変わる変わるよ常識も変わる 新時代の“セキュリティ常識”をアップデートしよう

2

2021年05月18日 15:02  ITmedia NEWS

  • 限定公開( 2 )

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真バッファロー製品の脆弱性報告
バッファロー製品の脆弱性報告

 いわゆる“インターネット老人会”片足を突っ込んでいる立場から現在のサイバー空間を見ると、さまざまな常識が大きく変化してきているのを感じます。「SNSといえばmixi」だったころに比べると、トレンドも振る舞いも大きく変わり、もはや若い方たちがフル活用しているサービスには追い付けないことを、身をもって理解できるようになりました。



【その他の画像】



 今もTwitterのタイムラインに「えっ、PCでもTwitterが見られるんですか?」のような投稿が流れてきており……。



 さて、「ITセキュリティ」に関するさまざまなことも、例外なく常識が変化すると考えています。今回は来るべき近未来、こう変わってくれるとうれしいという“常識”をいくつか考えてみたいと思います。



●新常識その1:「脆弱性」への対応と反応



 まずは「脆弱性」を考えたいと思います。近未来がやってきたとしても、脆弱性は減ることはあまり期待していません。これまでに存在したような分かりやすい脆弱性は努力で絶滅できたとしても、新たな、想像もつかないような手法が登場するのは間違いないでしょう。私たちは脆弱性と、うまく付き合っていかねばならないと思っています。



 最近話題になった脆弱性としては、インターネットルーターなど周辺機器を販売しているバッファローが発表した、一連のものがあります。



・バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題



 この問題はやや根深く、「ドキュメント化されていないデバッグ機能を有効化される問題」があるとしています。より直接的には「バックドア」に近い動作ともいえるかもしれません。それよりも問題なのは、この問題を修正するアップデートは提供されず、対策としては「製品の使用を停止する」しかないという点です。



 こう書くと、バッファローの対応はひどいと思うかもしれません。しかし、来るべき近未来ではこの対応が当たり前と考えられるようになるでしょう。実際のところ、この発表で挙げられた製品群はいまから17年近く前に発売されたもので、もちろんサポートも切れています。新しい常識は「インターネットに接続される機器はサポート期間が終了してしまうと脆弱性に対するアップデートが配布されないため、そうなる前に買い換える」ことかもしれません。



 もちろん、今回の脆弱性の内容である「ドキュメント化されていないデバッグ機能を有効化される問題」は褒められたものではありません。また、ベンダーによってはサポート期間内でもアップデートが提供されない/提供が遅れることも良くないことであると思っています。もう1つの新常識は、こういったサポートも含めてベンダーを判断することかもしれません。その判断は非常に難しいですが、安いだけで選んではならないということです。



●新常識その2:「決済はめんどくさくてもよい」と心得よ



 次に取り上げるのは、インターネットにおける「決済方法」です。新型コロナウイルス感染症の影響で巣ごもり消費に変化が起き、多くの方がインターネット上でクレジットカードなどを用い、決済を行っていることかと思います。



 しかし、非対面で金銭のやりとりをすることは、まだ軽視されているように思えます。例えば決済画面の裏でどのようなことが行われているかをあまり理解せず「手間がかかるようなサイトは利用しない」というのならば、それは今こそ変わるべき時だと思います。



 折しも、昨今ではサービスを利用していないにもかかわらず、サービスにおける本人認証の甘さからクレジットカード/デビットカードが不正利用されるという事件が増えています。



 不正利用はサービス利用者が被害を受けるという先入観があると、詳細な調査が行われない場合もあり、クレジットカードを持つ誰もが明日、あまりにも理不尽な状況に陥る可能性があります。



 普段から利用明細をチェックするクセを付けるだけでなく、社会全体がセキュリティに対する意識を身につけ、「面倒、だけど安心」を今は受け入れるようにならなければ、また悲劇が繰り返されるかもしれません。それは本当に避けたいことです。



・ドコモ口座、全銀行で新規の登録停止 被害額は1000万円



・楽天モバイルで「iPhone」の不正購入 楽天IDやクレジットカードの不正利用で



●新常識その3:「情報漏えい事故発生! でも憤るのはもう少し待て」



 もはや毎日のように、サイバー攻撃による事件が報告されています。サイバー攻撃は非常に込み入ったものであり、これまで私たちが知る泥棒のように、リアルなものを盗み、なにかが目の前から消えるというものではなく、目に見えない情報という“何か”が、知らぬうちに複製され盗まれるということが行われています。多くの場合、盗まれたという証拠もつかみづらく、盗まれたことにすら気が付いていないこともあるでしょう。



 報道はセンセーショナルに行われます。盗まれた情報に関してその件数の多さ、多様さが強調され、報道陣には執拗な問いかけが行われ、深々と頭を下げるシーンを目にすることが多いでしょう。SNSでは企業に対する怒号が飛び交い、ともするとそれ自体がエンターテインメント化することもあります。



 しかし、近未来ではこのような反応は避けるべきでしょう。ほぼ無意味ですから。



 まず、私たちは情報漏えいで裁かれるべきは「サイバー犯罪者」であり、企業は「被害者」であることを認識すべきです。その上で、企業が守るべき情報を、しっかり守っていたかを冷静に検討しましょう。それを把握するのに少々の時間がかかるのは仕方がありません。まず注目すべきは、企業が発する「被害調査レポート」と考えましょう。



 被害が起きると、第一報のレポートがいずれ出てくるはずです。



 その際、漏えいされた情報の中にクレジットカード番号、セキュリティコードなどお金に関連しそうなものがないか、パスワードそのものが含まれているのであれば、同じパスワードを使ってしまっているサービスがないかなど、対処が必要な情報が含まれているかどうかを真っ先に把握します。そして、レポート内でサービス運営側の明らかな過失がないかなどを確認しましょう。



 憤るのはその後でも遅くはないはずです(特に、自身がサービスや被害に無関係である場合は)。



 最近では名の通った企業が公開した事故レポートは読みごたえがあり、全く異なる業界であったとしても参考にするべき部分があると思います。事故が起きた後、何も続報を出さない企業が「逃げ得」にならないようにするためにも、事故が起きた後の対応を見るというのが、これからの常識になってくれると良いと思います。



 SNSが身近になったことで、私たちもセキュリティに対して即反応することが当たり前のようになってしまっているかもしれません。しかし、多くの場合はいったん落ち着き、成り行きを見守った上での反応で十分です。



 ただし、漏れている情報や影響があるものの中には、パスワード更新や公開設定の見直しなど、即座に反応すべきものも含まれているのが難しいところ。SNSでの盛り上がりを、セキュリティ見直しのきっかけとするのは良いことだと思います。



 攻撃側も新たな常識を取り入れています。私たちの古い常識が攻撃に使われる前に、私たち自身をしっかりとアップデートしていきましょう。



(宮田健)


    ニュース設定