ネットの信頼を支える基盤が崩壊？ セキュリティ騒動で浮上した課題：業界のエキスパートが討論（3/3 ページ）

[國谷武史，ITmedia]

脅威が複合的になると……

　各氏が挙げた脅威はそれぞれに深刻な影響をもたらす存在だが、個々の脅威が複合的になっていくと、さらに深刻な影響を及ぼしかねないという。説明後のパネルディスカッションでは高橋氏がモデレータを務め、想定される事態や対策への道筋などについて各氏が意見を交わした。

　高橋氏は、古いソフトウェアが危険な例として、Internet Explorer（IE） 6は初期設定で電子証明書の更新などを確認しないようになっており、失効措置が取られた電子証明書が以前のままになっている場合があると説明した。

　過去にはサイバー攻撃などによって、認証局から不正に発行された証明書を失効される措置が取られる事態が何度か発生している。証明書を失効させることでコンピュータを様々な悪用から保護できる可能性が高まるものの、古い製品では対応が難しいなど「信頼を維持するための仕組みが適切に機能しないケースもある」と指摘した。

　辻氏は、企業サイトから正規のIDやパスワードなどの情報が盗まれるだけでなく、フィッシング詐欺などの組み合わせによってより多くの情報を盗まれ、リスト型攻撃が拡大していくだろうと警鐘を鳴らす。岡本氏は、詐欺の手口がますます進化し、例えば2段階認証のワンタイムパスワードを送信するSMSにモバイルマルウェアが仕込まれる事態もあり得るという。

　神田氏は、盗まれた鍵を使ってマルウェアのコードサイニングが行われてしまうと、セキュリティソフトでの検知が非常に難しいマルウェアでも証明書の観点では“正しい”と認識されてしまう）とし、鍵や証明書の管理が適切に行われないことの危険性を指摘している。

　対策面については、「正しい情報提供が重要」（辻氏）や「だれが対策すべきかが大事」（岡本氏）、「情報公開まで対応を工夫すべき」（神田氏）と情報をめぐるあり方や、「扱いやすい対策手法を実現していくこと」（米谷氏）といった意見が挙げられた。

　情報提供では4月に発覚したIEの脆弱性問題で、「米国政府機関がIEの使用中止を提言」といった誤った報道内容がみられた。正しくは「IEの使用中止」ではなく、回避策や代替ブラウザの活用を推奨したものだが、誤報道の背景にはセキュリティ情報の提供方法の難しさが潜む。

　対策主体の点では、例えば正規ソフトウェアのアップデートを悪用する事件が起きている。ユーザーはベンダーのアップデートを信用するという点を逆手に取ったものだが、「ユーザー自身が守れない場合に備え、ベンダーがその信用を確実に担保していかなければならない」と岡本は述べている。

　OpenSSLの脆弱性問題では、一般に情報公開されてから数日間で修正版がリリースされたものの、脆弱性情報が共通データベースへ最初に報告されたのは2013年12月で、一般に情報公開される4カ月も前だった。「ごく一部の関係者だけが知る状態だった。4カ月の間により良い対応ができたのではないか」と神田氏は指摘する。

　米谷氏はDNS汚染対策が進みにくい理由として、例えばDNSSECでは情報検証におけるサーバの負荷が高い点や、証明書や鍵の管理が煩雑であるなど、運用の難しさを挙げている。

---

　それぞれに取り上げられた課題は、すぐには解決が難しいものも少なくないが、各氏は業界を挙げて推進していくべきとの見解で一致した。