LINEでは、サービス公開以降、セキュリティ専門組織によるセキュリティ検証の実施や、内外の専門家によるアプリケーションへの脆弱性対策など、継続的にセキュリティ強化に向けた取り組みを行ってきたとのこと。その一環として、2015年8月24日～9月23日の期間限定で、LINEアプリにおける脆弱性の発見を公募し、報告者に報奨金を支払う「LINE Bug Bounty Program」を実施した。

その結果、全世界から総計約200件＊1の応募報告があり、このうち15件の報告を新たに発見された脆弱性として認定するとともに、速やかに修正対応を行うことで、サービスの安全性向上につながる結果となったと同社。

前回プログラムの成果や運営知見を通じ、脆弱性報告による報奨金制度の実施が、ユーザーにより安心で安全なサービスを提供することにつながると判断し、このたび「LINE Security Bug Bounty Program」を、終了期限を設けず常時運営することとなったとのこと。

「LINE Security Bug Bounty Program」では、LINEアプリ（iPhone/Android）の本日時点の最新版（ver6.3）以降のバージョンにおいて、脆弱性の発見を公募し、LINEで確認・審査を行い、その内容が認められれば報告者名や脆弱性の概要を同社公式サイト内の特設ページにて順次公表、その新規性・重要度に応じて報奨金を支払う。

脆弱性の公表および報奨金の支払いは、該当脆弱性への対応が完了した後に行い、既にLINEにて把握しているものや他者によって先に発見・報告されているものは、審査対象外になる。

なお、「LINE Security Bug Bounty Program」は、現時点ではLINEアプリのみを対象にしており、その他LINEが提供する関連アプリ・サービスは対象外だが、今後、プログラムの対象サービスの追加も順次検討していくとのことだ。

■LINE Security Bug Bounty Program

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■セキュリティに関連した記事を読む
・サイバー攻撃を無料でリアルタイムに可視化するWebサービス「攻撃見えるくん」を11月11日から提供開始
・NTTコミュニケーションズが新たに「情報セキュリティ部」を設置
・スマホやタブレットからIoTへ、セキュリティ・プライバシーに関する意識はどう変化した？
・ITライフハック総編集長が「情報漏えい広報大使」に就任MOTEX「春の“NO MORE 情報漏えい”運動」開催中
・NTTコミュニケーションズが情報セキュリティのトレンドを知る勉強会を開催

以降もGREEのデータを使ったモバゲーへのアクセス、今年に入ってmixiへの不正アクセス、はてなへの不正アクセス、ニコニコへの不正ログインといったネットワーク経由での不正アクセスに加え、ソーシャルハッキングによるベネッセの個人情報流出という超巨大な情報漏えい事件が発生、さらに不正アクセス被害は流行のSNSにもおよび、TwitterやFacebook、そしてLINEが乗っ取られるという被害が発生している。

こうした不正アクセスへのセキュリティ対策は、迅速な対応が被害の拡大を防ぐ重要なポイントになる。そのためにはセキュリティに関連した情報に対し、常にアンテナを張っておき、最新のトレンドや技術情報を収集することが何よりも重要となる。

ベネッセ流出に見られるよう企業活動においては、従来の情報セキュリティ対策や体制では、間に合わない現状がある。セキュリティ対策や体制強化が急務の状況にあり、2014年も情報セキュリティ市場は継続的な成長が見込まれる。そうした状況を踏まえ、NTTコミュニケーションズは、「情報セキュリティ業界動向勉強会」と題した、勉強会を開催した。

■情報セキュリティの最新情報を共有
今回の勉強会では、巧妙な手口によるサイバー攻撃などの情報セキュリティリスクのトレンド、企業や政府などによる機密情報保護対策の動向、国内外の情報セキュリティ事業者のポジションやサービスの特長、および今後のセキュリティ業界展望などについての解説がメインであった。

NTTコミュニケーションズ経営企画部マネージドセキュリティサービス推進室担当部長小山覚氏

1.情報セキュリティの現状
■サイバー攻撃の現状と市場規模
現在、サイバー攻撃は全世界で発生している。攻撃の対象は、金銭的価値のある情報を所有する特定組織へ（標的型攻撃）。そして、未知の脆弱性（=既知ではあるがパッチのまだ存在しない脆弱性）を突く巧妙化した攻撃となっている。DoS攻撃で特定のドメインへのアクセスを遮断して身代金を要求するといった従来では考えられない攻撃が登場。

「サイバー攻撃は企業間競争や戦争の道具になっている。攻撃を制することは情報戦を制するということで防衛産業も目を付けるようになってきた。攻撃者側はガードの高いところを攻めるよりも、簡単に落とせるガードの低いところを攻めている。」とサイバー攻撃の実状が語られるなど、現実世界での生々しいサイバー攻撃の現状が語られた。

こうした状況を踏まえ米国では、政府機関並びに民間企業でのサイバーセキュリティヘの対応を強く推奨している。

情報セキュリティの市場規模に関しては、昨年2013年の世界のセキュリティ市場は約664億ドルであり、2014年は8.4％増の約720億ドルと試算されている。2018年までに毎年8％強の伸びを示し、約993億ドルに達するという。

このままセキュリティ対策を怠っていると2020年に東京オリンピックが開催される日本をターゲットとした金銭目的のサイバー攻撃が集中し、その被害が莫大な額になることが予測されるという。

2. マルウェア対策の歴史
■単純なBOTから始まったマルウェア
次にマルウェア対策の歴史が語られた。例えば初期の「ボットAGOBOT」は、2002年秋頃から登場。当時は、BitTorrentやLimeShare、WinnyなどのP2Pソフトを介して感染が広がった。ひとたび感染してしまうと、勝手にIRCサーバにログインし、同じIRCチャンネルにいるユーザーに対してDoS攻撃を行う。感染したPCの情報が抜き取られてしまうという被害も同時に発生していた。

こうしたBOT感染が拡大し、BOTとBOTがネットワークを構築するようになった。BOTに感染されたPCはゾンビPCと呼ばれる。

具体的には、BOTが感染すると、自動的に接近したIPアドレスに対して感染活動を行う。感染に成功すると、本体プログラムをダウンロードし「ネットワーク化（ゾンビPC化）」完了、これで被害を拡大していき広大なネットワークを構築する。攻撃時にはこうしたゾンビPC化されたパソコンが一斉に攻撃を開始するというわけだ。

BOTというと、PCに勝手に感染しSPAMメールを自動で送信するBOTツールを思い出す人がいるかもしれない。講師の小山氏は仮想環境を使い、こうしたBOTがどのように振る舞うのかを検証したという。

実験によると、PCに感染してから約10分でSPAMメールの送信が開始されるというから驚きだ。またBOTネットには復元力があり、IRC-1が攻撃できなくなると、IRC-2を利用し、以降チャンネルを自動的に変更していくという。

先述したようにBOTは近接したIPアドレスを持つPCに対し無差別攻撃を行う。特定のISPに割り当てられたグローバルIPアドレスは当然、近接したIPアドレスとなるわけで国内ユーザーを守るためには、国内のBOT感染源を叩く必要がある。さらに根治対策は攻撃者やC&CではなくBOTの完全駆逐にある。

3. 最近のマルウェア感染の事例
■マルウェア対策の基本
マルウェアの感染手法だが、攻撃者はOSの機能や脆弱性を悪用し管理者権限の取得を試みる。OSを乗っ取れば様々な情報を簡単に抜き出すことができるからだ。最近はファイアウォールがあり、簡単に攻撃できないと思われがちだが、そうしたセキュリティ対策を回避する攻撃手法が次々に考案されている。ウイルス対策ソフトが入っていたとしても、OSやアプリ、ユーザー自身に脆弱性があると、マルウェアに感染してしまうのだ。攻撃者はマルウェアからコントロール元となるPCへの接続を待って遠隔操作をすればよいだけだ。

マルウェア感染防止の対策としては、下記が挙げられる。
・高機能ファイアウォールの設置
・OSやウイルス対策ソフトを最新の状態に
・ブラウザーやプラグイン、Officeソフトも最新の状態に
・あやしいサイトは見に行かない
・あやしいメールは開封しない

■標的型メール攻撃
現在も続いている三菱東京UFJや三井住友、みずほといった実在する大手銀行やLINE、Facebookといった組織を語ったメールに添付された未知のマルウェアによる攻撃について講師の小山氏より説明があった。

小山氏は一例として、企業スパイのような標的型攻撃を例に挙げた。これはイントラネットに侵入したマルウェアが、自動的にPCの情報を搾取し任意の通信先に情報を送信してしまう外部との通信機能を有しているため厄介で、さらに新しい機能をどんどんアップデートしていくため脅威になっているという。マルウェアがまるで映画のスパイのように企業秘密に徐々に肉薄していくというから驚きだ。

次に、標的型メール攻撃の実例が挙げられた。まずB企業の社内メーリングリストの誰かに、システム管理者から設定更新依頼メールが届く。そのメールには更新用プログラムがパスワード付きZipで添付されていたが、偽のメールであり、中にはウイルスが入っていたという。

ウイルス添付メールが「飲み会のお誘い」といったかたちで飛んでくるのだから、実に巧妙であり、引っかかる人も多い。こうした状況を集めていくと、企業では複数段階の処理により脅威を絞り込むことができる。

■ホームページを見ただけで感染する？
「ドライブ バイ ダウンロード攻撃」と呼ばれるものだ。実は、Webサイトを見ただけでは、マルウェアには感染しない。パソコンのOSやアプリなどに、攻撃者が意図した脆弱性が存在しない場合は、攻筆を受けても感染することはない。Webサイトを閲覧する限り、攻撃は一旦パソコンに到達するが感染はない。

Webサイトを閲覧すると、多様なデータがPCにダウンロードされる。その中に特定の脆弱性に合致する攻撃コードが含まれていて、その脆弱性がPCにあると、PCはマルウェアに感染し、外部から意のままに操られるというわけだ。

■インターネットバンキングへの不正送金事例
2012年10月23日頃より、複数の金融機関を対象にしたインターネットバンキングをターゲットにした情報窃取活動が発生した。確認されている手口の共通点は、インターネットバンキング等のオンラインで利用可能なサービスへログインした後、さらに追加で第二暗証番号や秘密の質問、顧客情報等を入力させるポップアップが表示される事象だ。

具体的な原因については、マルウェアが介在している可能性が高く、利用者がPCへ入力した情報が外部へ送信され、不正送金等の実被害が発生している状況である。銀行や郵便局のWebサイトと同じ画面なので、ユーザーは安心してセキュリティ情報を入力してしまう。

■NTTコミュニケーションズの情報セキュリティ対策サービス
勉強会の最後に、NTTコミュニケーションズの情報セキュリティ対策のアプローチ、および同社の持つサービスの説明があった。同社では、リスクマネージメントフレームワークをサービスとして提供している。

誤検知を排除し、セキュリティ機器等のアラートから真の脅威を絞り込むことが可能だという。同社の持つノウハウが詰まった特殊な手法により真の脅威を検知することで、真の脅威にも対応できるという。

■サイバー攻撃は今後も減ることはない
世界経済フォーラムのグローバルリスク報告書によると、サイバー攻撃は、50の潜在的なリスクのうち、最も起こりやすいリスクとして6番目にランクされている。経営者は、サイバーセキュリティを技術上の課題ではなく、企業経営における重大なリスクだと認識して対処する必要がある。

しかし、多くの企業ではいまだサイバー攻撃の管理責任をIT部門の下においているのが現状だ。攻撃者は企業の古い防御（境界）を迂回し、標的を絞って検知しにくい攻撃を次々に仕掛けている。企業は、従来のセキュリティに対する考え方を改め、新たなアプローチをとる必要がある。今後セキュリティ対策を、より重要なものと考えないと痛い目に逢うというわけだ。

以上かなり駆け足だったが勉強会の内容を紹介した。本勉強会の参加者は情報セキュリティに関するかなり詳しい情報を共有することができたと思う。2020年の東京オリンピックを前にして、情報セキュリティの重要性が叫ばれている。アスリートたちの頑張りでは不正アクセスやサイバー攻撃は防ぐことができない。セキュリティ対策を、しっかりと行っていき、2020年までに金メダル級の安心安全なネットワークを構築すべく、企業および企業経営者は取り組んでいく必要があるだろう。

■NTTコミュニケーションズ

すべてのIEに影響するというのは、Windows Vista/7/8/8.1そしてWindows Server 2003および2008、さらにWindows RTといったサポート期限が切れていないOS用のIE全部という意味だ。

各OSごとに修正プログラム（いわゆる対応パッチ）は、それぞれのOSごとに準備されている最中で準備ができ次第提供されることになっている。ここでこの脆弱性を抱える対象となっているOSとは、現在サポートしているすべてのWindowsとなっている。ただし、先日サポートが終了したWindows XPは含まれていない。だが、おそらくWindows XPのIEでも同様の問題を抱えていることは間違いないだろう。サポート期限が切れているということも含め、Windows XP+IEの組み合わせが最も危険な状態だと言える。

Webブラウザが抱える問題ではあるが、IEのコンポーネントはWindowsの他のアプリからも呼び出せるようになっている。具体的にはメールソフトにおけるHTMLメールの表示でIEコンポーネントが呼び出されたりするわけだ。このため、IEを使用していなくてもこの脆弱性の影響を受ける可能性がある。Outlookなどのメールクライアントは、標準でセキュリティの高い「制限付きサイトゾーン」という設定になっているのでHTMLメールを表示しても直接問題が発生する可能性は低い。しかし、この設定を変更しているというのであれば、設定を見直しておくこと。セキュリティを低く変更している場合、メールのリンクをクリックしてIEでサイトを表示した際に問題が発生する可能性は非常に高い。

■当面の対応はIEを利用しないこと
この危険な状態でなるべく被害を受けないようにするには、それぞれのOSに向けた修正プログラムが提供されるまではIEを使用しないことだ。しかし、直接IEを使用しなくても前述のように、IEのコンポーネントを利用するソフトも多いため完全に危険をなくすことはできない。

なお、この問題に多雨する対策だが、マイクロソフトののセキュリティアドバイザリ2963983に詳しく説明されている。いま現状で対応パッチが完成していない状況にも関わらず、攻撃方法が有効ということは、銃を持っている攻撃者に素手で戦いを挑むような状態になっていると言えるだろう。セキュリティ上、こういう状況を
「ゼロデイ脆弱性」と呼び、非常に危険な状態である。

■Windows XP向けの修正プログラムは？
先述したようにマイクロソフトの公表しているアドバイザリによると、対象のOSバージョンは、Windows全バージョン（ただし、サポート期限が残っているWindows）が対象となっている。つまりサポートが終了したWindows XPについての説明はされていない。ただ、Windows XP向けIEだけが脆弱性を持たないはずがないわけで、サポート期限が切れるというのは、こういうことなんだということが、今回はっきりわかったわけだ。

そしてWindows XPはサポートが終了しているため、修正プログラムがリリースされることはないだろう。Windows XPユーザーはこの脆弱性を抱えたまま使い続けることになる。サードベンダーがXP向けの修正プログラムを出すとも思えず、マイクロソフトが大盤振る舞いで修正プログラムを出してくれることを祈るしかないだろう。なおサポート期間中のWindowsならWindows Updateで修正プログラムが配布されるので、あまり意識せずに対応を行うことが可能だ。XPの利用はあきらめてWindows Vista以降のOSを使うことをおススメしたい。「それでもアナタはWindows XPを使い続けますか？」

上倉賢 @kamikura [digi2(デジ通)]

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■デジ通の記事をもっと見る
・NECがパソコン夏モデル発表！　なんと応募者全員に1万円相当のプレゼントキャンペーンも開始
・注目度は抜群！　日本でもようやくウェアラブルデバイス普及の兆し
・縦長動画増加の理由　デジカメ以上にスマホに食われつつあるビデオカメラ
・スマホよりも高画質！イメージセンサーのサイズが1/1.7インチのコンデジたち
・デジカメの選択ポイント！画素数が同じならセンサーサイズの大きさに注目せよ