連載
» 2011年05月11日 00時00分 公開

セキュリティ・ダークナイト(7):メタデータに残る微かなカオリ (4/4)

[辻 伸弘(ソフトバンク・テクノロジー株式会社),@IT]
前のページへ 1|2|3|4       

iPhone自身も位置情報を収集?

 先日、位置情報を研究しているプログラマーであるAlasdair Allan氏とPete Warden氏が、「Where 2.0」というカンファレンスで、「iPhone内に位置情報を記録したファイルが存在する」ことを発表した。

 両氏はまた、その位置情報を記録したファイルは暗号化処理が行われておらず、この状態で、各ローカルデバイスに大量の情報が保管されていることは危険であると指摘した。そして、その危険性を証明するため、iTunesのバックアップから位置情報を地図上にプロットする「iPhone Tracker」というプログラムも公開している。

【関連記事】
iPhoneがユーザーの位置情報をこっそり記録――研究者の指摘で発覚
http://www.itmedia.co.jp/enterprise/articles/1104/22/news019.html
「iPhoneの位置情報収集」をめぐり、Appleが公式見解
http://www.itmedia.co.jp/enterprise/articles/1104/28/news021.html

 これらの情報が個人情報に当たるかどうかというと、微妙なところなのかもしれない。位置情報サービスが市民権を得つつあるとはいえ、自身がトリガーになっていない位置情報が簡単に読み出せてしまうのは、あまり気持ちのいいものではないだろう。

 1ついいニュースがあるとすれば、これらの情報はローカルに保存されているため、そのファイルを取得できる状態(=デバイスを手にする状態)にならなければならない。つまり、多くの情報が保存されているが、入手するための敷居は比較的高いかもしれない。

 逆に、SNSなどから取得できる情報は、得られる情報量は少ないかもしれない。だがIDさえ分かれば、当の本人に気付かれることなく取得できてしまう。その分、こちらの方がクリティカルな情報流出につながってしまう可能性が考えられる。

ささいな情報でもダムの決壊につながる

 最近、APT攻撃が再び注目を浴びている。APTとは「Advanced Persistent Threat」の略で、直訳すると「高度で継続的な脅威」となる。定義はあいまいなのだが、特定の個人や組織に対してテクニカル、ソーシャル問わず複数の手法を用いて執拗に攻撃を行う、標的型攻撃の1つであると筆者は認識している。

 GoogleやAdobe Systemsなどもこの餌食となった。2011年3月にはRSAがこの被害に遭い、二要素認証製品「SecurID」の情報の一部が盗み出されたと報じられている。

【関連記事】
RSAのシステムに攻撃 SecurIDに関する情報盗まれる
http://www.itmedia.co.jp/enterprise/articles/1103/22/news089.html

 今回、ツールとともに紹介した手法は、テクニカルな調査行為というよりも、どちらかというとソーシャルな調査行為だろう。しかし、APTに代表される巧妙化している攻撃が存在しているいまとなっては、ささいと思われる情報が、ダムを決壊させる一穴になる可能性がある。

 個人と組織とでは守るものが異なるかもしれない。しかし「露出している情報を把握し、余計な情報を露出しない」という原則は共通であり、セキュリティの基本であると考える。この基本を徹底するために、まずは自身や自組織の情報がどの程度露出しているのかの把握を行うことが重要だろう。

 今後、攻撃者は時間をかけて、執拗に「広義の資産」を狙ってくるだろう。狙いやすいところから攻撃する「ローリスクハイリターン型」だけではなくなってきていることは確かである。この際、狙われるのはOSやアプリケーションの脆弱性のみではない。人間の盲点や思い込みなども狙われうる脆弱性として扱っていくべきだろう。

 OSやアプリケーションをどんなに強固にしても、それを動かす人間に弱点があってはシステムは守りきれない。しかし、「運用でカバー」といった言葉があるとはいえ、人間に依存しすぎても効率が悪く、限界があるだろう。

 システムと人間、それぞれにそれぞれの得手不得手があることはいうまでもない。両方に美点があり、両方に弱点がある。互いの美点を生かし、補完していかなければ、巧妙に進化していく攻撃には対抗できない。

 だが、完全無欠という夢物語を実現しようとするのは非現実的だ。可能な限り弱点を減らした上で、その弱点が利用され、被害を受ける可能性があるということを前提に、早期発見、早期復旧の仕組み作りも視野に入れなければならない。それが私たちが目指すべき「システム」というものなのだと筆者は考えている。

筆者紹介

NTTデータ・セキュリティ株式会社

辻 伸弘(つじ のぶひろ)

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。

民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。

▼辻氏のブログ「(n)」: http://n.pentest.jp/

▼辻氏のTwitter: http://twitter.com/ntsuji



前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。