セキュリティ日進月歩

情報セキュリティについてもうちょっと詳しくなるために。あとdocker

WannaCry(WanaCryptなど名称多数)から考える脆弱性対策事情

ここ数日、2017年5月12日からでしょうか。ランサムウェアであるWanaCryptが流行っていますね。これは、ひとたび感染すると、PC内のデータが人質に取られ、犯人に金を払わないと、もうデータは戻ってこず、「僕の書きかけの小説よ、さようなら〜」という性質のマルウェアになります。

 

詳細は以下ブログが超詳しいので譲ります。

世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた - piyolog

 

マルウェアですが、実際には、ちゃんと新しいWindows OSを使っていて、ちゃんとMicrosoft社から提供されたパッチを普通のスケジュールで当てていたら、リスクを限りなく抑えることができるようなのですが、なぜかここまで流行っている。

 

直接ターゲッティングされていない形式の攻撃でここまで流行るのは、企業のIT統制というのは非常に難しいからなんですね。熱心に教育や啓蒙活動を重ねても、1台でも統制外のPC及び利用者がいると、そこが穴になってしまう。例えば「米俵100kg当たりました!続きはwebで」みたいなメールを開いちゃったりですね。

 

かつ、システムで防ぐにも、そのときの構築の担当者やその上司がよくわかっていないと、効果に対しては高い費用がかかったり、つぎはぎの無意味な防波堤を作ってしまったりする。わかりやすいところで言えば、ベンダーとちゃんとコミュニケーションが取れなくていらないはずの製品を導入してしまったり、あまり守る必要の無い箇所に対して、徹底的に人を割いて体制を取ってしまうとかですね。あとは、いざ情報が漏えいした後に冷静な対応プロセスが無い、とりあえず窓からPCを捨てろ!など、どの防衛ラインでも穴はあります。

 

話は変わって、twitterなどのSNSでは、

「ガハハ、セキュリティにコストなどかけてられるか!うちはXPを使い続けろ!そもそも、XPってなんじゃ!」

みたいなクソ親父が拡散RTで回って来たりしますが、ここまで極端でないにしても、じゃあ、WebApplicationFirewallで何が防げるか知ってますか?じゃあ、ファイルの暗号化で防げるものはなんですか?ディスクの暗号化と何が違うんですか?程度でも、いざ聞かれると正確に答えられる人は少ない。正確に答えられる人が少ないということは、そこが穴になりうるということなんですね。あと冗長な対策をしてしまって、「なんだよ、このセキュリティソフト使いにくいじゃん、重いしクソだな」とかtweetしちゃったりする。

 

じゃあどうすればいいのか?

アンコントーラブルな部分を嘆いても仕方が無く、まずは自分のPCのsoftwareはきちんと最新化して、最低限の防衛教育を受けるしかない。

各自がコントローラブルな要素に対して、大きく以下の3者に対して、何をするかをトップダウンで決めて、改善していく。この辺は今の世界ではまだ、地道にやるしかないんでしょうね。

・個人

・企業/政府

・セキュリティベンダ