2015年サイバーセキュリティ10大ニュース（後編）

December 31, 2015 14:45
by 西方望

衝撃的な自動車リモートハッキング。140万台のリコールという事態に

モノのインターネット、IoTという言葉はすっかり一般化したようだ。本来提唱された概念とは少々異なる使われ方ではあるが、「従来ネットワークとは縁がなかったさまざまな機器をインターネットに接続し、情報取得・制御などができるようにする」ことを簡潔に表す語は他にない。

IoTについては、便利さと同時にセキュリティへの懸念も語られることが多い。ネットに繋がるということは利便性とリスクを同時に背負い込むことでもあるのだ。今年は当サイトでも、医療機器からバービー人形まで、さまざまなネット接続機器のセキュリティについて取り上げている。だがやはり今年極めつけの話題と言えば、Charlie Miller氏とChris Valasek氏によるフィアット・クライスラー車のリモートハックだろう。

ジープ・チェロキーでインターステートを高速走行中、突然音楽が大音量で鳴り出し、切ることもボリュームを下げることもできない。そして車内にエアコンが吹き出し、フロントガラスにはウォッシャー液が放出されワイパーが動き出す（これだけでも十分危険だ）。そしてついにはエンジンが停止してしまい、高速道路の真ん中で立ち往生しかける…。これがすべてリモートからの攻撃により行われたのだ。また場所を変えて、ブレーキを効かなくさせて路肩に突っ込ませるという実演も行っている。この衝撃的な映像は世界中のTVニュースで放映され、IoTのダークサイドをまざまざと見せつけた。だが、BlacHatでの発表や、公開された資料を見ると、これはまだ手加減していたと言っていい。走行中にステアリングを取ることすら可能であったと思われる。そしてフィアット・クライスラーは140万台のリコールを行い、ソフトウェアの改修を余儀なくされた。

Miller氏とValasek氏のこのハックはほぼ個人レベルで行われている。車の購入も自腹だ。2013年に彼らがトヨタのプリウスをハックした際、ハッカーが車に同乗して操作しなければならないのでは無意味、という批判に晒された。それを受けて、リモートでのハックができそうな車をリサーチ、ジープ・チェロキーを選定して自ら購入し、調査したというわけだ。つまり、実際に解析したのはジープ・チェロキーのみ。同様の、あるいはさらに危険な脆弱性がある車は他にいくらでもあるのかもしれないのだ。もし国家の支援を受けたハッカーが潤沢な予算の元、多数の車の徹底的な解析を行ったとしたら…。

また、今年は自動運転車の話題も多かった他、フォルクスワーゲンの排ガス規制逃れ問題などもあった。どちらも現代の車が「ソフトウェア」で動いているということを改めて認識させられる話だ。自動車のサイバーセキュリティは今後ますます重要になっていくだろう。

開発ツールにマルウェア。スマートフォンのセキュリティにさらなる危機

スマートフォンのセキュリティについてはもう何年も危険視されているが、今年は従来より一段上の危機が訪れた。9月にはiOSの「XcodeGhost」、11月にはAndroidの「Moplus」と、開発ツールの仕掛けによりアプリにマルウェアが仕込まれる、というパターンの事件が相次いだ。ただし、XcodeGhostとMoplusではその性質はかなり異なる。

XcodeはAppleが提供するiOS／OS Xの開発環境だが、むろんこれにマルウェアを仕込む機能があったわけではない。中国内のサイトに置かれたXcodeのコピーが改変されていたのだ。中国の開発者はこれをダウンロードしてアプリを開発、マルウェアに汚染されることとなってしまった。Xcodeは有料のツールではない。それなのになぜ彼らはAppleサイトからではなく怪しげなコピーを入手したのかといえば、中国のネット検閲が関係する。Xcode自体は規制対象ではないだろうが、グレートファイアウォール（サイバー万里の長城、金盾）の影響で、海外との接続は不安定で遅いことが多い。そこで手軽な国内のコピーを使ってしまったわけだ。ある意味、中国のネット監視が生んだマルウェアと言える。

そしてその結果、App StoreにXcodeGhostに感染したアプリが大量に出現することとなった。今まではApp Storeに問題があるアプリが登場ことはあっても大きな被害が出ることはなく、脱獄していない限りiOSはAndroidと比べればはるかに安全と言えた。だがXcodeGhostは、普通のiPhoneで普通にダウンロードできるアプリが、しかも大量に感染していたのだ。この事件はiPhoneの「安全神話」を大きく損なった。

一方のMoplusは、中国のBaidu（百度）が提供する、検索などの機能をAndroidアプリに組み込むためのSDKだ。XcodeGhost同様、これを使ってアプリを作るとバックドアが仕込まれるというものだが、違うのはこれが「公式」という点にある。偽物ではなく、Baiduが提供したMoplusにその機能があったのだ。Baiduと言えば、Baidu IMEやSimejiがユーザーの入力を勝手に送信していたとされる件を思い出す人も多いだろう。そういう「前科」がありながらの今回の事件だ。もちろんBaiduは悪意を否定し、「脆弱性」であるという立場を取っているが、どう見てもその言い訳は苦しい。改めて企業としての姿勢が問われるべきだろう。

Moplusに汚染されたアプリも大量にGoogle Playストアに出現し、1億ユーザーが影響を受けたとも言われる。ただ、Androidの場合は正直言って元々問題が多すぎるので、マルウェアによる被害という意味だけであればXcodeGhostに比べてのインパクトは薄い。しかし、メーカーが開発ツールにマルウェアを仕込んでいたという疑惑は衝撃的だ。ユーザーがこれを回避することは不可能なのだ。

メーカーへの信頼を失わせたLenovoの「プリインストールマルウェア」

メーカーが意図的にマルウェアを仕込んだためユーザーは回避不能、といえば、LenovoのSuperfish事件も忘れてはいけない。Lenovoが販売したPCの一部に、「Superfish」というソフトウェアがプリインストールされていた。Superfishが何をするかと言えば、ユーザーのSSL通信、つまり暗号化された通信に割り込むのだ。

もちろん通常は、SSL/TLSで保護されたブラウザーとサーバーの通信は覗いたり改ざんしたりすることはできない。ところがSuperfishは、ブラウザー－Superfish、Superfish－サーバーという形で割り込む。だがこのままでは、信頼できるサーバーに接続していないとブラウザーに表示されてしまうので、Superfishを信頼させるためにLenovoはルート証明書を勝手にインストールしていたのだ。

しかもその秘密鍵はすべての製品で共通であり、解析されて誰でも利用できるようになってしまった。これが何を意味するかというと、このSuperfishの証明書がインストールされたPCと、任意のサーバーとの間の通信に攻撃者が割り込むことができれば、暗号通信であっても覗き放題、改ざんし放題ということだ。

LenovoがSuperfishをプリインストールしていた意図は、ユーザーのブラウザーに広告を表示させるためだ。そのために暗号化通信を覗き、改ざんする（本来ない広告を表示するというのは改ざんに他ならない）というのはそれだけでも馬鹿げた行為というしかないが、それどころかユーザーを危険に晒すというのは言語道断だ。BaiduのMoplusの件と異なり、恐らく悪意はなく愚かなだけだったとは思うが、許される愚かさではあるまい。

なお11月には、Dell製のPCにも秘密鍵を含むルート証明書がインストールされていることが発覚した。これもSuperfishと同様に悪用される可能性がある。ただ不思議なのは、これはDellのサポートツールが使用するものらしいのだが、それなら通常の証明書で用は足りるはずで、何も独自の怪しげな証明書を入れる必要はない。問題としてはすでに収束しているが、何か釈然としない事件だ。

SSLに相次ぐ脆弱性。ブラウザーの旧暗号サポート停止加速も

Superfishなどとは別に、今年はSSL/TLSの大きな話題があった。「当たり年」の2014年に比べれば今年はインパクトのある脆弱性は少なかったと思うが、その中で大物だったのが、FREAK脆弱性だろう。FREAKが面白いのは、かつてのアメリカの暗号輸出規制に起因するというところだ。

以前はアメリカ国外への強い暗号の輸出が規制されていたため、サーバーは512bitの弱い暗号をサポートしていたが、今でもこの設定がそのまま残っていることがある。そして512bit用に別の証明書を用意するのは手間とコストがかかるため、一時的な証明書を使用する。しかしこれを長期使い回し、あるいはずっと同じものを使うサーバーが多いのだ。そのためこの証明書をあらかじめ入手し解析すれば、秘密鍵が手に入る。

そして攻撃者はクライアントとサーバーの間に入り込み、使用する暗号を決める際の通信で、クライアントから輸出グレードの弱い暗号を提案するよう改ざんする（この時点ではまだ暗号化されていないので改ざん可能）。それに応じてサーバーが輸出グレードの公開鍵を送ると、脆弱なクライアントは自分がそんなものを要求していないはずなのに受け取ってしまう。攻撃者は対応する秘密鍵をすでに持っているので、こうなれば通信を覗くことも改竄することも好き放題だ。

5月には、FREAKをさらに発展させたとも言えるLogjam脆弱性も見つかっている。昨年のPOODLE脆弱性以来、SSL/TLSの大きな脆弱性が次々と発見されているせいもあるのか、ブラウザーやサーバーでの古く脆弱な暗号化方式の使用終了が進んでいるようだ。POODLEに関係するSSL 3.0はすでにほとんどのブラウザーでサポート終了、Salesforceのようにサービス側でTLS 1.0まで無効にするところもある。またストリーム暗号のRC4も多くのブラウザーで来年初頭にサポートが終了する予定だし、ハッシュ関数のSHA-1も各方面でSHA-2への移行が進んでいる。むろんこれ自体は良いことだが、意外な穴が残っていて将来の脆弱性につながる、というようなことにはならないでほしいものだ。

予想よりは低調だったものの、ランサムウェアが日本でも本格活動化

昨年の10大ニュースでは、ランサムウェアの拡大を挙げて「おそらく来年は、日本でも被害が続出するのではないだろうか」と書いた。たしかに、達意な日本語を使うランサムウェアも登場し、日本においての被害もかなり発生した。だが正直に言うと、もっと大きな拡がりを見せると予想していたのだが、思ったより被害は小さかったようだ。やはり日本語の壁は高かったのだろうか。

しかし、12月になって突然日本のネットでランサムウェアが大きな話題となった。暗号化したファイルの拡張子を「.vvv」とすることから「vvvウイルス」と呼ばれたこのランサムウェアは、被害が続発しているとかバナー広告を見ただけで感染するとかいった騒ぎになった。しかし、Trend Microがvvvウイルスの正体はTeslaCrypt（CrypTesla）の亜種であるという解析結果を公表し、日本でも世界でも特に感染が拡がっていないと明らかにしたことにより、事態は収束するかに思われた。

ところがその直後から、サブジェクトに「Invoice」「Payment」といった言葉を含むスパムメールがあちこちで大量に確認される（筆者のところにも多数来た）。これに添付されていたファイルに含まれていたのが、まさに話題になったばかりのTeslaCryptだった。このためネットでは、やっぱり流行っていた、Trend Microが間違っていた、といった誤った意見も多く見られたが、スパムメールの大量発生は明らかにTrend Microの発表の後だ。ただ、このタイミングが偶然なのかは興味を惹かれるところだ。

vvvウイルスについては、どちらかといえばセキュリティというよりネットリテラシーの文脈で語るべきもののような気もするが、日本にランサムウェアが襲来したということは間違いない事実だ。来年はさらに注意が必要だろう。

リテラシーといえば、当初vvvウイルスの流行が否定された際、「広告を見ただけで感染するマルウェア」という可能性も否定されたように思ってしまった人もかなりいたようだ。しかし、これはFlashの脆弱性を利用するなどして普通に使われる感染方法だ。情報を正しく伝えるというのは本当に難しい。なお、こういった悪意ある広告による攻撃は「マルバタイジング」（malicious＋advertising）と呼ばれる。

結び

今年はこの他にも、「ドラッグのeBay」Silk Roadの運営者の裁判、不倫出会い系サイトAshley Madisonからの情報流出、日本で初めて「無線LANただ乗り」が検挙された事件などもあった。さらに、世界でDDoS攻撃が激しさを増してきたことや、サイバーカリフ国を含めハクティビストグループ（というより地政学的ハッカー）の活発化も見逃せないところだ。最初に挙げたOPMからの流出事件などの一方でのアメリカと中国のサイバーセキュリティ協定など、虚々実々の駆け引きも興味深い。アメリカといえば、商務省がワッセナー・アレンジメントに基づく輸出管理品目に脆弱性情報や調査ツールなども含めると発表し、大きな議論を呼んだ件も印象に残っている。また、Windows 10の登場に伴い、プライバシー情報の収集はどこまで許されるのかという話題も増えたように思う。

今年もセキュリティ企業各社からさまざまな調査レポートが発表されたが、群を抜いて面白かったのが、KasperskyのEquation Groupに関するレポートだ。HDDのファームウェアを書き換えるなど、恐るべき技術力を持ったハッカーグループの暗躍が克明に解説されている。しかも、あえてその正体を明記していないのもにくいところだ。書かれずとも誰しもNSAを想像するだろうし、知っている人であればNSA ANTカタログとの関連に気付けるヒントも盛り込まれている。

サイバーセキュリティニュースという性質上明るい話題がないのは仕方ないが、無理に明るい側面を見るのであれば、イラン核合意だろうか。ここに至った遠因の1つには、おそらくStuxnetもあった。もちろんアメリカもイランもそれを認めることはあるまいが。もっとも、イラン核合意が本当に「明るい話題」かは今後を見なければわからないし、そもそもマルウェアの活動という点で明るくはないとも言える。

昨年の10大ニュース記事の結びでは、「来年はもう少し穏やかな年であってほしい」と書いたが、穏やかどころか昨年以上に大きな事件が相次いだ。特にアメリカOPMからの流出、北朝鮮経済制裁、TV5MONDEの乗っ取り、自動車リモートハックは、将来もしサイバーセキュリティの歴史書が書かれることになったら、間違いなく取り上げられるようなトピックだろう。来年こそは「2016年はニュースが少なくて10個も挙げられませんでした」というような年になってほしいところだが、おそらく望み薄だ。

最後にやや個人的な話ではあるが挙げたいのが、海外事情に通じた数少ない日本人ハッカーであり、本サイトにも寄稿されていたVladimir（Vlad）氏が今年亡くなったことだ。Vlad氏の人となりはこちらの書評でも少し述べているが、特に中国・朝鮮半島のハッカー事情に精通し、日本のサイバーセキュリティ政策にも協力していた人物だ。一方、単にIT系に限らない豊富な知識と鋭い洞察力を持ちながら、ハッカーらしいいたずら心も忘れていなかった。話し出すと止まらず、次から次へと驚くようなネタを繰り出すVlad氏の姿が懐かしく思い出される。ご冥福をお祈りする。