前々回の記事を書くまで 2年近く更新をさぼっていたわけですが、その間に @ITで動画の連載をはじめました。昨年11月からスタートして毎週更新しています。初めての試みなのでまだまだ試行錯誤しているところなのですが、専門家ではない方にもわかりやすく楽しく、セキュリティ関連の最新の情報をお伝えできればと思っています。ぜひご覧ください。ご意見やご質問などは Twitterのハッシュタグ #セキュリティのアレで募集してます。

www.atmarkit.co.jp

さて今日公開された最新の記事では、1月の気になる話題を 3つ取り上げて解説してます。それぞれ少し補足したいと思います。まあ Show Notes 的なアレですね。

続きを読む前に、まずはコーヒーでも飲みながら、のんびりと動画をご覧ください。

www.youtube.com

先月末にサンフランシスコで開催された ENIGMAという USENIXの新しいカンファレンスのクロージングセッションにおいて、アメリカ国家安全保障局 (NSA) の Tailored Access Operations (TAO) という部門のチーフである Rob Joyce氏がプレゼンテーションを行った。これは極めて珍しいことのようで海外のメディアでいくつか話題となっていた。

• NSA’s top hacking boss explains how to protect your network from his attack squads • The Register
• NSA Hacker Chief Explains How to Keep Him Out of Your System | WIRED

約35分の講演の様子は YouTubeで公開されている。講演のタイトルは “Dirsrupting Nation State Hackers” で、NSAによる攻撃の手法を解説し、そういった国家レベルの攻撃を防ぐにはどうするか、効果的な対策方法を紹介する、といった内容である。時間も短いので興味のある方はぜひ講演のビデオを見ていただきたい。

USENIX Enigma 2016 - NSA TAO Chief on Disrupting Nation State Hackers

もちろん公の場での講演であるから、NSAの機密に関わる情報などが出るはずはなく、いわゆる標的型攻撃 (Targeted Attack) や APT (Advanced Persistent Threat) などと呼ばれる攻撃、およびその防御策についての一般的な内容だ。

TAOによるターゲットへの侵入は以下の 6つのフェーズで行われているそうだ。これは Cyber Kill Chain (Intrusion Kill Chain, APT Kill Chainなどとも呼ばれる) や APT Attack Lifecycle などのモデルとも類似している。日本語の資料だと IPAの「『高度標的型攻撃』対策に向けたシステム設計ガイド」も参考になるだろう。

Intrusion Phases

1. Reconnaissance
2. Initial Exploitation
3. Establish Persistence
4. Install Tools
5. Move Laterally
6. Collect, Exfiltrate and Exploit

これに対する防御策としては、NSAの Information Assurance Directorate (IAD) 部門が公開しているガイダンスを紹介しつつ、各フェーズにおける具体的な対策手法について説明している。(ちなみに TAOは Signals Intelligence Directorate (SID) の中の部門の一つ。Rob Joyce氏は 2013年4月に TAOのチーフになる前は IADの Deputy Directorを務めていた。つまり防御側から攻撃側へと役割を変えたわけだ。なおSIDとIADを一つにする組織再編の話もあるらしい。)

いくつかポイントだけ紹介する。

• 攻撃する側 (TAO) はターゲットのネットワークについて、それを設計/構築/運用する人よりも詳しく調べあげる。だから侵入に成功する。防御する側は自分達が使っている技術、製品についてすみずみまでよく知り、導入にあたって評価するための手続きを定め、適切な設定を行い、必要のない機能を止めるということが大事。Attack Surfaceを減らすこと。
• 高度な攻撃者がいつもゼロデイを利用していると考えるのは間違い。大規模なネットワークはもっと簡単に少ないリスクで攻略できる攻撃ベクトルがたくさんあり、そのほうが効率もよく効果的。防御側は継続的に製品やソフトウェアの脆弱性対応などアップデートが必要。攻撃のハードルを上げること。
• 侵入にもっとも使われる 3つの攻撃ベクトルは、(1) Eメール (2) Webサイト (受動型攻撃) (3) リムーバブルメディア。(3)はエアギャップを越えるのに使われることもある。
• 人に頼る対策はだめ。いくら不審なメールを開くなと教育したところで開くやつは開く。そうではなくて、組織のポリシーを技術的に強制するための仕組みが必要。人がミスをしても攻撃を防ぐことができるかが大事。例えば Microsoftの EMETなど Anti-Exploitationの機能を使うことを推奨。IADの Host Mitigation Package (HMP) を読め。
• Application Whitelistingを活用する。大規模なネットワークで一般ユーザに適用するのは難しいが、本当に守るべきネットワークを分離し、その範囲内において適用する。
• ウイルス対策ではレピュテーションの機能は有効な防御手段。コンピュータ上で実行されるプログラムに関する情報をクラウドに送信して、レピュテーションデータベースとマッチング。また攻撃ツールがアクセスするサイトのドメイン名に関するレピュテーションも有効。
• 侵入後の Lateral Movementを防ぐには、境界防御に頼っていてはダメで、ネットワークのセグメンテーションやモニタリングが大事。
• 攻撃者は単に情報を盗むだけでなく破壊工作をすることもある。Saudi Aramcoや Sony Pictures Entertainmentの事例など。オフサイトのバックアップなどの備えをすること。
• サイバー犯罪者と国家レベルの攻撃者との違いに注意。サイバー犯罪者は日和見主義だが、NSAや APTはそうではない。ターゲットに侵入できるまでしつこく狙ってくるし、侵入後は長くとどまる。したがって防御側は継続的に対策の評価、改善を行わなければいけない。そうでなければ防げない。

どれも特に奇をてらったものではなく、いわゆるベストプラクティスといわれるセキュリティ対策がなぜ有効なのかを攻撃側の手法とあわせて解説している。講演はとても平易でわかりやすく、かつ有用な内容なので、ぜひご覧になることをお奨めする。

ところで TAOと聞いてすぐにピンとくる方ばかりでもないと思うので最後に少し補足すると、まあわかりやすく言えば TAOは世界最強のハッカー集団である。敵対国家あるいは同盟諸国のターゲットに侵入し、国家安全保障上必要な情報の収集などを行うことを目的とした攻撃専門の部隊、それが TAOである。当然ながらこれまでその活動実態はあまり表にはでてこなかったが、2013年の Edward Snowden氏による機密情報のリークにより、さまざまなことがわかってきた。Der Spiegelや The Interceptなど複数のメディアが、Snowden氏のリークしたドキュメントにもとづいて TAOに関する多数の記事を公開している。TAOが関わっているとされる活動としては、例えば以下のようなものがある。

• 2011年には世界中で 231の攻撃作戦を展開した。2008年には 20,000台以上のコンピュータをマルウェア (implant) に感染させた。

U.S. spy agencies mounted 231 offensive cyber-operations in 2011, documents show - The Washington Post

• 2012年の内部資料によると、TAOは世界中で 50,000台のコンピュータをマルウェアに感染させた。

NSA infected 50,000 computer networks with malicious software - NRC

• メキシコの Secretariat of Public Securityへの侵入。メキシコの大統領のメールにもアクセスしていた。

NSA Hacked Email Account of Mexican President - SPIEGEL ONLINE
Inside TAO: Targeting Mexico - SPIEGEL ONLINE

• QUANTUM, FOXACIDなどのシステムを使いターゲットマシンをマルウェアに感染させる。Tor Browserを攻撃した事例がある。GCHQによる Belgacomへの侵入や、OPECへの侵入、また欧州から中東を経由してアジアとを結ぶ海底ケーブル SEA-ME-WE_4への攻撃でも QUANTUMが使われた。

Attacking Tor: how the NSA targets users' online anonymity | US news | The Guardian
GHCQ Targets Engineers with Fake LinkedIn Pages - SPIEGEL ONLINE
How the NSA and GCHQ Spied on OPEC - SPIEGEL ONLINE
Inside TAO: The NSA's Shadow Network - SPIEGEL ONLINE

• ANTカタログ。NSAは PC、サーバ、ネットワーク機器、スマートフォンなど様々な機器に監視用のソフトウェア (implant) を埋め込むことができ、その製品カタログが存在する。Advanced Network Technology (ANT) は TAOの中の一部門。

Interactive Graphic: The NSA's Spy Catalog - SPIEGEL ONLINE
NSA Secret Toolbox: ANT Unit Offers Spy Gadgets for Every Need - SPIEGEL ONLINE

• TURBINE, TURMOILなどの攻撃自動化システムにより、大規模なマルウェア感染が可能。

How the NSA Plans to Infect ‘Millions’ of Computers with Malware

世界最高の攻撃能力があるからこそ防御も可能ということだろうか。まあその活動内容の是非はともかく、対策手法など優れた部分は大いに参考にするべきだろう。

先週 1/14,15に JAPAN IDENTITY & CLOUD SUMMIT (JICS) が開催され、その中のセキュリティ・トラックに参加させてもらいました。@ITさんの記事(の後半)でセキュリティ・トラックの内容について紹介されています。

Japan Identity ＆ Cloud Summit 2014レポート：なぜ僕らはまだパスワードリスト攻撃に悩まされ続けるのか - ＠IT

関連するブログや Togetterのまとめもあります。
JICS2014に参加してきました。 « (n) (パネリストの一人である辻さんの記事)
JICS 2014のセキュリティ・トラックを聞いて思ったこと - r-weblife (OpenIDファウンデーション・ジャパンのエバンジェリスト ritouさんの記事)
#JICS2014 #Sec Track - クレイジーダブルポケットフランネルチェックシャツ - Togetterまとめ

このトラックでは、「ユーザの視点」「攻撃者の視点」「サイト運営者の視点」でそれぞれパスワードに関する問題について話をし、その後にパネルディスカッションを行いました。

ユーザの視点 (私)

情報漏洩の事例をもとに、多くのユーザが弱いパスワードをつけたり、パスワードを使い回したりしている状況の確認と課題の提起

攻撃者の視点 (辻さん)

攻撃者はどうやってパスワードを破るのか、攻撃手法や利用されるツールの紹介

サイト運営者の視点 (徳丸さん)

パスワードリスト攻撃への対策方法の紹介と、サイト側がどこまでやるべきなのか、悪いのは誰なのかを整理

パネルでは上記 3人にヤフーの楠さんも加わって、「リスト型攻撃の対策は結局どうしたらいいのか」「パスワードは本当にオワコンなのか」などをテーマに、どういう方向に進んでいけばいいのか、パネリスト達で議論しました。こういうパネルディスカッションには時々参加させてもらいますが、その中でも今回のパネルは中々充実した内容で非常におもしろかったと思います(参加者がどう思われたかはわかりませんが…)。内容については上の記事をご参照ください。
答えがすぐに出るようなテーマではありませんので、継続して取り組んでいく必要がありますね。

あと私の資料の中で紹介したネタについて、参考情報を以下にのせておきます。

漏洩アカウントのチェックサイト
Have I been pwned? Check if your email has been compromised in a data breach
セキュリティ研究者の Troy Hunt氏が運営しているサイト。過去に漏洩したアカウント情報をデータベース化して検索できるようにしてあります。自分のメールアドレスを事前に登録しておくと、漏洩した際にメールで知らせてくれる機能や、ドメイン検索する機能(そのドメインの管理者であることを証明する必要あり)もあります。

漏洩したパスワードを公開、販売しているサイト
UNIQPASS v14 · Large password list
Leaked Passwords
UNIQPASSは様々なサイトから漏洩したデータを集約したリストで、約2億4千万件のパスワードが含まれているらしいです。

パスワードが弱いかどうか判定するサイト
How Strong is Your Password?
パスワード チェッカー: 安全性の高いパスワードの使用 | Microsoft セキュリティ
Telepathwords: preventing weak passwords by reading your mind.
いろいろありますが、Microsoft Researchが提供する Telepathwordsはちょっとユニークです。パスワードを1文字ずつタイプすると、その文字から次の文字を推測して表示してくるので、心を読まれたような気分になります。過去に漏洩したパスワードやよく使われる言葉などから、次の文字を推測しているようです。同じパスワードでもサイトによってチェック内容が異なるため判定結果が変わってきます。

パスワードの探索空間を表示するサイト
GRC's | Password Haystacks: How Well Hidden is Your Needle?  
パスワードに使われている文字の種類と長さの情報をもとに、ブルートフォース攻撃を試みる場合の探索空間の広さを教えてくれるサイトです。パスワードの強さを判定してくれるわけではないので注意。

情報セキュリティに対する意識調査
プレス発表 「2013年度 情報セキュリティに対する意識調査」報告書を公開：IPA 独立行政法人 情報処理推進機構
IPAが毎年行っているアンケート調査の2013年度の結果。一般ユーザのパスワードの利用状況についても参考になるデータがのっています。

以上です。

JICS2014の関係者、参加者の皆様、ありがとうございました！！

Adobeから大規模な情報漏洩が起きたことが先月明らかになったが、漏洩規模は当初想定よりもかなり大きく、およそ1億5千万件のアカウント情報が漏洩している(アクティブなアカウント約3,800万件を含む)。このうち 3DES (ECBモード) で暗号化されたパスワードがおよそ 1億3千万件含まれており、これまでにさまざまな分析が行われている。SCG (Stricture Consulting Group) のセキュリティ研究者は、暗号化パスワードとともに漏洩した平文のパスワードヒントなどを手掛かりとしてパスワードの解読を試みており、Top 100パスワードリストを公開している。最も多く使われていたパスワードは「123456」で約191万件、これは全体の約 1.5%に相当する。

Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用 - ITmedia エンタープライズ

これらの記事を読んで、日本のユーザでも同じだろうかという疑問が湧いたので、少しだけ調べてみた。jpドメインでは yahoo.co.jpが最も多く約100万件のメールアドレスが登録されていたので、これをサンプルとして調査することにした*1。(ちなみに 2位は hotmail.co.jp、3位は ybb.ne.jpで、jpドメインで約327万件のメールアドレスが登録されていた。)

100万件のうち14万件は暗号化されたパスワード情報を含んでいなかったため、残りの86万件のパスワード(ユニークなパスワード約63万件)を利用者の多い順に並べてみた。
(注：暗号化されたパスワードが復号できているわけではないので、あくまでも推測にすぎない。)

この結果から言えそうなことは、

• 英字や英単語は少なく、数字のパスワードが多い
• 日本語のパスワードやパスワードヒントが含まれる
• 脆弱なパスワードの割合は全体の平均よりは少ない

英字が少ない点について補足すると、たとえば全体で4位の「adobe123」は約21万人ものユーザが使っているのに、yahoo.co.jpドメインに限るとわずか80人しかいない。全体 9位の「photoshop」も100人だけだ。また全体では100位圏外の「sakura」が 7位にはいっているのも日本ならではと言えるだろう。(ただし yahoo.co.jpドメインだからといってすべて日本のユーザとは限らないが。)

またこれは全体にも共通する点だが、パスワードヒントにパスワードをそのまま書いている(あるいは逆順にして書いている)人がたくさんいることもわかった。パスワードヒントに何を書けばよいかわからず、結局そのままパスワードを書いてしまうのだろう。「秘密の質問と答え」でも同じだが、パスワードを忘れたユーザのための機能が抜け穴になってしまっているようだ。こうした機能があること自体よくないと言えるだろう*2。

今回紹介したパスワード Top 10はユーザが使ってしまいがちな良くないパスワードの例である。自分のパスワードには決して使わないこと！そしてパスワード漏洩時の影響を最小限に抑えるため、複数のサイトでパスワードの使い回しをしないこと！

(参考記事)
日本語では徳丸氏の記事、英語では Sophosの記事が秀逸でもっとも参考になる。また Troy Hunt氏は過去のパスワード漏洩事件でも優れた分析記事を書いており今回も大変参考になる。

Adobeサイトから漏えいした暗号化パスワードはなぜ解読されたか | 徳丸浩の日記
http://blog.tokumaru.org/2013/11/adobe.html

Anatomy of a password disaster – Adobe’s giant-sized cryptographic blunder | Naked Security
http://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/

Troy Hunt: Adobe credentials and the serious insecurity of password hints
http://www.troyhunt.com/2013/11/adobe-credentials-and-serious.html

pivotal analytics - An analysis of the Adobe password dump
http://pv.tl/blog/2013/11/03/adobe-password-analysis/

1286: Encryptic - explain xkcd
http://www.explainxkcd.com/wiki/index.php?title=1286:_Encryptic

How an epic blunder by Adobe could strengthen hand of password crackers | Ars Technica
http://arstechnica.com/security/2013/11/how-an-epic-blunder-by-adobe-could-strengthen-hand-of-password-crackers/

Just how bad are the top 100 passwords from the Adobe hack? (Hint: think really, really bad) | ZDNet
http://www.zdnet.com/just-how-bad-are-the-top-100-passwords-from-the-adobe-hack-hint-think-really-really-bad-7000022782/