<前の日記(2006年02月10日) 次の日記(2006年02月27日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1050   昨日: 3744

2006年02月22日

スパイウェア対策としてのTrusted Computingへの期待

今日は休暇中。明後日はWebアプリケーションセキュリティフォーラムの第3回コンファレンスだ。

  • 第3回コンファレンス, Webアプリケーションセキュリティフォーラム

    日時: 2006年2月24日(金) 10:30〜18:00 受付開始:10:00
    会場: 丸の内コンファレンススクエアM+ 1階 サクセス

    13:20〜14:20 基調講演
    『根源的なスパイウェア対策としてのTrusted Computing』
    丸山 宏 日本アイ・ビー・エム株式会社 東京基礎研究所

今回は、IBM東京基礎研の丸山宏先生を基調講演にお招きし、スパイウェア対策にからめて、Trusted Computingについてご講演いただけることになった。このテーマとWebアプリケーションセキュリティの関係は、次のように言える。

昨年は、スパイウェアが原因とされるインターネットバンキングを悪用した不正送金事件が多数明るみになったことから、各金融機関はこぞって、「ソフトウェアキーボード」やら「ワンタイムパッド」だの、ワンタイムパスワードなどを導入した。

しかし、これらの大半は、スパイウェア対策になっておらず、単なるキーロガー対策でしかない。

「『スパイウェア』といえば『キーロガー』のことである」というのは間違いであり、他にも様々な方法で不正送金をたくらむスパイウェア(「マルウェア」、「クライムウェア」などとも呼ばれる)が出現し得るからだ。

用語「スパイウェア」を文言に忠実に定義しようとすれば、「スパイ」という文字通り「情報を盗む」機能を有するものだけを指すことになるかもしれないが、重要なのは、「ユーザが信用すべきでないプログラムを誤って実行してしまうような状況がある」という共通の前提条件であり、そのような前提で有害となるもの全体を指して「スパイウェア被害」と呼ぶことにした方がよい*1

そのような広義のスパイウェアならば、ブラウザを自動操作するなどの方法によって、パスワードを盗む方法ではなく、Webサイトに対して不正な操作を間接的にすることができてしまう。このことは、普通レベルのWebアプリケーション技術の仕組みを知る者なら、容易に気付くことであろう。

この懸念は英語圏では既に現実のものとなってきているようで、ちょうど一昨日、こういう報道も出ていた。

  • 口座預金を略奪するトロイの木馬がまん延--セキュリティ研究者が注意を呼びかけ, CNET News, 2006年2月20日

    サイバー犯罪者がユーザーとともにオンラインバンキングを利用し、口座の金を盗むという事態が起こっている。

    (略)

    Shippは米国時間2月16日、当地で開催された「RSA Conference 2006」において、「最近では、ユーザー名やパスワードの盗難は減少している」と発言した。代わりに、「(口座から金を盗む目的で作成された)トロイの木馬」が、ユーザーがオンラインバンキングを利用するのを待ち受けるようになり、「金を外部へ送金している」のだという。

    「いかなる認証システムが導入されていようと、ちょっとした仕掛けが施されていようと、生体認証が適用されていようと、役に立たない。犯罪者はユーザーを待ち伏せて、口座預金を盗み出している」(Shipp)

おそらく今年は、その種のタイプのスパイウェアによる被害を食い止めることが、Webサイト運営者達の課題となると思われる。

しかしながら、Webアプリケーション側で、そうしたスパイウェアによる攻撃を防ぐことは、原理的に見て、不可能である*2

ある程度「やらないよりはやった方がまし」な対策とかは存在するし、「同じ効果を期待するならその方法は脆弱である」といった議論はあり得るので、その意味で、このテーマはWebアプリケーションセキュリティと関係はあるものの、根本的には、そうした攻撃の原因はユーザ側の過失にある(Webアプリの欠陥ではない)とせざるを得ない。

そうすると、ユーザ側のスパイウェア対策は可能なのか? ということが議論の焦点となってくる。ひとつにはリテラシ教育であるが、クライアント側のシステムでの対策として、従来のワクチンソフトや既知のスパイウェア検出ソフトのようなアドホックな方法ではなく、根本的で本質的な対策はできないのかということになる。

そこでTrusted Computingへの期待――ということになる。丸山先生に、Trusted Computingがスパイウェア対策の本命となり得るかをお尋ねしたところ、今回のご講演をいただけることになった。私としても興味津々で明後日がたいへん待ち遠しい。

Webアプリケーションセキュリティに携わる技術者としては、広義のスパイウェアによる攻撃の可能性と、Webアプリケーション脆弱性との関係を正しく理解し、責任分界点の明確化に務めたいところであろう。

*1 不正確な用語定義かもしれないが、日本において消費者に注意喚起するために使えるキーワードが「ウイルス」と「スパイウェア」くらいしかないため、現時点ではやむをえないだろう。

*2 米国では、FFIEC (US Federal Financial Institutions Examination Council: 連邦金融機関検査委員会) が2006年末までに2要素認証を導入しなければならないとするガイドラインを制定したことが話題となっているが、そうしたスパイウェアによる被害は2要素認証でも防げないのであり、既に被害が出ているというのであれば、ともすれば、米国でもその方向性は見直しになる可能性さえあるのではないか。

検索

<前の日記(2006年02月10日) 次の日記(2006年02月27日)> 最新 編集

最近のタイトル

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
<前の日記(2006年02月10日) 次の日記(2006年02月27日)> 最新 編集