PR

 犯罪者はお金について行く。現在,インターネットでやり取りされるお金が日々増えている。実に多くの人が,銀行口座や米PayPalの決済口座,株取引口座などさまざまな口座をオンラインで管理している。こうした口座は魅力的な攻撃目標だ。犯罪者は,口座にアクセスさえできればお金を盗める。

 そして,ほとんどすべてのオンライン口座はパスワードだけで守られている。

 このエッセイの読者なら,パスワードが安全でないことを知っているだろう。私は「Secrets and Lies」(2000年発行,邦題は「暗号の秘密とウソ」)の中で,次のように書いた。「過去数十年間,ムーアの法則に従い,ブルート・フォース攻撃(総当り攻撃)で破れる鍵の長さは長くなってきている。その一方で,平均的なコンピュータ・ユーザーが(あるいは平均レベル以上のユーザーでも)覚えていられる鍵の長さには限界がある。そして,攻撃可能な鍵の長さが,覚えていられる鍵の長さを超えてしまった。今や,一般的に記憶可能なパスワードはすべて破れる」

 インターネットでは,パスワードによるセキュリティはそれほどひどくない。うまく機能する。というのも,(ブルート・フォース攻撃のような)辞書を使った攻撃はオフライン環境で最大の効果を発揮するからだ。解読しようとする暗号文が手元にあるなら,自分のコンピュータで可能性のある鍵をすべて試すことは考慮に値する。しかし,インターネット経由で遠隔地からすべての鍵を試すのは,処理に時間がかかり過ぎる。それに,攻撃対象のWebサイトがそれなりに賢ければ,連続して何回も――5回?10回?――不正なパスワードが入力された時点で,そのアカウントを利用停止にするだろう。十分迅速にアカウントを停止できるのなら,Webサイトでは4桁の暗証番号でも機能する。

 そこで,犯罪者はパスワードを破る代わりに盗もうとする。

 フィッシングはとてもよく使われる攻撃手法で,驚くほど効果的だ。どのように攻撃が行われるのか考えてみよう。まず,銀行から電子メールが届く。そこには,もっともらしい本文が書かれていて,その中には,銀行からのメールのように見えるURLが記載されている。そのURLをクリックすると,取引している銀行のWebサイトが表示される。ユーザー名とパスワードが要求されるので,あなたは入力してしまう――。読者や私なら,「ここでユーザー名やパスワードを入力してはまずい」と知っている。しかし平均的なネット・バンキングのユーザーは,この種のソーシャル・エンジニアリング攻撃に抵抗できない。

 2004年6月には,パスワードを盗むトロイの木馬が出現している。画像ファイルに見せかけているが,実際には実行形式ファイル。このファイルを開いてしまうと,あるアドオン・プログラムがInternet Explorerにインストールされる。このアドオン・プログラムは,大手金融機関のWebサイト数十カ所への送信データを監視/記録し,ユーザー名とパスワードをロシアのあるコンピュータに送信していた。SSLを使用していても防げない。このプログラムは,暗号化される前のキー入力を監視するからだ。

 コンピュータ・セキュリティ業界は,パスワードよりも優れたソリューションをいくつか用意している。例えば,ワン・タイム(使い捨て)パスワードを生成するトークンや,バイオメトリクスを使った入力装置などだ。しかし,大量のオンライン・バンキング・ユーザーにハードウエアを提供することは,初期投資と顧客サポートの両面で実現不可能なほど経費がかかる。それに,ユーザーはこうしたシステムを嫌う。銀行としては,ユーザーを不快にさせることはできるだけ避けたい。

 しかし,口座からお金が盗まれたら不快どころの騒ぎではないし,銀行は被害者からの電話をうまく処理しなければならない。問題が銀行の責任でなく,顧客がセキュリティ面でミスを犯していたとしても,銀行はユーザーの損害を補償することになる。このことは,インターネット・セキュリティの最も大切な教訓の1つだ。つまり,自分にとって大きな問題であるにもかかわらず,自分ではどうしようもないことがあるのだ。

 この問題は深刻だ。5月に発表された米Gartnerの調査報告によると,米国では約300万人がフィッシング攻撃の被害にあったという。フィッシングによる「身元情報の窃盗(identity theft)」は,昨年(2003年)1年間で,米国の銀行とクレジット・カード発行会社に約12億ドルの直接的な被害(新口座開設,口座確認,クレジット・カード盗用を含む)を与えたらしい。キー入力を盗むスニファーやトロイの木馬の出現により,2004年は被害額がさらに増えるだろう。

 銀行などがユーザーに被害を補償したとしても,ユーザーがインターネットに不信感を抱くことは避けられない。平均的なインターネット・ユーザーは,セキュリティというものを理解していない。平均的なユーザーは「Webブラウザの右下に金色の錠アイコンが表示されていれば安全」だと思っている。錠アイコンが“安全”を意味するのでなければ――我々は意味しないことを知っているが――,平均的なユーザーはお金に関係するWebサイトの使用をやめるだろう。

 これらの問題を解決することは難しい。次から次へと出現するWindowsの脆弱性のせいで,ユーザー側のソフトウエア――電子証明書やプラグ・インなど――を使ったセキュリティ対策は十分に効果を発揮できない。また,Windowsでは悪意のあるソフトウエアを簡単に動かせるので,ほかの解決策の効果も限定的だ。“対処療法”で攻撃者の戦略を変更させられるかもしれないが,根本的な問題は解決できない。コンピュータ・セキュリティは“軍拡競争”のようなものであり,お金が攻撃者をやる気にさせる。解決できないと,この種のセキュリティ問題はインターネットの使い方を変えかねない。「インターネットは電子商取引に使えるほど安全ではない」というインターネット反対派の主張が,最初から正しかったことになってしまう。

フィッシング:
http://www.msnbc.msn.com/id/5184077/
http://www.internetweek.com/e-business/...

パスワードを盗むトロイの木馬:
http://news.com.com/...
http://www.pcworld.com/news/article/...

IEEE Security and Privacyに掲載された短いバージョンのオリジナル記事(IEEE Computer Societyの会員のみ閲覧可能):
http://csdl.computer.org/comp/mags/sp/2004/04/...

Copyright (c) 2004 by Bruce Schneier.


◆オリジナル記事「Websites, Passwords, and Consumers」
「CRYPTO-GRAM August 15, 2004」
「CRYPTO-GRAM August 15, 2004」日本語訳ページ
「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。