2014年09月26日



In Deep のトップページは http://indeep.jp に移転しました。よろしくお願いいたします。




「インターネットの終末の日」や「パーソナル端末の終末の日」が頭をかすめる秋(Bashバグとかゲームオーバーゼウスとか etc……)



bash-bug-top.gif

▲ 2014年9月25日の Bidnessetc より。ユニックス系というのは、現在の「 Mac 」の OS のすべてを含みます。






 


突然 Mac に押し寄せた「大災害」

私はパソコンとしては、 Mac も Windows もどちらも使っていますが、遊んだり、気楽な用途の場合は Windows ですが、この In Deep を書いたりすることも含めて、きちんとした作業をする時には Mac を使っています。

今日、「記事にしよう」と昨日から思っていたテーマで記事を更新しようとしていたときに、ふと、ある記事を目にして、その Mac (を含む UNIX 系というシステム)に「史上最悪のバグ」が発見されたことを知りまして、アメリカ国土安全保障省から、注意喚起が出ていることを知りました。

冒頭の記事に出てくる「ハートブリード」というのは、過去記事の、

インターネット史上最悪で、かつ破局的なセキュリティ危機が発覚。個人情報からカード番号、バスワードまですべて流出する可能性が内在する欠陥の存在が明らかに
 2014年04月12日

などでご紹介したこともある「インターネット史上最悪のバグ」と呼ばれたものですけれど、今回の Mac などに影響を及ぼすセキュリティバグは、

「それよりも多くの被害をもたらす恐れがある」

と書かれてあっては、さすがに気になり、対策はわからないものの、

OS X を含む UNIX 系 OS に史上最悪級の脆弱性が発見される。そして、ご自身の OS が脆弱性の影響を受けるかどうかをターミナルで確かめる方法
 
などという記事を書いていました。

この話は Mac を含むユニックスといわれる基本ソフトに関係するもので、一般の Windows ユーザーには関係のない話ですので、多くの方には興味のある話ではないでしょうけれど、企業などではかなり深刻な影響がある場合もありそうですので、簡単に記しておきたいと思います。

何しろ、ご存じのように、最近の「企業からの情報の漏洩の多さ」はものすごいものですが、今回のものは、それに加えて、「そのマシンを乗っ取ってしまうことができる」ものだそうです。

しかも、非常に簡単に。

下は AFP の記事からの一部抜粋です。

「Mac OS」などに致命的脆弱性、数百万台に影響の恐れ
 AFP 2014.09.26

米政府とIT専門家らは25日、米アップルの「Mac OS」を含む一部の基本ソフト(OS)の脆弱性によって、広範囲かつ深刻なサイバー攻撃が発生する恐れがあると注意を呼び掛けた。

アメリカ国土安全保障省コンピューター緊急対応チーム(CERT)によると、Linux やMac OSなどの「Unix ベースのOS」が、この不具合によって影響を受ける恐れがある。

CERTは、ハッカーがこれを悪用すると、コンピューターが乗っ取られる可能性があると指摘している。

米セキュリティー企業ブロミウム・ラボのラフル・カシャップ氏は、この脆弱性が、今年に全世界のコンピューター数百万台に影響を与えた暗号化ソフトウエア「OpenSSL」の欠陥「ハートブリード(Heartbleed)」よりも多くの被害をもたらす恐れがあると指摘。

ウェブサーバーやマッキントッシュ・コンピューター、リナックス系OSを搭載したウェブカメラなどのネット機器など、数百万台の端末に及ぶ可能性があると、AFPの取材に対し語っている。

ここにある「マッキントッシュ・コンピューター」というのは、いわゆる Mac のことです。

このような報道などを読みながら、

「ついに Mac もか……」

と、しみじみ思いましたが、これまで、このブログでも、

アメリカ国土安全保障省と日本のセキュリティ機関が同時に出した深刻な PC のセキュリティ警告
 2013年01月13日

などを含めて、たまにインターネットのセキュリティ上のことにふれたりしたこともありますけれど、上のハートブリードのことはともかく、これまでは、基本的に、マルウエアと呼ばれる悪質なソフトのターゲットは、ほとんど Windows だったわけで、Mac ユーザーは私も含めて、セキュリティに無頓着な面があります。

しかし、今回は「史上最悪」というバグに見舞われてしまいました。

すぐに修正アップデータなどが出るのでしょうけれど、「加害者側の動きが常に一歩リードしている」のがこの世界です。



日本だけで1年に数十億円規模で悪質ソフトによりインターネットパンキングから不正送金されている

ところで、今年、最もインターネットで「巨大な脅威」となっていたものに「ゲームオーバーゼウス」( GameOver Zeus )というものがあります。

これは、簡単に書きますと、

インターネットバンキングのお金を狙うことに特化した悪質ソフト

で、自分のパソコン( Windows )がこれに感染すると、自分のキーボード入力を攻撃者が盗み取ったり、特定のサイトの表示内容を改ざんしたりすることで、「インターネットバンキングでの不正送金を可能とするもの」です。

つまり、「他人が勝手に自分の口座から他の口座にお金を振り込むことができる」のです。

2014年 6月 8日のマイナビニュースの記事によれば、この「ゲームオーバーゼウス」による日本の 2014年の被害金額は、5月9日の時点で 14億 1,700万円に上っています。

2014年 6月 3日の日経コンピュータの「脅威の「ゲームオーバー・ゼウス」、10カ国以上が連携して追い詰める」という記事によりますと、

ゲームオーバー・ゼウスは、世界中で50万台から100万台のコンピュータに感染し、その約25%は米国に存在するという。米連邦捜査局(FBI)では、10億ドル以上の損害が発生しているとみている。

とあり、これは、米国連邦捜査局( FBI )や欧州刑事警察機構(ユーロポール)、日本の警察庁など、国際的な連携で摘発にも乗り出しているほどのものです。

警視庁にはこの「ゲームオーバーゼウス」の特設ページが儲けられています。

goz-police.jpg

▲警視庁「国際的なボットネットのテイクダウン作戦」のトップページ。


何しろ、この「ゲームオーバーゼウス」の被害状況は、

・アメリカ 25%
・日本 20%


となっていて、日本へのターゲット傾向が鮮明になっています。

下の図は、上の日本の警視庁のページにあるもので、あまり読みやすくはないですが、この中にもそのことが書かれてあります。

japan-20p.jpg


とにかく、次から次へと、こういうものが出てくる

そして、上の数字を見てもおわかりのように、実際に被害はどんどん大きくなり続けています。

さらには、現在のスマートフォンの爆発的普及。

このスマートフォンに対しての悪質なソフトの増え方はどのようになっているかと言いますと……。


2012年7月から2013年10月までの Android のマルウェアの数の推移

2013-2014-malware.gif
EE Times Japan

ここでは Android の表ですが、他のスマートフォン用の OS も、傾向としては似たようなものなのかもしれないですし、いずれにしても感じるのは、

「悪い人(攻撃側)は良い人(守る側)より常にやや先にいる」

という法則がありまして、そのため、セキュリティ問題は減るどころか、ますます増える一方だというのが現実のようでもあります。

ロシアのユージン・カスペルスキーという人が代表のセキュリティ会社傘下のカスペルスキー研究所の専門家が、昨年、下のようなことを言っていたことが記事になったことがあります。

2014年にインターネットは消滅する
ロシアの声 2013.12.15

カスペルスキー研究所の専門家の意見では、来年、現在の姿のインターネットは消滅する。

専門家アレクサンドル・ガスチョフ氏によれば、法律レベルの禁止、電子マネー「ビットコイン」をめぐる不安定な状況、ハッカー集団の攻撃の過激化など、一連の好ましからざる外的要因により、ワールド・ワイド・ウェブは「死亡」する。

それに代わって、各国のナショナル・インターネットが多数乱立するようになる。外国の情報リソースへのアクセスが相当程度制限されるようになる。


そして、最近、プーチン大統領が「緊急時にロシアがインターネットから離脱する」という計画を持っていることが明らかになっています。

russia-unplug-internet.gif

▲ 2014年9月19日の英国ガーディアンより。


これは、ロシアでネットに接続できなくなる、という意味ではなく、いわゆる「ワールド・ワイド・ウェブ( WWW )」という意味での、「世界的な通信網からロシアのネットを切り離す」というような意味です。

プーチン大統領の想定している「緊急時」とか「非常事態」が具体的にどんなものなのかはわからないですが、国内の騒乱や軍事行動などを指しているというようなことが VOR の記事に書かれています。

それにしても、今年になって、

「史上最悪の」という冠

がついたセキュリティバグ(脆弱性)がこれで2つ目。

そして、アメリカ国土安全保障省のコンピューター緊急対応チームから出された緊急の注意喚起に至っては、何度になることか。

コンピュータ、あるいはポータブル端末の世界は何だか進化しているように見える一方で、実は「終わりに向かって加速している」という側面はあるのかもしれません。

これが自然の流れとしての「単なる自滅」なのか、そこに誰か、あるいは何らかの「意図」があるのかどうかはわかりません。