August 12, 2016

リオ五輪にまつわるサイバーセキュリティ脅威とは

2016夏季オリンピック開催、おめでとうございます。8月5日から21日まで、国際的な競技がブラジルはリオ・デ・ジャネイロで繰り広げられています。1万名以上のアスリートが競技に参加することに加え、50万人近い旅行者がこのイベントに参加するためにリオにやってくると言われています。

このイベントにより、通常よりも大きな経済効果が見込まれていますが、それは同時に、サイバー犯罪の視点からも大変魅力的な状況であることを意味しています。膨大な量の個人情報の盗難・漏洩がリスクにさらされていることでしょう。これらの攻撃においては、旅行者、競技参加者、またスポンサーなど関係者という、普段リオにいない方々が標的としたものが考えられます。

この状況は、2020年の東京オリンピックの際のベンチマークのひとつになることでしょう。もっとも、その頃の状況を正確に想像することはできませんが、それでも現状で十分考えらえることのリスクレベルを踏まえておくことは助けになることでしょう。

そこで、この投稿により、今回十分想定できる脅威のうち、特に個人にかかわるものを取り上げ、この種のサイバー犯罪の被害にあわないようにするための方法について検討していただける機会になればと思います。
(補足: 日本においては、夏季休業の時期で多少長めに帰省なりしている方がおられることでしょう。脅威の発生頻度は異なるでしょうが、楽観的になって良いほど安全なところばかりでもありません。ぜひ、同様の注意を払ってください。）

目的は、楽しい旅行のために適切な自己防衛をすることであり、皆さんを不便で面倒な手順で縛ることではありませんので、ご安心ください。

脅威 #1 : 偽アプリ・偽サイト・フィッシング攻撃

偽アプリやフィッシング攻撃の最大の目的は、個人情報の盗難を詐欺的な手法で実現することです。この種の攻撃には、サイバー犯罪犯罪者は、十分信用に値すると思われるようなソース（IOCのサイトとか、イベントチケット販売関係のサービスなど）からやってきたと思われる体裁をとっており、たいてい大量の詐欺メールを送ってきます。

この手のメールには、なりすましサイトにリダイレクトされるリンクが含まれています。そういうサイトで、個人の情報（パスワード、クレジットカード情報、アカウント情報の更新）を入力させるなどして窃取します。攻撃者はこういう情報を活用して、盗難対策を軽々と乗り越えて金銭価値を引き出します。

例えば、攻撃したい者は、オリンピックイベントの参加者に添付ファイルとかリンクがついたメールを送ります。そのメールには、オリンピック関連のイベントに参加できるチケットに当選するキャンペーン情報などが書いてあります。受信者はそのリンクなりを開くと、攻撃者が準備した偽サイト、なりすましサイトに誘導されます。そこで、クレジットカード情報とか、個人の情報を入力してしまいますと、それらの情報は、容易にオンラインサイトでの購入など不正利用を可能にしてしまいます。

脅威 #2 公共Wi-Fi、フリーWi-Fi

旅行中、WiFiをカフェ、空港、ホテル、その他公共的な場所でいつも以上に使うものです。ケータイなどの国際ローミングのデータプランが概して高額だからでしょう。デバイス（パソコン、スマホ、ポケットルータなど）には、接続のためのSSIDの名前さえマッチすれば自動的にそのようなWiFiに接続できるようになっているものもあります。

パブリックWiFiの多くは、まるっきり安全ではありません。たいてい通信の暗号化がなく、MITM(man-in-the-middle)攻撃で盗聴するのに最も簡単な方法を提供してしまっています。さらに、もしデバイスが、パブリックWiFiに接続する場合、かつそのWiFiがセキュアでなく、マルウェア対策などもない場合、リスクは高くなります。このような状況では、サイバー犯罪者は容易にユーザ名、パスワードなどインターネット利用者が普段使っているSNSや、ややもすればオンライン銀行サイトで使う認証情報も盗むことができます。メールのテキストも読むことができるので、ユーザのメールアドレスも、宛先の人のメールアドレスもわかります。こういう組み合わせ情報は、さらになりすましなどに悪用することが容易です。

脅威#3：物理的なセキュリティ

ここでいう「物理的な」という言葉はすなわち、ノートパソコン、スマホなどの実際に所有しているガジェットが盗まれるということを言っています。個人の所有物をテーブルなどに置いたまま席を離れたりすることの危険はお分かりでしょう（それでも、案外迂闊に置いてあったりしますが）。実はホテルの部屋の中に置いたものでさえ、被害を受けやすいということはあまり知られていません。ホテルの室内や、ネット関連の設備にも注意が必要です。

物理的セキュリティの別の要素は、共用のコンピュータを使うこと、です。旅行中にはそういうパソコンを使う可能性は多くなりがちです。共用のパソコンは、マルウェアなどによるキーロガー（悪用するためにキーボード入力を盗聴あるいは不正な記録をとること）のターゲットです。

また、USB充電にも罠があります。旅行中、スマホやケータイのバッテリーはいつもより早く減ることでしょう。旅行者は、公共の場所で充電できるところを探します。そこでUSBポートがハッキングされていたりします。そのようなポートにスマホを接続している間に、個人的な情報をいとも簡単に盗まれるというわけです。このタイプの攻撃を「ジュースジャッキング」と言います。

脅威#4: 銀行ATMなどのカード・スキミング

スキミングは、ATMなどカードをスキャンする装置に巧妙にデバイスを追加し、クレジットやデビットカードの番号を盗み出します。ひとたび攻撃者がこの情報を得ると、彼らはそのカード所有者にさまざまな攻撃をすることが容易になります。これは大きな経済的被害をもたらします。現金への両替などのため、ATMを利用することが多いことでしょう。

そこで、

この種のサイバー攻撃を回避する１０の方法

1. 不注意に、自分のデバイスを放置しないこと。スマホ、パソコンを虎視眈々と狙っている者がいます。必ずしも必要でないのなら、そういうデバイスを旅行中に持ち歩かないようにしましょう。

2. パソコンのデータを暗号化すること。もし盗まれた時に、情報が漏洩することを避けられます。もしパソコンを持ち歩いているなら、帰国後、マルウェアなどが入っていないか検査をしてもらってください。

3. データバックアップ。そして使い倒していないデバイスを使うこと。入っているデータが少なければそれだけ盗まれて困るデータも少ないわけですから。

4. 少しでも離れることがある場合には必ずデバイスのロックをかけること。オートロックオプションが有効になっているか調べてください。

5. デバイスを充電するときには、USBポートからではなく電源プラグから、自分の充電器で充電しているか確認すること。USBケーブルや充電器を買う場合には、十分信ぴょう性を確認できる店を選んでください。

6. この機会に、パスワードを変更すること。めったに変えていないことも多いでしょうが、旅行中のために旅行前、旅行後で変えると良いでしょう。

パスワードについて大事なことは、長めの、複雑なパスワードにすること、そして、異なるウェブサイトやアプリで同じパスワードの使い回しは絶対に避けること。これにはコンバージョン（変換）やストレッチング（付け足し）という技は簡単に覚えられますし、有効です。

コンバージョンは、自分にしかわからない文字や言葉の言い換えをすること(yamaをkawaにするとか)、そしてストレッチングは、自分ならではの文字の付け足しをすること(Facebook用のパスワードならface-> 顔 -> 目 とコンバージョンして、コアとなるパスワードの前後にMとeを足す、などです。) あくまでも例ですので工夫なさってください。

7. 共用のパソコンには触らないように。ビジネスセンター、空港の貸しパソコン、カフェのパソコンなどご親切には感謝だけど使わないように。

どうしても使わなければならない場合には、せめてブラウザが HTTPS 接続をしていることを確認することです。そして、そのような環境でサイトを閲覧する場合には、IDとパスワードなど認証情報を入力しなければならないサイトを利用することはあきらめてください。GMailのチェックも、facebookやtwitterも、あと飛行機やホテルの予約確認も、ダメです。共用パソコンではなく別の方法を使ってください。

8. 家やホテルの外、公共の場所でデバイスを使う場合には自分の周辺に注意を払ってください。肩ごしに覗き見られていないでしょうか。また、国によってはスマホは高価、かつ転売がしやすいためひったくりの対象です。これは、普段、通勤や通学で電車に乗った時に、どれほど気をつけているか、振り返ってみてください。現実は、不用意な人だらけ、です。

9. オリンピックイベントの、表彰式・閉会式など最後の最後の部分のチケットを買おうとしているとしたら特に気をつけてください。今一度、オリンピックのウェブサイトで認定されている人や業社から買っているのか確認してください。
オリンピックのロゴが付いた偽サイト、偽アプリは蔓延しています。特にAndroidを利用している方はご注意ください。
誰のメールアドレスかわからないメールやリンクや添付などついているものをクリックしないこと。ご面倒でも、偽サイトにいちいち注意してください。しっかりしたサイトの、ちょっとしたスペル違いだったりします。

10. まず大前提として、インターネットに接続するのに、公共WiFiを使わないように。カフェ、空港、ホテルでさえ、です。少しでもこわいなと思う時は、ケータイのデータ接続を使うことです。もし、どうしても公共Wi-Fiを使わなければならない時には、VPNを使ってください。これはデバイスからのネット接続を暗号化してくれます。

サイバー犯罪は、現実です。

サイバーセキュリティは、「知らぬが仏」では済まされません。十分起こり得る脅威について他人任せにせず、あなた自身が習得してください。そして、自分のデバイス（スマホ、パソコン、などなど）と個人の情報を安心できる方法で、安全を確保する計画を持ち、実行するのです。こうすることで、とくに自分の財布にかかわる情報を盗まれる心配なく、2016年のリオでの夏季オリンピック競技を楽しんでください。

執筆者： 岡田良太郎 riotaro at rsrch.jp 

OWASP Japan Lead : ソフトウェアセキュリティ・コミュニティ

Hardening Project :ビジネス環境堅牢化施策開発プロジェクト

Hackademy Project : 攻撃と防御両方を教育するプロジェクト

アスタリスク・リサーチ：学生や社会人向けの従業員向けのセキュリティ教育、またソフトウェアのセキュア開発、そして品質管理のためのセキュリティテスト手法を提供するサービスを展開しています。皆さんの価値ある資産を保護するのに確実にお役に立ちます。