空腹 @kufuku_001
同意できない「無線LANが危機的状況である」という主張 という記事を見つけました
ワイヤレスLANが企業の社内ネットワーク環境に定着して約15年になる。「IEEE 802.11b」標準がリリースされて間もなく、同規格に規定された「WEP」(Wired Equivalent Privacy)プロトコルの実装に問題が見つかった。WEPが容易に侵入を許し、安全とされていたワイヤレス通信環境に悪質なハッカーがアクセスできることが明らかになったのだ。
今日、平均的な企業において、ワイヤレスネットワークはスマートフォンと同じくらいありきたりな存在となった。だが、WEPのアップデートや認証機能の強化を除けば、無線LANのセキュリティの改善という面では大きな変化が見られないのが実情だ。
ワイヤレスセキュリティは確実に進化している
まずは、既に利用可能な幾つかの重要なセキュリティ規格をおさらいしておこう。
•802.11iでWEPの問題を解決するためにWPA(Wi-Fi Protected Access)およびWPAバージョン2を導入
•802.1XでRADIUS(Remote Authentication Dial-In User Service)などのシステムを用いた強力な認証機能をワイヤレス環境に導入
•無線侵入防止システム(Wireless Intrusion Prevention System)
•モバイルデバイス管理システムでアクセスポイント(AP)の接続機能をきめ細かく管理
2014年後半から2015年前半にかけたこの1年間、無線LANのセキュリティとプライバシーを強化するためにMACアドレスのランダム化機能をIEEEに追加する話し合いを行っている。さらに、「802.11ac」で規定した技術として今後登場する「MU-MIMO」(Multi-User Multiple Input Multiple Output)は、APからワイヤレス端末へのダウンリンク接続の通信を符号化してセキュリティを強化する。
企業のワイヤレスセキュリティの状況が危機的な状況にあるという主張には同意できない。筆者はこの数年、高度なハッキングツールや攻撃に対する抵抗力が極めて高いワイヤレス環境を数多く確認してきた。ただ、現在でも企業のセキュアな無線LAN環境を脅かす既知の脆弱性や攻撃は多数存在する。以下にその例を挙げる。
•オープンなゲストワイヤレスネットワークに対するネットワークスニッフィング。これは近くにいる攻撃者がゲストネットワークトラフィックにアクセスするための最もシンプルな手段だ。ゲストトラフィックを超えた侵入の可能性もある。
•ゲストワイヤレスネットワークの設定が不適切だと、ゲストユーザーが社内ネットワーク環境にアクセスできてしまう。
•個人向けの無線LANルータとAPの多用。これらはデフォルトでオープン(WPA2が無効)かつWPS(Wi-Fi Protected Setup)が有効になっている可能性がある。WPSは「Reaver Pro」デバイスを使えば簡単に破ることができる。また、これらの無線LANルータとAPには、簡単に侵入できるバックドアがあるため、企業のワイヤレスセキュリティのリスクがさらに高まる。
•サービス妨害(DoS)攻撃。比較的低価格の信号妨害(ジャミング)装置を使ってネットワークのスループットを低下させたり無線信号を妨害したりできる。
•不正なAP(「Evil Twin=悪魔の双子」とも呼ぶ)を立ち上げることで、社内ユーザーの通信を傍受する。出張中のユーザーがホテルや会議室で利用可能な無料のWi-Fiを使っているときに通信が傍受されることもある。
•ユーザーが携帯電話や専用のモバイルWi-FiデバイスにセットアップするモバイルAPのセキュリティが不十分であると(弱いパスワードを使うなど)、近くにいる悪質なハッカーが侵入する恐れがある。こうしたモバイルAPは、ユーザーのPCへの攻撃を許すだけでなく、企業のネットワーク環境への攻撃も許してしまう。
ネットワークの複雑化と私的に持ち込む“非公認IT”の拡大で、以上の問題はさらに悪化する。だが、こうしたリスクが安全な無線LANに対してどの程度の潜在的危険性があるのかという観点において、企業のワイヤレスセキュリティそのものに大きな問題はない。現在、攻撃対象となる脆弱性は、基本的にワイヤレスシステムの実装における不備によるもので、例えば最初に挙げたWEPの欠陥がこれに当てはまる。
ワイヤレスセキュリティの管理体制と認識にも弱点がある。ワイヤレスネットワークは、本格的なセキュリティ検査や脆弱性スキャンの対象外となることが多い。このことでセキュリティに対する誤った認識が拡大する可能性がある。企業向けの優れたワイヤレスネットワーク管理機能とセキュリティツールを導入していたとしても、ネットワーク管理者とセキュリティ担当者がネットワークの重要部分で発生した問題に対処するのに忙しく、ワイヤレスネットワークについては、特に問題がなければ時間を割く余裕がないという場合が多い。
ほとんど全ての企業が、何らかの機能を実現するためにワイヤレスネットワークを社内に導入している。ワイヤレス環境の弱点を把握するのに必要な対策を行えば、その労力に見合った成果を得るだろう。さらに今後は、ワイヤレスセキュリティに影響を与える新技術、例えば「Passpoint」「Voice over LTE」「Open Wireless Router Project」などの動向を注視する必要がある。米Cisco Systemsや米Fluke Networksなどのベンダーからは優れたワイヤレス管理製品が出ている。
後は十分な常識さえ持ち合わせていれば、社内で安全な無線LAN環境を実現できるはずだ。
パスワード無しで使っている人もいたりして
ワイヤレスLANが企業の社内ネットワーク環境に定着して約15年になる。「IEEE 802.11b」標準がリリースされて間もなく、同規格に規定された「WEP」(Wired Equivalent Privacy)プロトコルの実装に問題が見つかった。WEPが容易に侵入を許し、安全とされていたワイヤレス通信環境に悪質なハッカーがアクセスできることが明らかになったのだ。
今日、平均的な企業において、ワイヤレスネットワークはスマートフォンと同じくらいありきたりな存在となった。だが、WEPのアップデートや認証機能の強化を除けば、無線LANのセキュリティの改善という面では大きな変化が見られないのが実情だ。
ワイヤレスセキュリティは確実に進化している
まずは、既に利用可能な幾つかの重要なセキュリティ規格をおさらいしておこう。
•802.11iでWEPの問題を解決するためにWPA(Wi-Fi Protected Access)およびWPAバージョン2を導入
•802.1XでRADIUS(Remote Authentication Dial-In User Service)などのシステムを用いた強力な認証機能をワイヤレス環境に導入
•無線侵入防止システム(Wireless Intrusion Prevention System)
•モバイルデバイス管理システムでアクセスポイント(AP)の接続機能をきめ細かく管理
2014年後半から2015年前半にかけたこの1年間、無線LANのセキュリティとプライバシーを強化するためにMACアドレスのランダム化機能をIEEEに追加する話し合いを行っている。さらに、「802.11ac」で規定した技術として今後登場する「MU-MIMO」(Multi-User Multiple Input Multiple Output)は、APからワイヤレス端末へのダウンリンク接続の通信を符号化してセキュリティを強化する。
企業のワイヤレスセキュリティの状況が危機的な状況にあるという主張には同意できない。筆者はこの数年、高度なハッキングツールや攻撃に対する抵抗力が極めて高いワイヤレス環境を数多く確認してきた。ただ、現在でも企業のセキュアな無線LAN環境を脅かす既知の脆弱性や攻撃は多数存在する。以下にその例を挙げる。
•オープンなゲストワイヤレスネットワークに対するネットワークスニッフィング。これは近くにいる攻撃者がゲストネットワークトラフィックにアクセスするための最もシンプルな手段だ。ゲストトラフィックを超えた侵入の可能性もある。
•ゲストワイヤレスネットワークの設定が不適切だと、ゲストユーザーが社内ネットワーク環境にアクセスできてしまう。
•個人向けの無線LANルータとAPの多用。これらはデフォルトでオープン(WPA2が無効)かつWPS(Wi-Fi Protected Setup)が有効になっている可能性がある。WPSは「Reaver Pro」デバイスを使えば簡単に破ることができる。また、これらの無線LANルータとAPには、簡単に侵入できるバックドアがあるため、企業のワイヤレスセキュリティのリスクがさらに高まる。
•サービス妨害(DoS)攻撃。比較的低価格の信号妨害(ジャミング)装置を使ってネットワークのスループットを低下させたり無線信号を妨害したりできる。
•不正なAP(「Evil Twin=悪魔の双子」とも呼ぶ)を立ち上げることで、社内ユーザーの通信を傍受する。出張中のユーザーがホテルや会議室で利用可能な無料のWi-Fiを使っているときに通信が傍受されることもある。
•ユーザーが携帯電話や専用のモバイルWi-FiデバイスにセットアップするモバイルAPのセキュリティが不十分であると(弱いパスワードを使うなど)、近くにいる悪質なハッカーが侵入する恐れがある。こうしたモバイルAPは、ユーザーのPCへの攻撃を許すだけでなく、企業のネットワーク環境への攻撃も許してしまう。
ネットワークの複雑化と私的に持ち込む“非公認IT”の拡大で、以上の問題はさらに悪化する。だが、こうしたリスクが安全な無線LANに対してどの程度の潜在的危険性があるのかという観点において、企業のワイヤレスセキュリティそのものに大きな問題はない。現在、攻撃対象となる脆弱性は、基本的にワイヤレスシステムの実装における不備によるもので、例えば最初に挙げたWEPの欠陥がこれに当てはまる。
ワイヤレスセキュリティの管理体制と認識にも弱点がある。ワイヤレスネットワークは、本格的なセキュリティ検査や脆弱性スキャンの対象外となることが多い。このことでセキュリティに対する誤った認識が拡大する可能性がある。企業向けの優れたワイヤレスネットワーク管理機能とセキュリティツールを導入していたとしても、ネットワーク管理者とセキュリティ担当者がネットワークの重要部分で発生した問題に対処するのに忙しく、ワイヤレスネットワークについては、特に問題がなければ時間を割く余裕がないという場合が多い。
ほとんど全ての企業が、何らかの機能を実現するためにワイヤレスネットワークを社内に導入している。ワイヤレス環境の弱点を把握するのに必要な対策を行えば、その労力に見合った成果を得るだろう。さらに今後は、ワイヤレスセキュリティに影響を与える新技術、例えば「Passpoint」「Voice over LTE」「Open Wireless Router Project」などの動向を注視する必要がある。米Cisco Systemsや米Fluke Networksなどのベンダーからは優れたワイヤレス管理製品が出ている。
後は十分な常識さえ持ち合わせていれば、社内で安全な無線LAN環境を実現できるはずだ。
パスワード無しで使っている人もいたりして
偽装メールが再び拡散、不正マクロを仕込んだ添付ファイルでマルウェア感染 という記事を見つけました
2015年10月以降、Microsoft Officeのマクロ機能を悪用して、オンラインバンキングサービスを狙うマルウェアに感染させようとするスパムメールが多数観測されている。2015年10月8日に続き27日にも、実在する会社からの請求書やデジタル複合機からのFAX受信通知を装い、添付のWordファイルを開かせようとするスパムメールが多数拡散した。
トレンドマイクロによると、10月27日朝から3種類のスパムメールが拡散した。スパムメールのタイトルには、「タンケンー請求書(小)の件です」「請求書」という請求書を装ったものと、「ファックス受信完了:Fax Received」というデジタル複合機からの通知を装ったものがある。同社の観測によれば、合わせて1万1000通以上のスパムメール送信が確認されたという。
いずれも、不正なマクロを埋め込んだWord文書ファイルが添付されている。もしこれをWordのマクロを有効にした状態で開いてしまうと、不正なマクロが実行され、オンラインバンキングの認証情報を盗み取ろうとするマルウェア「SHIZ」(Shifuとも呼ばれる)がダウンロードされてしまう。Shifuは、2015年4月ごろから活動が活発化した、オンラインバンキングサービスを狙うマルウェアだ。特に日本の金融機関をターゲットにしており、パスワードや電子証明書といった認証に用いられる情報を盗み取ろうとする。
一連のスパムメールの送信元は実在する会社のメールアドレスとなっている。特に、請求書を装った二種類のスパムメールには、本文末尾に社名や住所などを記した署名が加えられており、受信者をだまそうとする意図が見られる。しかしトレンドマイクロによると、「メールヘッダー情報からは海外のメールサーバーが発信元であることが推測され、送信元アドレスは偽装であるものと考えられる」という。
また、名前を使われてしまった企業の一つは、自社Webサイトにて「弊社を名乗り『請求書』という内容で架空メールが多数の方に送られているようですが、弊社からそのようなメールを送った事実もなく一切関係ありません」と告知し、受け取った場合は添付ファイルを開かずに削除するよう注意を呼び掛けている。
スパムでマクロウイルスをばらまく手口が再び増加か
2015年10月8日には、実在の会社名をかたった「注文確認」や、デジタル複合機からの通知を装うスパムメールが1万3000通以上送信されたことが確認されている。Wordの文書ファイルに仕込まれたマクロウイルスを添付していること、実行するとSHIZ(Shifu)に感染することなど、二つの攻撃には共通する点が多い。今後も同様のメールが拡散する可能性もあり、注意が必要だ。
情報処理推進機構(IPA)は前回のスパムメール拡散を受け、標的型攻撃とは異なる、不特定多数に広く送付される「ばらまき型メール」への注意を呼び掛けている。
ばらまき型のスパムメールを通じてマクロウイルスを送りつける手口は、当時はMicrosoft Officeでマクロがデフォルトで有効になっていたこともあり、1990年代後半から2000年代前半にかけて猛威を振るったが、その後は下火になっていた。しかし2015年に入って再び、マクロウイルスや不正なマクロを悪用し、「Dridex」などのマルウェアに感染させようとする手口の増加が見られ、先に米SANSが警告を発している。
対策としては、Microsoft Office製品のマクロ機能をデフォルトのまま無効化しておくことが挙げられる。もしファイルを開こうとした際に「マクロが無効にされました」というセキュリティ警告メッセージが表示された場合は、ひと呼吸置き、安全性が不明なファイルではマクロを有効化しない(=コンテンツの有効化ボタンを押さない)ことが推奨される。また、今回のような「ばらまき型メール」の手口では、同じ社内、あるいは社外の人々にも同様のメールが届いている可能性が高いため、システム管理部門に確認するのも一つの手になるだろう。
マクロ機能に注意か
2015年10月以降、Microsoft Officeのマクロ機能を悪用して、オンラインバンキングサービスを狙うマルウェアに感染させようとするスパムメールが多数観測されている。2015年10月8日に続き27日にも、実在する会社からの請求書やデジタル複合機からのFAX受信通知を装い、添付のWordファイルを開かせようとするスパムメールが多数拡散した。
トレンドマイクロによると、10月27日朝から3種類のスパムメールが拡散した。スパムメールのタイトルには、「タンケンー請求書(小)の件です」「請求書」という請求書を装ったものと、「ファックス受信完了:Fax Received」というデジタル複合機からの通知を装ったものがある。同社の観測によれば、合わせて1万1000通以上のスパムメール送信が確認されたという。
いずれも、不正なマクロを埋め込んだWord文書ファイルが添付されている。もしこれをWordのマクロを有効にした状態で開いてしまうと、不正なマクロが実行され、オンラインバンキングの認証情報を盗み取ろうとするマルウェア「SHIZ」(Shifuとも呼ばれる)がダウンロードされてしまう。Shifuは、2015年4月ごろから活動が活発化した、オンラインバンキングサービスを狙うマルウェアだ。特に日本の金融機関をターゲットにしており、パスワードや電子証明書といった認証に用いられる情報を盗み取ろうとする。
一連のスパムメールの送信元は実在する会社のメールアドレスとなっている。特に、請求書を装った二種類のスパムメールには、本文末尾に社名や住所などを記した署名が加えられており、受信者をだまそうとする意図が見られる。しかしトレンドマイクロによると、「メールヘッダー情報からは海外のメールサーバーが発信元であることが推測され、送信元アドレスは偽装であるものと考えられる」という。
また、名前を使われてしまった企業の一つは、自社Webサイトにて「弊社を名乗り『請求書』という内容で架空メールが多数の方に送られているようですが、弊社からそのようなメールを送った事実もなく一切関係ありません」と告知し、受け取った場合は添付ファイルを開かずに削除するよう注意を呼び掛けている。
スパムでマクロウイルスをばらまく手口が再び増加か
2015年10月8日には、実在の会社名をかたった「注文確認」や、デジタル複合機からの通知を装うスパムメールが1万3000通以上送信されたことが確認されている。Wordの文書ファイルに仕込まれたマクロウイルスを添付していること、実行するとSHIZ(Shifu)に感染することなど、二つの攻撃には共通する点が多い。今後も同様のメールが拡散する可能性もあり、注意が必要だ。
情報処理推進機構(IPA)は前回のスパムメール拡散を受け、標的型攻撃とは異なる、不特定多数に広く送付される「ばらまき型メール」への注意を呼び掛けている。
ばらまき型のスパムメールを通じてマクロウイルスを送りつける手口は、当時はMicrosoft Officeでマクロがデフォルトで有効になっていたこともあり、1990年代後半から2000年代前半にかけて猛威を振るったが、その後は下火になっていた。しかし2015年に入って再び、マクロウイルスや不正なマクロを悪用し、「Dridex」などのマルウェアに感染させようとする手口の増加が見られ、先に米SANSが警告を発している。
対策としては、Microsoft Office製品のマクロ機能をデフォルトのまま無効化しておくことが挙げられる。もしファイルを開こうとした際に「マクロが無効にされました」というセキュリティ警告メッセージが表示された場合は、ひと呼吸置き、安全性が不明なファイルではマクロを有効化しない(=コンテンツの有効化ボタンを押さない)ことが推奨される。また、今回のような「ばらまき型メール」の手口では、同じ社内、あるいは社外の人々にも同様のメールが届いている可能性が高いため、システム管理部門に確認するのも一つの手になるだろう。
マクロ機能に注意か