RSAC2013 - 攻撃側と防御側の非対称性

RSA CONFERENCE 2013レポート第3弾。

　Symantecのキーノートスピーチ。(なんかこの人、松本人志にちょっと似てるな)

　攻撃側と防御側には常に非対称性がある。攻撃側は1点攻撃できるところを見つければいいが、防御側は常に完璧でなければならないという。

　Symantecでは、定期的にシステムへのアタックコンテストを実施している。今年は、重要インフラのシステムをモデルにしてコンテストを開催した。そこで、ハードコーディングされているパスワードがあることが発見された。実際に使われている製品なので名前は伏せられたが、パスワードは「12345678」であり、変えることができない。非常に怖い話。

　銀行を狙った攻撃手法として、金曜の午後5時に、スピアフィッシングを仕掛け、口座番号と暗証番号を盗み、銀行業務が動いていない時間を狙い、その盗んだ口座番号と暗証番号でそこらじゅうのATMから預金を引き出すという事件があった。このとき、口座番号と暗証番号を使ってお金を引き出すところはアウトソースされたというところが特徴的。このように、犯罪が組織化・分業化されてきているという。

　セキュリティの分野において、ビッグデータを分析することで、3つの結果を得ることができる。

(1) 自らが敵に狙われているか分析する

(2) 自らが保有している重要情報のありかを分析する

(3) 現在のアクティビティが誰によるものかを分析できる

　Symantecは、この日に合わせて、"Stuxnet 0.5: The Missing Link"というWhitepaperを発表した。Stuxnetは2010年に、イランの核開発施設を攻撃したことで知られたマルウェアである。この時のStuxnetのバージョンは1.xとされている。これより古いものとして、バージョン0.5が発見されていた。今回のWhitepaperでは、この0.5と1.xの間のバージョンを発見し、Stuxnetがどのように進化してきたかを解説している。バージョン0.5では1つの脆弱性しか利用していなかったものが、徐々に利用する脆弱性が増え、1.101では7個の脆弱性を利用するまでになっている。

　敵は、守る者の隙を探しだし、そこを突いて攻撃してくる。攻撃側と防御側の非対称性は、恐らく永遠に続くのだろう。

小熊