ここから本文です

買いたたかれるセキュリティ人材は、本当に不足しているのか?

@IT 8月23日(火)7時10分配信

 2016年7月のセキュリティクラスタは、世間と同じように「ポケモンGO」の話題で持ちきりでした。とはいえやはり、ゲームの内容だけではなく偽アプリやユーザー権限など、セキュリティまわりの問題を気にしている人も多かったようです。

 脆弱(ぜいじゃく)性については、WebサーバのCGIアプリケーションに関する脆弱性である「httpoxy」が話題となりました。また、セキュリティスペシャリストを“日給8000円”で募集する省庁が現れ、物議を醸しました。

●「ポケモンGO」でセキュリティクラスタも大騒ぎ

 2016年7月6日に、「ポケモンGO」という街へ繰り出してポケモンを捕まえたり、アイテムを獲得したりするというコンセプトのスマホアプリが公開されました。このアプリは世界中で熱狂的な歓迎を受け、たくさんの人がさまざまな場所にポケモンを捕まえに行きましたが、時には不法侵入などの問題を引き起こしたり、通信量の多さにデータセンターのリソースが不足しそうになったりするなど大騒ぎを巻き起こしました。

 当初アプリが先行的に公開されていたのは米国と欧州の数カ国で、日本ではプレイできなかったのですが、待ち切れない人たちを攻撃者が見逃すはずがありませんでした。大量の“偽アプリ”がストアに公開され、誤ってインストールしてしまった人たちがマルウェアに感染するという被害が発生しました。

 また当初、ログインに使用するGoogleアカウントの設定に不備があり、情報が抜き取られるのではないかという疑惑も生まれました(後にデータは抜き取られていないことが判明し、権限設定の不備は修正されました)。あるいは軍事施設など、「機密が存在する場所にはポケモンが居ない」ということから、「逆に機密の場所が漏えいしてしまうのでは?」という懸念も持たれていました。

 そんな中、公開前にもかかわらず内閣官房セキュリティセンターが「ポケモントレーナーのみんなへのおねがい♪」と異例の注意喚起を行うなど、大々的に注目を浴びながら、ついに22日には日本からもアプリがダウンロードできるようになります。セキュリティクラスタでも、筆者を含めてたくさんの人が街に繰り出したようです。

 今のところ「ポケモンGO」自体に関する大きなセキュリティインシデントは起きていませんが、本名などのアカウントを使うことによる“身バレ”の問題や、画面を公開することで自身の居場所を明かすことになるといったリスクが懸念されています。また、引き続き偽アプリもたくさん公開されていることに加え、攻撃者によって盗まれたアカウントの売買も行われているようです。

●総務省が日給8000円で「セキュリティスペシャリスト」を募集

 7月20日には、総務省 情報流通行政局 情報流通振興課 情報セキュリティ対策室が、高度な専門的知識を必要とする非常勤職員の採用を始めたことが話題となります。

 情報セキュリティに関する情報収集・分析に必要な知識、経験を有するなど、高度な専門的知識を必要とするという条件にもかかわらず、日給が8000円(時給換算すると1400円程度)で“交通費も出ない”という待遇だったのです。

 最近では「セキュリティ人材が足りない」と省庁を含む各所で言われているにもかかわらず、そう言っていたはずの省庁自身がこのような条件で人材を募集をしているということで、多くのセキュリティクラスタの人たちが「セキュリティは安い」「人材が不足する理由がよく分かる」「この待遇で募集するくらいなのだからセキュリティ人材は不足していないのではないだろうか」といったコメントをしていました。筆者の観測範囲内では、積極的に応募したいというツイートは1つもありませんでした。

 一方で、「総務省の提言には給与については何も書かれていない」というツイートや、「役所の賃金は規定に沿うしかないのでこうなってしまうのは仕方がない」というツイート、「既に雇う人が決まっていて、形式的に募集しているだけなのではないか」とする意見などもありました。

●CGIの通信が盗聴されるかもしれない脆弱性「httpoxy」が公開される

 7月18日には「httpoxy」と名付けられた脆弱性が公開されました。公開の際には、最近の大きな(と報告者が考えている)脆弱性が公開されるときと同様に、Webサイト「https://httpoxy.org/」とロゴが準備され、Twitterアカウントも準備される(結局ツイートは1回しかされませんでしたが……)など、万全の体制が整えられていました。

 httpoxyはCGIを利用するWebサーバの脆弱性で、PHPやGo、Pythonなどの言語で実装されたCGIアプリケーションに対して「Proxy」ヘッダを付けたHTTPリクエストを送信すると、Webサーバの「HTTP_PROXY」環境変数に、送信された値が設定されてしまうというものでした。

 アプリケーションによってはこの「HTTP_PROXY」環境変数の値をHTTPプロキシのアドレスとして扱うため、外部から設定されたプロキシに通信を盗聴されたり改ざんされたりする危険がありました。実はこの問題の存在は一部の人にはずっと前から知られていたようですが、なぜか放置されていたとのことです。

 「httpoxy」Webサイトには脆弱性の詳細な内容や動作環境が書かれており、実際に実験可能なPoCも公開されていたため、日本でも実際に脆弱性を試した人や、それぞれの環境に対して対策を行った人がツイートを行っていました。

 httpoxyはたくさんのメジャーなWebサーバと言語が含まれる、広範囲に及ぶ脆弱性ですが、実際に脆弱性のあるアプリケーションに対して攻撃が行われている様子はなく、再現する環境も限られていることからそれほどの大騒ぎにはなりませんでした。脆弱性が存在する言語やWebサーバなどの多くではすぐにアップデートが公開され、現場では粛々と対策が進んだようです。

 この他にも、2016年7月のセキュリティクラスタは以下のような話題で盛り上がっていました。8月はどのようなことが起きるのでしょうね。

・教育システム「性善説」のセキュリティだったから高校生に不正アクセスされた?
・成城学園のリモートデスクトップアカウントが売られていたことが発覚
・アルバムアプリ「リコネ」個人情報流出でサービス終了
・コミケ関係者に衝撃!? 同人誌印刷で知られる京都市の企業から法人の情報流出
・エフエム愛知の11万件のメール会員情報が流出
・退職者のアカウント、実は放置されている?

●著者プロフィール 山本洋介山:bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。

最終更新:8月23日(火)7時10分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]