誰かが「安全」といえば信じるの? “分かりやすい”セキュリティ対策の落とし穴半径300メートルのIT

セキュリティ脅威が活発化する今、偽のWebサイトやフィッシングメールを見破る方法などがSNSで拡散されるケースがあります。確かにこうした一目で判断できる基準があればいいのですが、現実はそう簡単にはいきません。

» 2022年10月11日 07時00分 公開
[宮田健ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 昨今のインターネットは多くの脅威にあふれており、皆さんも報道などで「あれは危険だ」「これは危ない」といった話を耳にする機会がたびたびあるかと思います。しかし、何をもって危険なのかという判断基準は一見して分かりにくいケースもあるでしょう。

 こうした状況において、利用したいソフトウェアやファイルなどが“危険”もしくは“安全”かどうかを判定するサービスが待ち望まれており、実際に幾つかのサービスが登場しています。ただし、これらのサービスは使い方によってはさらなるセキュリティリスクを呼び寄せてしまうかもしれません。

「危険ではない」=「安全」とは限らない

 ウイルススキャニングサービスであれば「VirusTotal」が有名でしょう。このサービスはファイルやWebサイトのURLをアップロードすると、これらが既知のマルウェアを含んでいるかどうかを判定してくれます(ただし、組織内のファイルを無断で外部に送信することになるので、組織のポリシーに従ってください)。

 また、Webサイト「Have I Been Pwned?」(Pwnedは俗語でOwned《所有された》と同じ意味)はIDとなるメールアドレスを入力すると、それに関連したパスワードが漏えいしているかどうか(漏えい事件に巻き込まれているかどうか)が分かります。

(左)VirusTotal - Home(出典:VirusTotalのWebサイト)(右)Have I Been Pwned: Check if your email has been compromised in a data breach(出典:Have I Been Pwned?のWebサイト)

 しかし注意すべきは、これらのツールでチェックしたファイルやパスワードが必ずしも「安全」とは限らないということです。VirusTotalやHave I Been Pwned?は、あくまでファイルおよびパスワードが既知のリストに含まれているかどうかを判断するものです。

 サイバー攻撃者はVirusTotalの存在を知っていますので、開発したマルウェアがVirusTotalの検知をすり抜けていることを確認してからばらまいています。パスワードもたまたま漏れていないだけ、漏えい事件が見つかっていないだけという可能性もあるでしょう。パスワードに関してはパスワードチェッカーが各社から公開されていますが、それもほとんどは、解析の時間が現在のPC性能でどのくらいかかるかという表記であり、安全だとは言い切っていなかったと思います。

 言葉としては危険の反対は安全かもしれませんが、セキュリティにおいて「安全です」と言い切れるケースはほとんどないことを理解しましょう。

安全だと思った瞬間に起きること

 しかし人間にはどうしても思い込みがあります。「危険ではない」と書かれると「=安全」だと考えるのは仕方がありません。まさにサイバー攻撃者はその隙をついてきます。いい例が「フィッシング」です。

 フィッシング対策は本当に難しく、これまでであれば電子メールに書かれた日本語が不自然だったり、Webサイトのデザインが崩れていたり、あからさまに怪しいURLだったりと、判断基準となるヒントが幾つもありました。その結果、一時的には「怪しいものはクリックしない」という対策が有効でした。しかし、今ではまるまるコピーされた偽のWebサイトや、一見しただけでは違いが分からないURL文字列など、そもそも「怪しい」と思えないものが増えてきています。

 となるとフィッシングについても「判定」してもらいたいところですが、これも上記同様、既知のフィッシングサイトであれば危険であることを判定できても、安全だとは言い切れません。特にフィッシングサイトはインターネットに登場してから、想像よりも短期間で人をつり上げ、消えていきます。そうなるとそもそも既知となる可能性が低く、判定が非常に困難です。

 もちろん既知か未知かの判定だけでなく、これまでのウイルス対策ソフトのように「機械学習」や「振る舞い」によって判定できるかもしれません。しかし、やはりそれは「危険かどうか」の判定にとどまり、「安全である」とは言い切れない状況が続くでしょう。

 利用者としては「安全」か「危険」かをズバリ言い切ってほしいところですが、なかなかそういうわけにはいきません。利用者に対し分かりやすくしてしまうと、サイバー攻撃者はその「分かりやすい」を何とか攻略し、危険性のあるものを「安全である」と言わせるよう、攻撃の方向を変えるでしょう。これは本当に悩ましい状況だと思っています。

分かりやすさに飛びつかない

 マルウェア判定やパスワード判定、フィッシング判定などを利用するとき、私たちはマルかバツかを判定してくれることを期待してしまいます。しかし、これらの有用性をしっかりと把握するためには、2値の判定結果ではなくそれらが何を基準に判定したものなのかをしっかりと理解し、自分たちでも対策を講じることが大事です。

 マルウェア判定であれば、送信元が見知らぬものであれば、念のためマクロを無効化して開く、さらにはマルウェア感染の次に使われるであろう「PowerShell」を無効化した、スタンドアロンのPCで開いてみるなど、用心を重ねることも必要かもしれません。

 パスワード判定であれば、できる限り「パスワードジェネレーター」の機能を活用し、強固なものを使うことをお勧めします。フィッシングに関しては、今どのような企業に対するフィッシングが増えているかを確認し、そもそもSMSで届くようなURLには触らないなどの対策が必要です。あまり分かりやすいものではないかもしれませんが、誰かがいった「安全」を丸ごと信じるのではなく、自分たちでも対策を重ねていくことが、今のサイバー脅威に対する現実解ではないかと思います。

 分かりやすさというお話では、デジタル庁 デジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会で、登 大遊氏が公開した資料「テクノロジーマップ、技術カタログの在り方について」が非常に印象的でした。

 同氏は「デジタル技術の組織への効率的普及には、誰をターゲットとした発信を行なうべきか」という命題に対して「組織に少数ながら隠れて存在する、独立した頭脳を持ち、試行錯誤を好む、実質的技術的決定権者たちをターゲットとするのが、最も高効率である」と述べています。ちなみにこの資料のアヒルの挿絵を見てピンとくるかもしれませんが、先日紹介した「セキュリティ・バイ・デザイン導入指南書」にも、登氏が参加しています。

 これを実現するには、簡潔な資料ではなく、実質的技術的決定権者たちが望む「正当的技術系記事」が必要ではないか、ということが提言されています。個人的には非常に共感する内容でした。本コラムは読者層として、セキュリティの入り口となる「簡潔な資料」を目指しています。しかし、ことセキュリティに関しては、より詳細な濃い情報を必要とする部分であるとも思っています。本コラムが入り口となり、セキュリティに少しでも興味を持っていただき、他の技術的資料も合わせて参照しつつ、“安心”ではなく“安全”とは何かを考えるきっかけになれば幸いです。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ