脆弱性攻撃が当たり前の時代をどう生き抜くか：Maker's Voice

Check Pointの研究者・インバー・ラズ氏は、街中にあふれるシステムの脆弱性を突いて簡単に情報を盗んだり不正アクセスしたりできると指摘する。脆弱性に起因するリスクへの対処術を聞いた。

[國谷武史，ITmedia]

Check Point Software Technologies セキュリティアーキテクト兼マルウェア＆セキュリティリサーチマネジャーのインバー・ラズ氏

　「標的型サイバー攻撃のような複雑なタイプの脅威より、身近なシステムに存在する脆弱性を悪用した脅威の方がはるかに危険だ」――セキュリティ企業のCheck Point Software Technologiesでセキュリティアーキテクト兼マルウェア＆セキュリティリサーチマネジャーを務めるインバー・ラズ氏は、システムの脆弱性における問題点をこう指摘する。

　ラズ氏は、2011年までイスラエル国防軍に所属し、現在は脆弱性の発見や研究、ベンダーへの情報提供、脆弱性対策の啓発などに取り組む。発見した脆弱性について、同氏は実際に数々の検証を行っているという。

　同氏が検証した問題の1つに、イスラエルの映画館の自動発券システムがある。このシステムはタッチ操作で視聴したい作品や座席を指定し、クレジットカードで決済するとチケットが発券されるというもので、日本の映画館にも似たようなシステムが設置されている。

　同氏によれば、このチケットシステムにはシステムメニューが表示されてしまうソフトウェアの脆弱性があり、幾つかの操作を経てエクスプローラ画面を開くことができた。そこからトランザクションに関するフォルダが見つかり、クレジットカード番号や決済システムへ接続するための認証などの情報が平文で保存されたファイルを発見したという。

　このファイルの内容を発券システムのプリンタで印刷する。家庭のコンピュータで印刷した紙をスキャンデータとして取り込めば、映画チケットの決済システムへ簡単に不正アクセスできることを確認した。「指一本で誰でもできる」とラズ氏は解説する。

　こうした世間で身近なシステムに潜む脆弱性の問題事例には、枚挙に暇が無いようだ。同氏によれば、街角の喫茶店や病院などのむき出し状態のLANポートへコンピュータをつなぎ、無料の解析ツールなどを使えば、簡単にLAN環境や接続機器の情報を把握でき、不正アクセスできてしまうケースがあったという。

　「脆弱性リスクに企業規模などは一切関係が無い。システムベンダーが対処すべき問題ではあるが、対処が難しいなら、ユーザーの責任でシステムを使い続けるかを判断するしかない」とラズ氏。

　この意見は厳しく聞こえるかもしれないが、同氏は社会がITの利便性を優先するあまりに、脆弱性攻撃の現実から目を背けていると指摘する。「どんな企業も日々脆弱性攻撃を受けている。攻撃を受けていない（だから当社は安全と主張する）と言う企業は逆に疑うべきであり、脆弱性のリスクについて真剣に考えていただきたい」と話す。

　ラズ氏は、例えば、普段から持ち歩くPCやスマートフォンなどの脆弱性を狙う攻撃が起こるものとして、その被害を最小化する観点から対策を講じているという。

　「クレジットカード情報が盗まれても保険に加入しているので個人に金銭的な被害が及ばないようにしているし、ネット上では残高照会しかできない。盗聴されているかもしれないが、別に違法なことをしているわけではないので後ろめたいこともない。まぁ、確かに気持ち悪いものだが、それだけのことだ」（ラズ氏）