ネットの信頼を支える基盤が崩壊？ セキュリティ騒動で浮上した課題：業界のエキスパートが討論（1/3 ページ）

OpenSSLの脆弱性問題やリスト型攻撃など、近年はインターネットの信頼を支える基盤を揺るがしかねない事象が多発している。信頼のための基盤は崩壊してしまうのか――セキュリティ業界の専門家陣が議論を交わした。

[國谷武史，ITmedia]

　4月から5月にかけて、インターネット利用を支える重要なソフトウェアの脆弱性問題が世間を賑わせた。「インターネットの信頼基盤を揺るがしかねない」といった報道も相次いだ。こうした事態を受けて日本ネットワークセキュリティ協会（JNSA）が「緊急時事ワークショップ」を開催。セキュリティ業界の専門家がインターネットの信頼を支える基盤をどう守るべきについて議論した。

　ワークショップには、ソフトバンクテクノロジーの辻伸弘氏、NTTセキュアプラットフォーム研究所の神田雅透氏、日本レジストリサービスの米谷嘉朗氏、トレンドマイクロの岡本勝之氏、日本マイクロソフトの高橋正和氏が登壇。まず、各氏からインターネットを取り巻く脅威の状況が説明された。

リスト型攻撃が増えた背景は

辻伸弘氏

　辻氏は、昨年から国内で急増している「リスト型攻撃」を取り上げた。リスト型攻撃ではIDとパスワードの組み合わせたリストを使ってWebサイトで不正ログインが行われ、ユーザー情報が盗み取られるなどの被害が多発している。

　従来の不正ログイン攻撃には、IDを固定してパスワードのパターンを総当たりで試す手法（ブルートフォース）や、逆にパスワードを固定してIDのパターンを総当たりで試す手法（リバースブルートフォース）、頻繁に使われる文字列を試す手法（辞書攻撃）が使われてきた。リスト型攻撃に登場によって、ユーザー認証が突破される危険性がいっそう高まった。

　辻氏は、リスト型攻撃が増える背景に、1人のユーザーが利用するサービスが増加して管理が煩雑になっていること、オンラインサービスの換金性の高まっていることを挙げる。特にパスワード管理は、「長く複雑な文字列にする」「使い回しをしない」「定期的に変更する」「メモ書きは禁止」といった対応が推奨されるものの、実際には煩雑で徹底することが難しいというケースは多い。

　サービス提供者側は正しいIDとパスワードの組み合わせを使うリスト型攻撃を防ぐことが難しく、一方でパスワード管理の徹底をユーザー任せにするだけでも状況の改善は難しい。辻氏は、「双方が取り組める環境が求められる」と提起している。

OpenSSLの脆弱性は何が問題か

神田雅透氏

　4月上旬に発覚したOpenSSLの脆弱性問題（通称・Heartbleed）について神田氏は、脆弱性問題の本体だけでなく、「そこから何を学ぶかが重要だ」と述べた。

　脆弱性は、OpenSSLのTSL 1.2以降で実装された「Heartbeat」拡張においてサーバ上でのメモリ操作が正しく行われないことに起因する。悪用されると、サーバのメモリ上の様々な情報（秘密鍵や通信内容など）が盗み取られる恐れがあり、攻撃の有無を確認できない点も問題とされた。

　脆弱性が及ぼす影響は重大であるものの、神田氏は、脆弱性情報が公開されて後の報道が社会的な騒動につながったとみている。同氏によれば、IT系の専門媒体では脆弱性の内容が主に伝えられたが、一般紙などでは「暗号化ソフトに欠陥」などと報じられ、「OpenSSL自体に問題があり、暗号が破られた」との誤ったイメージが社会に伝わってしまったという。

　さらに、対策面では秘密鍵が盗まれた場合を想定して秘密鍵とSSLサーバ証明書の両方を更新する必要があるにもかかわらず、SSLサーバ証明書だけを更新しているケースがあった。秘密鍵を更新しなければ、第三者に情報が盗み取られたり、マルウェアに正規証明書が付けられて対策ソフトで検知できなくなるなどの問題を引き起こす。ユーザーにパスワード変更を依頼する場合に、メールで通知するだけでは危険だという。正規サイトなりすましたフィッシングメールで、偽サイトでユーザーからログイン情報を盗まれる二次被害が発生してしまう。

　こうした問題は、脆弱性情報を一般にも正しく理解される形で伝えることの難しさを示したものと、神田氏は指摘している。