オンライン株取引の多くに、セキュリティの脆弱性が潜んでいる:専門家が警告
オンライン株取引の多くには何らあのセキュリティの脆弱性が潜んでいる──。そんな衝撃的な調査結果が、米サイバーセキュリティー会社が公表したリポートから明らかになった。扱われる情報の機密性の高さに見合ったセキュリティ対策は取られていないという実情に、わたしたちはどう対処すべきなのか。
TEXT BY BRIAN BARRETT
TRANSLATION BY CHIHIRO OKA
WIRED(US)
PHOTO: GETTY IMAGES
インターネットのおかげで、株式投資はかつてないほど簡単になっている。クリックかタップを何回かするだけで、あっという間に売り買いができてしまう。
ところが、サイバーセキュリティー会社のIOActiveが公表したリポートによると、数百万人が利用する取引プラットフォームの大半でセキュリティーホールが見つかっている。もちろん、株に手を出すというのは、これまでも常に大きなリスクのある行為ではあったのだが。
このリポートを作成したアレハンドロ・エルナンデスは、調査を行なった40の主要な取引プラットフォームのほぼすべてで、何らかの脆弱性が発見されたと説明する。問題の深刻さの程度には差があったが、全体的に見て、取り扱われている情報の機密性の高さに見合ったセキュリティ対策はまったく取られていないというのが実情のようだ。エルナンデスはロサンゼルスで開催された情報セキュリティ分野の国際会議「Black Hat」で、今回行った調査について発表した。
データを暗号化しないアプリが次々に発覚
調査の対象となったのは、16のデスクトップ向けアプリケーションと34のモバイルアプリに加え、30のウェブサイトと40の取引プラットフォームである。フィデリティやチャールズ・シュワブといった老舗のほか、モバイル専業のロビンフッド、それほど有名ではないがKraken(クラーケン)、Poloninex(ポロニエックス)といった取引所も含まれている。
結果は、シュワブやメリル・エッジなどの大手はそれなりの評価を得た一方で、やはり全体的にはかなりの懸念が残る内容だった。
デスクトップ向けでは、半分以上のアプリケーションが口座残高やポートフォリオ、個人情報など少なくとも一部のデータを暗号化しないで送信していた。つまり、同じWi-Fiネットワーク内にいれば簡単に中をのぞくことができるし、そこに割り込んで情報を書き換えるといった単純な中間者(MITM)攻撃を仕掛けることも可能だ。
さらに厄介なことに、モバイルアプリでもデスクトップアプリでも、ユーザーのデヴァイスにパスワードを保存したりログを送信したりする際に、暗号化していないものがあった。つまり、マルウェアなどによってデヴァイスがハッキングされれば、パスワードが簡単に盗まれてしまう。そうすれば、ハッカーはアカウントに不正にログインして自分の口座を取引口座として登録し、そこに資産を移すことができる。
こうした犯罪は2段階認証を使えば防ぐことができる。しかし、たいていのプラットフォームでは2段階認証が利用可能なものの、標準設定では有効になっていなかった。扱っている情報がどれだけ重要かを考えれば、残念な結果だと言わざるをえない。
セッションを終了しないプラットフォームも
データを暗号化しない悪しき風潮は業界に蔓延しているようだが、一部のプラットフォームに限った別の問題も見つかっている。リポートではチャールズ・シュワブやEトレードなどが運営するプラットフォームで、ユーザーがログアウトしてもサーヴァー側ではセッションが続いたままになっていることが報告されている。
ログインからログアウトまでを握手に例えれば、ユーザーがその場を立ち去ったあともウェブサイト側は手を差し出したままになっているということだ。悪意のある誰かがその手を握ってしまえば、何が起こるかは容易に想像がつく。
エルナンデスは「ハッカーがユーザーとプラットフォームとの間で行われる通信を乗っ取る方法はいくらでもあります」と話す。例えば、不正なリンクをクリックさせるといった手口がよく使われる。
ユーザーは何かおかしいと感じればログアウトするだろうが、セッションIDが盗まれてしまっていると、サーヴァー側でIDを変更しない限りはハッカーがセッションを続けることができる。そして、ログアウト後も最長で数時間にわたってセッションが終了しないプラットフォームもあることが指摘されている。
プログラムのバグではなく、その機能にも脆弱性が見つかった。オンライン取引ではプラットフォーム上で、ユーザーが自動売買のためのボットをインストールできるものがある。ネット掲示板などでさまざまなプラグインが出回っているが、たいていはC++やPascalといったよく知られているプログラミング言語で書かれているため、ハッカーが簡単に罠を仕掛けることでがきる。
ある大手は一部の脆弱性を「あえて放置」
エルナンデスは昨年9月に発表したリポートでは、モバイルアプリに限定して調査を行なった。今回はデスクトップ向けやウェブアプリケーションに焦点を移したが、問題はより深刻かつ広範だという。彼は「デスクトップアプリケーションは包括的なパッケージで機能も多く、セキュリティ面で影響がより出やすくなっています。ハッカーが攻撃できる部分がたくさんあるのです」と説明する。
前回のリポートでは脆弱性の見つかったアプリケーションの具体名を挙げるのは避けたが、今回は実名を公表した。アプリケーションの開発者は現在、問題の修正に取り組んでいるようだ。
今回のリポートで名前の挙がったネット証券大手インタラクティブ・ブローカーズの最高情報セキュリティ責任者(CISO)ボリス・コーガンは、『WIRED』US版の取材に対し次のように話している。
「わたしたちのセキュリティに対するアプローチは、リスクの大きさを基準にしています。つまり、調査リポートで指摘されたセキュリティホールのうち、重大なものや悪用が容易なものには迅速に対処しますが、影響が小さいと判断したものに関しては、ただちに修正の必要があるとは考えていません。また、さらにリスクの低い一部の脆弱性については、セキュリティとアプリケーションの使い勝手、およびパフォーマンスのバランスを考慮した上で、あえて放置することを決めました」
インタラクティブ・ブローカーズについては、ウェブ、デスクトップ、モバイルのすべてに脆弱性があることがわかっているが、同社はセキュリティ上の理由から、具体的にどれを放置するかは明らかにしていない。ただ、重大な問題はすでに修正済みとしている。
リポートで挙げられたほかの企業にも取材を試みたが、回答はそっけないものだった。IQオプションはパスワードを暗号化しないで保存していることが明らかになったが、ウェブサイトのフォームから同社に連絡を取ったところ、サポートセンターから「お客様のデータは安全に保管されています。漏えいなどの心配はございません」という紋切り型の返事が返ってきただけだった。
基本的なセキュリティ対策は必須
さらに、まったく回答のない企業も大小含めて何社かあった。エルナンデスも同じような状況に何度も遭遇したという。「たくさんのブローカーについて、問題を知らせるための連絡先がわかりませんでした。仕方なく『support@broker.com』といった問い合わせ用の汎用メールアドレスから連絡を取ろうとしたのですが、何の返事もないことがよくありました」
エルナンデスはこの観点から、大手のプラットフォームを利用することを勧めると話す。大手であれば少なくともセキュリティの強化につぎ込む資金があるし、脆弱性が見つかればそれを修正しようとするだろう。つまり、ユーザーのリスクは最小限に抑えられるというわけだ。なかでも、TDアメリトレード、チャールズ・シュワブ、メリル・エッジ、ロビンフッドの4社のプラットフォームは、ある程度のセキュリティが確保されているという。
チャールズ・シュワブの広報担当者ピーター・グリーンレイは、「フィードバックはいかなるものでも歓迎です。顧客やその個人情報を安全に保つための対策を客観的に評価するうえで役立つからです」と言う。「アプリケーションにおいては常にさまざまなテストを繰り返しており、セキュリティホールの修正や刻々と進化するハッキングの手口に対応するために定期的なアップデートを行っています」
一方で、オンラインの取引プラットフォームを利用する場合は、ウェブでの通常のセキュリティ対策を忘れないでほしい。2段階認証を有効にする、パスワードの使い回しはしないといった常識的なことだ。そして映画『ウォール・ストリート』のゴードン・ゲッコーを目指すのであれば、公共のWi-Fiネットワークを使って取引するのはやめておいたほうがいいだろう。
RELATED
よく使われるパスワードの上位に、なぜか毎年「ドラゴン」が登場──その理由は「かっこいい」からだった?
10億ドルを荒稼ぎする謎のハッキング集団「Fin7」、その恐るべき技術と組織力
SHARE