『情報セキュリティ10大脅威 2015』見た。無理に10個挙げようとしなくても。

１つ１つを見ればもっともではあるんだが、10個並ぶと違和感が。

<a href="http://www.ipa.go.jp/security/vuln/10threats2015.html" data-mce-href="http://www.ipa.go.jp/security/vuln/10threats2015.html">情報セキュリティ10大脅威 2015：IPA 独立行政法人情報処理推進機構</a>
今回は順位と概要までらしいのだが、まずは順位だけ引用してみる。

1位「オンラインバンキングやクレジットカード情報の不正利用」
2位「内部不正による情報漏えい」
3位「標的型攻撃による諜報活動」
4位「ウェブサービスへの不正ログイン」
5位「ウェブサービスからの顧客情報の窃取」
6位「ハッカー集団によるサイバーテロ」
7位「ウェブサイトの改ざん」
8位「インターネット基盤技術の悪用」
9位「脆弱性公表に伴う攻撃の発生」
10位「悪意のあるスマートフォンアプリ」

オレが違和感を持つ理由は、手法(内部不正、標的型攻撃など)と、ターゲット(オンラインバンキング、クレジットカード情報など)と攻撃者(ハッカー集団)がごちゃまぜだから。確かにそれぞれは脅威ではあるんだが。

普通ランキングを発表するときに、別のカテゴリを混ぜることはない。例えば今は無き歌番組で、1位阿久悠2位およげたいやきくん3位ポリドールみたいに発表されたらおかしい。でもこのIPAの情報セキュリティ10大脅威 2015：IPA 独立行政法人情報処理推進機構ではそんな感じで並んでいる。

10大脅威ってことで10個挙げようなんて考えるからこんなことになる。これって啓発、注意喚起のためにやっていることだと思うので、数は不定にしておいて手法かターゲットでまとめるほうがいいんじゃないか？

あと、オレはセキュリティの専門家ではないのでセキュリティの専門家の人たちにモノ申すと返り討ちに遭う可能性は否めないが、第1位で対策方法に誤りがあると思うので書いておく。下線はオレ。

第1位オンラインバンキングやクレジットカード情報の不正利用

ウイルスやフィッシング詐欺により、オンラインバンキングの認証情報やクレジットカード情報が窃取され、本人になりすまして不正に利用や送金が行われた。また、2014年は個人だけでなく法人口座からの不正送金被害が急増したことが特徴的だった。

[主な対策] ウイルス対策ソフトの導入、ソフトウェアの更新、ワンタイムパスワードの利用

いや、ワンタイムパスワード(OTP:One-Time Password)は、MITM(man-in-the-middle)攻撃にはあまり効果が無い。図解しよう。

まず正規の取引。

f:id:shigeo-t:20150207110716p:plain

次はCSRF(クロスサイトリクエストフォージェリ:Cross site request forgeries)脆弱性などを突いてMITM攻撃をされた場合の通信。接続PCからは正しくオンラインバンキングに接続しているように見えているが、実際にはMITMサイトに接続し、MITMサイトが生成した画面を見、MITMサイトが生成したフォームに入力している。MITMサイトは接続PCに成りすまし、不正な振込先に利用者が振込可能な金額上限一杯に振り込んでしまう。

実際にMITMサイトが固定なら、あっという間に対策出来るので、特定されないように移動しまくったりする。そのため、そういう移動先情報を教えるサイトへの接続もあるし、このようなバンキングマルウェアを配布したり送り付けたりするサイトもあるが、少し簡略化した。

f:id:shigeo-t:20150207110844p:plain

MITMサイトが挟まるという事は、オンラインバンキングサイトが使っているEV SSL証明書ではなくMITMサイトのオレオレ証明書(DV SSL証明書)を使っているはずなので、画面だけでなくURL欄の色も見ておけば、気が付くことは可能なのだが。

<a href="https://shigeo-t.hatenablog.com/entry/2014/06/12/165024" data-mce-href="https://shigeo-t.hatenablog.com/entry/2014/06/12/165024">【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意！」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明なので色々調べてみた。 - いろいろやってみるにっき</a>

<a href="https://shigeo-t.hatenablog.com/entry/2014/06/14/033910" data-mce-href="https://shigeo-t.hatenablog.com/entry/2014/06/14/033910">【補遺】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意！」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明なので色々調べてみた。 - いろいろやってみるにっき</a>

そして問題のワンタイムパスワード(以下、OTPと略す）がなぜあまり役立たないか。まず図を見て欲しい。上の図にOTP部分を加筆した。

f:id:shigeo-t:20150207112227p:plain

オンラインバンキングで一般に使用されている形態のOTPは、下記の2タイプが多い。

専用の機器(OTPトークン)を配られて、その画面に表示されている数字を入れろというタイプ(図では中段)。
メールで都度OTPを送ってきてその数字を入れろというタイプ(図では上段)。

この2タイプでいうと、結局振込などの取引トランザクションは全部MITMサイトを通ってしまう。乱数だろうがOTPだろうが、正しいものをそのまま利用されていまう。これでは手間暇が増えるだけで全く効力が無い。

MITM攻撃をOTPで防ぐのであれば、2経路2要素にする必要がある。どのように実装するかは措いておくが、全く異なる経路を組み合わせないと決済トランザクションが完結しないようにすれば、MITM攻撃をほぼ無効化できる。同時に全く異なる経路にMITMサイトを存在させ、協調動作させることはかなり難しいからだ。 PCは一般的な光やADSLなどの網から接続、もう一経路が携帯電話網ということになれば、その異なる経路を束ねて不正行為を成立させるためには、上のような簡単なMITMサイトでは無理。

あと、MITM攻撃の場合は上にも書いた通りEV SSL証明書であることを確認すべきなのだが、それはIPAの情報セキュリティ10大脅威 2015：IPA 独立行政法人情報処理推進機構には書かれていない。見ればいいので簡単なんだけどな。

といったわけで、情報セキュリティ10大脅威 2015：IPA 独立行政法人情報処理推進機構って「なんだかな」という感想。