今日は休暇中。明後日はWebアプリケーションセキュリティフォーラムの第3回コンファレンスだ。
日時: 2006年2月24日(金) 10:30〜18:00 受付開始:10:00
会場: 丸の内コンファレンススクエアM+ 1階 サクセス13:20〜14:20 基調講演
『根源的なスパイウェア対策としてのTrusted Computing』
丸山 宏 日本アイ・ビー・エム株式会社 東京基礎研究所
今回は、IBM東京基礎研の丸山宏先生を基調講演にお招きし、スパイウェア対策にからめて、Trusted Computingについてご講演いただけることになった。このテーマとWebアプリケーションセキュリティの関係は、次のように言える。
昨年は、スパイウェアが原因とされるインターネットバンキングを悪用した不正送金事件が多数明るみになったことから、各金融機関はこぞって、「ソフトウェアキーボード」やら「ワンタイムパッド」だの、ワンタイムパスワードなどを導入した。
しかし、これらの大半は、スパイウェア対策になっておらず、単なるキーロガー対策でしかない。
「『スパイウェア』といえば『キーロガー』のことである」というのは間違いであり、他にも様々な方法で不正送金をたくらむスパイウェア(「マルウェア」、「クライムウェア」などとも呼ばれる)が出現し得るからだ。
用語「スパイウェア」を文言に忠実に定義しようとすれば、「スパイ」という文字通り「情報を盗む」機能を有するものだけを指すことになるかもしれないが、重要なのは、「ユーザが信用すべきでないプログラムを誤って実行してしまうような状況がある」という共通の前提条件であり、そのような前提で有害となるもの全体を指して「スパイウェア被害」と呼ぶことにした方がよい*1。
そのような広義のスパイウェアならば、ブラウザを自動操作するなどの方法によって、パスワードを盗む方法ではなく、Webサイトに対して不正な操作を間接的にすることができてしまう。このことは、普通レベルのWebアプリケーション技術の仕組みを知る者なら、容易に気付くことであろう。
この懸念は英語圏では既に現実のものとなってきているようで、ちょうど一昨日、こういう報道も出ていた。
サイバー犯罪者がユーザーとともにオンラインバンキングを利用し、口座の金を盗むという事態が起こっている。
(略)
Shippは米国時間2月16日、当地で開催された「RSA Conference 2006」において、「最近では、ユーザー名やパスワードの盗難は減少している」と発言した。代わりに、「(口座から金を盗む目的で作成された)トロイの木馬」が、ユーザーがオンラインバンキングを利用するのを待ち受けるようになり、「金を外部へ送金している」のだという。
「いかなる認証システムが導入されていようと、ちょっとした仕掛けが施されていようと、生体認証が適用されていようと、役に立たない。犯罪者はユーザーを待ち伏せて、口座預金を盗み出している」(Shipp)
おそらく今年は、その種のタイプのスパイウェアによる被害を食い止めることが、Webサイト運営者達の課題となると思われる。
しかしながら、Webアプリケーション側で、そうしたスパイウェアによる攻撃を防ぐことは、原理的に見て、不可能である*2
ある程度「やらないよりはやった方がまし」な対策とかは存在するし、「同じ効果を期待するならその方法は脆弱である」といった議論はあり得るので、その意味で、このテーマはWebアプリケーションセキュリティと関係はあるものの、根本的には、そうした攻撃の原因はユーザ側の過失にある(Webアプリの欠陥ではない)とせざるを得ない。
そうすると、ユーザ側のスパイウェア対策は可能なのか? ということが議論の焦点となってくる。ひとつにはリテラシ教育であるが、クライアント側のシステムでの対策として、従来のワクチンソフトや既知のスパイウェア検出ソフトのようなアドホックな方法ではなく、根本的で本質的な対策はできないのかということになる。
そこでTrusted Computingへの期待——ということになる。丸山先生に、Trusted Computingがスパイウェア対策の本命となり得るかをお尋ねしたところ、今回のご講演をいただけることになった。私としても興味津々で明後日がたいへん待ち遠しい。
Webアプリケーションセキュリティに携わる技術者としては、広義のスパイウェアによる攻撃の可能性と、Webアプリケーション脆弱性との関係を正しく理解し、責任分界点の明確化に務めたいところであろう。
*1 不正確な用語定義かもしれないが、日本において消費者に注意喚起するために使えるキーワードが「ウイルス」と「スパイウェア」くらいしかないため、現時点ではやむをえないだろう。
*2 米国では、FFIEC (US Federal Financial Institutions Examination Council: 連邦金融機関検査委員会) が2006年末までに2要素認証を導入しなければならないとするガイドラインを制定したことが話題となっているが、そうしたスパイウェアによる被害は2要素認証でも防げないのであり、既に被害が出ているというのであれば、ともすれば、米国でもその方向性は見直しになる可能性さえあるのではないか。