パンくず

ハッピーなインターネット安心デー

今日は、8年目となるSafer Internet Day (インターネット安心デー)です。インターネット安心デーとは、特に全世界の子供たち、若者の間でオンライン テクノロジと携帯電話の安全で責任ある使用を促すグローバルなイニシアチブです。今年のテーマは、"バーチャル ライフ: 単なるゲームではない、君の人生だ(Virtual lives: It's more than a game, it's your life)"です。

"バーチャル ライフ"というテーマは、オンライン ゲームとソーシャル ネットワーキングという、今日の若者に最も人気のある2つのオンライン活動を網羅しています。単純なゲームからMMOG (Massively Multiplayer Online Game: 大規模なプレーヤーが同時に参加するオンラインゲーム)に至るまでが、オンライン ゲームに含まれます。 インターネット安心デーに敬意を表して、われわれは電子ゲームやソーシャル ネットワークに関連した安全対策問題に関して、一部洞察を共有するのが有益ではないかと考えました。

クラックとパッチに注意する

オンライン ゲームの危険は、ゲーム自体ではなく、ゲームを有効化または修正するために使用される小さなクラックやパッチにあります。これは、インターネット上で容易に見つかります。 サイバー犯罪者は、プレーヤーがこれらを非常に欲しがっていることを知っており、P2Pネットワークで悪事を働くパッチやクラックがはびこる結果となっています。実際のところ、これらはトロイの木馬であり、ワームです。 ユーザのオンライン バンキングの認証情報を直に狙うオンライン バンキングのトロイの木馬であったり、スパムの中継、違法コンテンツのホスティング、分散型サービス妨害(DDoS)攻撃の開始に使用されるボットであるほか、 特殊な"オンライン ゲームのトロイの木馬"であるかもしれません。

オンライン ゲームに仕込まれるトロイの木馬

オンライン ゲームに仕込まれるトロイの木馬への感染経路は、悪意あるクラックやパッチに限定されません。電子メール、悪意のあるWebサイト、ソーシャル ネットワークなどといった伝統的な他のあらゆる感染ベクター(運び屋)を経由して、インストールされる場合があります。そして、プレーヤーのゲーム アカウントを狙って、ログイン時の認証情報を盗み出します。 認証情報を取得したら、サイバー犯罪者は、盗み出したアカウント内にある貴重なアイテムやキャラクターを転送(ゲーム中またはゲーム終了後)する可能性があります。 そして、その後、eBayや同種のサイトで販売されます。 たとえば、ワールド オブ ワークラフトの高レベルなキャラクターは、500ドル以上で販売できます。

ソーシャル ネットワーキング

今日、MySpace、Facebook、Twitterといったソーシャル ネットワークの役割は、家族や友達とのつながりを維持する手段としての基本的なものにとどまらず、私達の社会生活の中心的場面になるに至っています。 しかし、これらの仮想環境は常に安全と言うわけではありません。 把握しておくべきソーシャル ネットワークの主たる脅威には、次の3つがあります。

  1. マルウェア - Koobfaceワームは長い間、Facebookの脆弱性を徹底的に調べた結果です。このワームはTwitter上でも発見されています。この感染は、ソーシャル エンジニアリング経由で実行されます。ユーザは大概、友達のなりすましからの個人メッセージの中に組み込まれた、悪意のあるリンクをクリックするように誘導されるのです。
  2. 個人情報 - ユーザは、多くの個人情報をオンライン上で公開しすぎる傾向があります。たとえば、所属する社会集団や自分のコメント、そして、家族写真、職場、誕生日などの情報があります。これらの情報は非情なサイバー犯罪者や悪意のあるアプリケーション開発者の手に委ねられると、以下の目的で悪用される危険があります。
    • "パスワードを忘れた"場合に、オンライン サービスへのアクセス(例: ウェブメール)を有効化するために使用する、いわゆる、セキュリティのための質問へ回答させる(Sarah Palinのウェブメールに対するハッキングを思い出してほしい)。 これは、個人識別情報の効果的な盗用手段になります。
    • パーソナライズされたメッセージを作成して、ターゲット攻撃において感染ベクター(運び屋)として機能させる。
  3. サイトの安全性 - 極めてダイナミックで多くの機能を備えたソーシャル ネットワーキング サービスは、サーバ サイドの脆弱性(XSS、CSRF、Clickjackingなど)として最高の対象です。こうした脆弱性によって、攻撃者は標的にしたアカウントをハイジャックできるようになります。毎年のようにこうした脆弱性の多くが公開され、すばやくパッチが適用されますが、水面下で使用されている場合が多々あります。 このほかにも、頻繁に見つかるソーシャル ネットワーキング サイトの設計上の欠陥(意図的なもの?)の原因は、デフォルトとしてのHTTP接続の暗号化が不十分なこと、または、まったく暗号化されていないことにあると言えます。 これによって、セキュリティの低いパブリック アクセス ポイントに接続した際に容易にアカウント ハイジャックを実行することが可能となります(例えば、 firesheep)。

これらの脅威から防御するには、メッセージがおかしいと思われたら(動画の視聴を促すようなメッセージは特に)注意しなければなりません。 サイトに促されても、コーデックをインストールしてはいけません。YouTubeなどの人気あるオンライン ストリーミング動画サイトはFlashを使用していますが、動画コーデックは必要ありません。 個人情報およびサイト セキュリティに関しては、セキュリティを強固にすることもできます(HTTPS接続の有効化、NoScriptなどのプラグインの使用)が、一般的に言えば、ソーシャル サイトに載せる全情報は公開されていると考えることが賢明です。 そのため、たとえば、隠れたリクルーターやサイバー犯罪者などが、あなたの情報を見ているかもしれません。

カテゴリ:

前の記事・次の記事

 
 

日本版右カラム

セキュリティブログ

Fortinet Security Blogの一部ブログを翻訳したものです。

全ブログはこちら(英語)でご覧になれます。

ブログ