査では、攻撃に利用されているWebサーバの半分以上が中国にあるということです。

グーグルオンラインセキュリティーブログ
http://googleonlinesecurity.blogspot.com/2008/02/all-your-iframe-are-point-to-us.html

中国政府もこの問題を重視し始めたようです。中国のサイバー犯罪に対して法律も修正され、処罰も厳しくなりました。 2009年12月11日のことですが、中国インターネット情報センター（CNNIC)は14日午前9時をもって、個人ユーザーの「.cnドメイン」登録を停止すると発表がありました。

PCWORLD
http://www.pcworld.com/businesscenter/article/164712/as_hacking_hits_home_china_strengthens_cyber_laws.html

今後のドメイン登録には、ドメイン登録申請書の原本、企業営業許可書又は組織機構コード証（組織機構代碼）の複写、身分証明書の複写等書類が求められ、厳しい審査が行われます。また、既に個人によって登録された.cnドメインは今後CNNICによって調査され、不適切な利用があった場合は指摘され、改善しないと登録が抹消されます。

中国インターネット情報センター
http://www.cnnic.cn/html/Dir/2009/12/12/5750.htm

Q（近藤）：

「.cnドメイン」の登録審査を厳しくすることで、どのような効果が期待できますか？

A（オマール）：

政府の発表では、「.cnドメイン」登録を厳しくする主要な目的はアダルトサイトを制限するためだと発表していますが、情報セキュリティ分野でも効果がでているようです。

Sophos社の調査によりますと、「.cnドメイン」規制が始まった12月14日からは「.cnドメイン」が使われたSPAMが減っている傾向があるようです。

ソフォス社ブログ
http://www.sophos.com/blogs/sophoslabs/v/post/8024

Q（近藤）：

なるほど。このブログを見ると、「.cnドメイン」が減る半面、 「.comドメイン」のfree webが増え、乗り換えているのが良くわかりますね。新しい規制ができれば、その抜け穴を探すのは世の常ですが、中国政府も負けずに対策を継続して欲しいですね。

Q（近藤）：

フイさん。ベトナムのセキュリティ事情はどうですか？

A（フイ）：

2007年の情報ですが、攻撃されたサイト：約342サイトで、脆弱性が存在している証券サイトは約50％の60サイトです。これらのサイトは、データ変更がしやすく、管理権限を取りやすい状況です。
全国の一般のサイトの80％サイトが脆弱性が存在しているといわれています。

Q（近藤）：

証券、銀行系が日本よりも弱いような気がしますね。一般サイトについては日本とそれほど違わないかもしれません。

A（フイ）：

ベトナムではそもそもクライアントに関するセキュリティの認識はありますが、Webサーバのセキュリティに関する認識は非常に弱いです。

Q（近藤）：

なるほど、国の事情に関係なく無差別に攻撃対象になりますから、大変なことになりますね。

A（フイ）：

深刻な社会問題になっていますが、システム費用が莫大にかかることと、先にもお話したセキュリティに関する認識の弱さが相乗して、なかなか対応が進んでいない状況です。

Q（近藤）：

そうですか、深刻な状況ですね。

Q（近藤）：

DNSの脆弱性について最近話題が出ていますが、アメリカの状況はどうですか？

A（ザッカリー）：

はい。 最近、Dan Kaminskyというセキュリティ研究者がDNSのプロトコルに重要な脆弱性を見つけました。
これは、とても効果的なDNSのキャッシュ汚染の脆弱性で、非常に危険です。ほとんど全てのネットワークアプリケーションがDNSを使用するため、影響が非常に大きいです。

Q（近藤）：

DNSのキャッシュ汚染の脆弱性がある場合、具体的にどんなリスクがありますか？

A（ザッカリー）：

そうですね。DNSをコントロールできたら色々できるようになってしまいます。
フィッシングサイトにリダイレクトさせる攻撃がまず思い付きますね。
電子メールももちろんDNSを使っているので、人のメールを盗むこともできます。多くのSSL-VPNは証明書を確認しないために、SSL-VPNへの不正アクセスが可能だと考えられています。
私が一番怖いと思っているのは、DNSを悪用して自動アップデートを狙う攻撃です。
2ヶ月前にevilgradeという自動アップデートを狙うハッキングツールが公開されました。
自動アップデートはDNSを使ってアップデート用サーバに接続します。この仕組みを利用し、悪意のあるハッカーはユーザがアップデート用サーバに接続していると見せかけて、マルウェアやルートキットを渡します。
ユーザの立場からみると、普通のアップデートのように見えます。
Evilgradeはこの手法を簡単に実現できてしまいます。その上、パッチが完全に当てられていても感染します。
Windowsアップデートはちゃんと証明書の確認を行っているため、安全ですが、多くのアプリが証明していません。

以下は幾つかの例です：

java

winzip

winamp

MacOS

OpenOffice

iTunes

Linkedin Toolbar

DAP [Download Accelerator]

notepad++

speedbit

firefox

私は最近までこれらのアプリの自動アップデートを信用していましたが、evilgradeを知ってから多少手間でも、手動でアップデートを確認しています。

Q（近藤）：

もし、実際に発生した事件があれば教えてください。

A（ザッカリー）：

さっき説明した自動アップデートの悪用はすでに起こっていると思います。公開されている事件で、有名なのが2件あります。
一つは、テキサス州のISPのユーザがヤフーやグーグルにアクセスしようとしたら、広告しか返ってきませんでした。お金儲けが目的でしょう。
もう一つは、中国のISPのユーザがグーグル等にアクセスしようとしたら、ブラウザ経由で多くの攻撃を受けました。
攻撃が成功した場合、アンチウィルスを無効にするバックドアがインストールされるそうです。

Q（近藤）：

実際にはどの程度、対策が進んでいますか？

A（ザッカリー）：

一時的なパッチが公開されていますが、「それで大丈夫なのか？」という疑問が多いのが現実です。
来年末まで.gov（米政府）のサイトが全てDNS-SECを導入する予定だそうです。DNS-SECは導入しにくいため、今後何十年かは弱いDNSが使われ続けられると思われますが、セキュアなDNSへの移行がゆっくり進んでいる模様です。

Q（近藤）：

そうですか。
日本の企業もDNS-SECが早期に導入できるように、真剣に検討を進めないといけませんね。