第1回 企業を取り巻く新しいアプリケーションと脅威
乙部幸一朗
パロアルトネットワークス合同会社
技術本部長
2011/4/27
| プライベートのみならず、仕事においても、FacebookやTwitterといったソーシャルネットワーキングサービスを使うのが当たり前になってきたが、それに伴い、新たなリスクが生まれている。この連載では、新しいアプリケーションとうまく付き合いながら、脅威に対策する方法を探る。(編集部) |
ソーシャルアプリ、企業で使うのは当たり前?
猫も杓子もクラウドという時代である。インターネットを介してサービスとしてアプリケーションを利用するというアプローチは、プライベートのみならず、ビジネスの場面でも数多く見るようになっている。
ソーシャルネットワーキングサービス(以下SNS)は、この両方の場面で活用されているアプリケーションの代表だろう。インターネットの進化により、爆発的に数を増やすアプリケーションと利用ユーザーがいて、そこには数多くのビジネスチャンスがあるのだから当然の流れだといえる。
中でも、映画にもなったFacebookのユーザー数の増加は爆発的だ。サービス開始以降驚異的に伸びている会員数は、現在5億人を超えていて、国別の総人口と比べても、中国、インドに次ぐ世界3位の規模である。企業としても、こんな巨大なマーケットを放っておく手はない。
実際に日本の企業ネットワークを調べてみても、これらのSNSアプリケーションの利用が如実に増えていることが分かる。ある調査データ(図1)によると、日本の企業でFacebookの利用が確認されているのは、アンケートに答えた企業全体のうち87%だ。ちなみに、最近巷で話題のTwitterはこれより多い93%で利用が確認されており、さらに47%では投稿、つまり“つぶやき”が行われているというオマケ付きだ。
 |
| 図1 企業ネットワークにおいて利用されているSNSアプリケーション(出所:パロアルトネットワークス) |
ただし、これらのアプリケーションが本当に業務目的で利用されているかとなると疑問だ。個人利用が多く含まれていることは容易に想像できる。
問題はSNSだけではない。Webメールで有名なGmailは97%の企業で利用が確認され、YouTubeが消費しているネットワーク帯域は、SMTPやPOPによる社内メール通信よりも多い(図2)。ここまでくると無法地帯になっているのでないかという気さえしてくる。
 |
| 図2 企業ネットワークにおいて帯域使用が多いアプリケーション(出所:パロアルトネットワークス) |
管理者はファイアウォールやプロキシといった手段で対策を講じてはいるが、自分のネットワークにどのようなアプリケーションが多く流れているかということは、ほとんどの管理者が把握できていない。気付いている管理者であっても、業務に関係しているかもしれず、また直接的な問題はないという理由を盾に、これらの問題に対して目をつぶっているのが大半だ。
SNSアプリがマルウェア感染拡大の要因に
では本当にセキュリティ上の問題はないのだろうか。
最近のマルウェアの傾向を見ていくと、SNSアプリケーションを侵入経路として利用するものが多く確認されている。その代表ともいえるのが「KOOBFACE」だ。
KOOBFACEは2008年ごろに、初めてFacebookをターゲットとしたワームとして存在が確認された。現在ではTwitterやMySpaceにも感染経路を拡大し、いまや1000種類以上の亜種が存在しているといわれている。
このワームの感染方法だが、まず感染している端末からSNS上の友人アカウントに対して「ビデオファイルを見るように」というメッセージとともにURLが送信される。このようなメッセージを受け取ったユーザーは、当然友人からのビデオファイルだと思い込んでURLをクリックするが、アクセス先のサーバからダウンロードされるのは、ビデオ再生用のプログラムに偽装した不正プログラムで、感染してしまう(図3)。
 |
| 図3 Twitterを介したKOOBFACE感染の流れ |
一度感染してしまうと、今度はその端末上にあるCookie情報からFacebookなどへのアクセス情報を入手して、さらにほかのユーザーにも感染を拡大させ、ねずみ算的に数を増やしていく。しかもこのワームはボットの機能も備えているため、感染した後もユーザーに気付かれないようにゾンビPCとして静かに不正活動を続けていく。
ここで注目すべきは、感染を拡大させる一番大きな要因となっているのがSNSアプリケーションだという点である。
単なるスパムメールとしてこのようなURLが送信されれば、ユーザーも疑いを持ち、簡単にはクリックをしないだろう。だが、SNS上で友人からメッセージが送信されていると、セキュリティに対する意識が甘くなる。
この点に関していえば、正規サイトを入口とすることで被害が拡大してしまうドライブバイダウンロード攻撃と特徴が似ている。ましてや、FacebookをはじめとするターゲットとなるSNSのアプリケーションは、プライベートでも職場でも現状はほぼ制限なく利用できる環境にあるので、マルウェアにとって感染を拡大する格好の抜け道となっているのだ。
KOOBFACEの例を見ても分かるように、脅威というのは外部から直接送り込まれるとは限らない。先に述べたように、8割以上の企業ネットワーク上でGmailを含むWebメールのアプリケーションが確認されているし、4割近くの企業でYahooメッセンジャーやWindows Liveメッセンジャーが使われている。従業員がこれらのアプリケーション上でファイルをやりとりすることで、意図せずにマルウェアを侵入させてしまったり、情報漏洩を起こしたりするケースもある。
また、社内にいるユーザーが意図して企業のセキュリティを回避することも考えられる。「Hamachi」を使って自宅のネットワークにアクセスしたり、「TOR」を使用して通信先を秘匿したりするのはよく知られている手法だ。TORはThe Onion Routerの略で、P2P技術を用いたSOCKSプロキシとして動作し、インターネット上にある複数のTORノードを経由するたびに、まるで玉ねぎの皮のように新しい暗号化チャネルを作っていくことから、この名前が付けられている(図4)。
 |
| 図4 暗号化によってセキュリティ製品を回避するTORの動作 |
これらのツールは無料で誰でも入手できる上、利用方法を記載した指南サイトが多くあるため、ITに詳しくないユーザーでも簡単に使うことができる。インストールや設定操作は簡単だが、アプリケーションが行っている動作自体は極めて巧妙だ。ネットワーク上のさまざまなプロトコルを駆使して、ファイアウォールやプロキシといったセキュリティ製品を超えていく機能を備えている。
1/2 |
 |
| Index | |
| 企業を取り巻く新しいアプリケーションと脅威 | |
 |
Page1 ソーシャルアプリ、企業で使うのは当たり前? SNSアプリがマルウェア感染拡大の要因に |
| Page2 セキュリティ対策を「避ける」最近のアプリケーション 「利用禁止」では問題は解決しない |
|
 |
ソーシャルアプリ時代のセキュリティ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
