開発者とサイバーセキュリティチームの戦争

クリス・ナイト著

巧妙にコードを作る開発者もいれば、変わったコードベースや規定されていないサービスを使う開発者もいます。そのような開発者と、ビジネスとユーザーを守るために活動しているサイバーセキュリティーチームが、長きにわたり戦い続けています。
そこで、機能を損なわずにセキュリティを実現し、開発者とサイバーセキュリティチームが平和に共存するにはどうすればいいのかについて、考察を行いました。

WindowsまたはLinuxアプリケーション、あるいはモバイルアプリケーション、クラウドサービス、チャットボット、ドッカーを使っているかどうか、または漸進的なWebアプリケーションを構築しているかどうかにかかわらず、知らず知らずのうちに、大きな危険にさらされていることがよくあります。

サイバーセキュリティチームによると、ハッカーあるいは自動化ツールに対して、ビジネスまたはその顧客を危険にさらすアプリケーションやサービスの弱点をさらけだすことにつながるといいます。

コーディングチームのプログラミング歴に関係なく、何かしらのリスクは発生します。
Rockstar言語の開発者であろうが、新卒の開発者であろうが、ポート参照が欠落している、内部規則を順守しない、問題を解決する不審なコードレットを借用するという行動が、ビジネスに大きな支障をもたらす場合があります。

コーディングに親しもう

両者がプレッシャーを感じています。
ビジネスリーダーは、昨日に使用、販売されていたアプリケーションやツールを、プログラマーが量産するように求めています。 サイバーセキュリティチームとして、ファイアウォールでは対処しきれない、見えない敵から守る一方で、できるだけトラブルを表沙汰にせず、摩擦が生じないように取り計らうことが、彼らの仕事になります。

仕事を成功させるには、メッセージの内容を明確に伝え、プロジェクトの内容を明確に定義することが重要です。 あらゆるプロジェクトで採用されている品質チェックリストで、セキュリティが品質と同じ位置づけである必要があります。多くのコードショップがDevOpsモデルを採用していますが、モジュラー、目標に向けたマイルストーンを完了として、プロジェクトのライフサイクルをマークします。

アジャイル開発と並行して、品質、ゴールミーティング、機能マネジメントにおけるプロセスの構造を明確にしつつ、プロジェクトをスムーズに進めることができます。
リストにセキュリティを付与して、多くの会社が規定しているセキュリティ要件を満たすアプリケーションを開発し、整合性をテストすることで、業界または政府のスタンダードを満たすアプリケーションを開発することができます。

そのためには、セキュリティチームと開発チームの責任者が、セキュリティが品質において重要な要素であることを認識している必要があります。
開発者全員に、脆弱性についてトレーニングを行い、コードの検証、セキュリティチェックを行う必要があります。加えて、アプリケーションを開発する過程で、定期的にチェックインを行うことで、アプリケーションの安全性が保証されることになります。

どんなビジネスにも、セキュリティマスターが必要

デジタル/情報セキュリティ責任者(または同様のもの)というポジションが、大企業の間で導入されるようになってきました。 中小企業では、適任者がポジションに就いて、セキュリティソリューション、リスク、欠陥について報告を行い、あるいは目録の作成、およびマネジメントを行っています。

ビジネスにおけるセキュリティのニーズに対応できるチームを育てていくには、責任者がキーパーソンです。リーダーであると同時にチームのメンバーの一員であり、将来発生するであろう問題について責任を負います。また、チームを監督する責任を負います。 責任者とチームメンバーの絆を固いものにするには、プロジェクトの立ち上げ、進行をする際に、セキュリティチームが設定した基本的なルールに基づいて、プロジェクトを遂行する必要があります。

コーディングのルールについて

セキュリティを軽視するとどうなるか、セキュリティの必要性についてトレーニングを行い、ハッキングにつながる符号化技術のメイン/マイナー欠陥を明らかにすることで、開発者がリスクを認識し、問題に目を向けるようになります。

プログラミングを行う際に、報酬や見返りを用意するということが、プロジェクトベースで欠陥を発見するきっかけとなります。いかなる業種でも、ハッカーによるハッキング、ネイティブコードへのアクセス方法や欠陥についてのトレーニングを、全社レベルで行うべきではないでしょうか。

「借用した」コードについて、将来的に予見される弱点について、または外部のサービスを利用するにあたってのルールを確立し、そのルールに基づいてガイドラインを作成することが、ビジネスをより強固なものにし、アプリケーションを安全なものにする一歩になるでしょう。

仮想通貨のチャットのマルウェアが引き起こす、MacOSへの新たな脅威によって、投資の夢が無に化す

MacOS=安全なオペレーションシステムであると一般的に認識されています。しかし一方で、攻撃ベクトルの多様化など、さまざまなオペレーティングシステムに影響を与える可能性があることから、ますますリスクが高まっています。最近では匿名のチャットにおいて、オンラインでの殺害を促すマルウェアが多数見受けられますが、結局は別のサイバー犯罪の犠牲となってしまう可能性があります。

クリス・ナイト著

オンラインコラボレーションツールの日常的な使用に伴い、MacOSとPCユーザーは、新たな脅威にさらされることになります。 注目度の高い仮想通貨など、ユーザーは関心のあるトピックについて、オンライン上で取り上げることがあります。 突然、ユーザーが興味を持つような仮想ツールを引き合いに出し、コマンドラインからコードスニペットをダウンロードするよう、管理者から促されます。 すると数秒後、ユーザーのMacは、リモートコマンドの実行を許可してしまう、厄介なマルウェアをダウンロードしてしまうことがあります。

仮想通貨は、ユーザーのアカウント情報を入手する、あるいはソフトウェアのマイニングを行うユーザーのアカウントをハッカーに提供することと引き換えに金銭を稼ぐツールとして注目されています。 最近公開されたマカフィーセキュリティレポート(PDF)によると、2018年における最初の数か月間にわたり、クリプトジャッキング経由での攻撃が629%まで増加するなど、攻撃が大幅に増加しました。

Bitcoinと同じように成功するだろうと言われている硬貨が数千と存在しますが、それらの通貨を使って、さまざまな取引所を通じて提案されるイニシャル・コイン・オファリング(ICOs)を通じて、すぐにお金を稼ぎたいと考える何百万人ものユーザーが存在します。このような風向きは、ハッカーが大儲けをする絶好の機会であるといえます。

OSX.DUMMYの流通

ここ最近の攻撃で見受けられた初期の手口は、そこまで高度な手口ではありません(だから、間抜けというのです)。でも、仮想通貨に関するニュースの最新の動向を把握し、ひと儲けしようと考える人々は、それを聞いて警戒を解くかもしれません。
この攻撃は、最初にオランダのセキュリティアナリストによって報告されたものです。他の脅威と同じく、もっと大儲けをしたいクラッカーがすぐに高度な攻撃を行うことになるでしょう。

最新の脅威ですが、OSX.Dummyという名前で知られています。オンラインチャットを経由して、ユーザーはコードスニペットをダウンロードするよう促されます。MacOSのGatekeeperのプロテクションツールが介入できずに、署名がないダウンロードを行います。

コマンドラインコードは、bitcoinの採掘を行う人々と、クリプト及びアルトコインに関心を寄せる人々にとっては、非常に身近なものです。ですので、この種の話題は、彼らにとっては日常的に耳にするものであるといえます。
多くのオープンソースプロジェクトが、マルウェアに感染し、インジェクション攻撃を受けやすく、あるいはそれ以外の攻撃を受けやすいというリスクを伴います。また、パッチの適用、コードのアップデート、改変が頻繁に行われることから、Bitcoinの採掘者を使って、さまざまな通貨を採掘することが一般的になっています。

問題は、ハッカーや詐欺師が、合法な投稿やフォーラムに全く疎くないということです。
ハッカーや詐欺師が、Slack、Twitter、Githubのメッセージ、その他チャットにはびこり、人々を引きずり込もうとしています。
ほとんどの人が迷惑に思うか、ハッカーや詐欺師の誘いを無視しますが、ハッカーがこの市場をターゲティングしているので、リスクは高まるばかりです。

願わくば、ユーザーには脅威にもっと敏感になってほしいところです。しかし、新しく市場に登場した通貨に魅了された新規参入者や、世間に注目されている仮想通貨に興味を持つ人がいる限り、危険な目に合う人の数が少なくなることはないでしょう。

Macを使ってさえいれば安全だと思っている、経験値の高いユーザーや、技術に疎いユーザー、あるいは仮想通貨に賭けているユーザーは、トラブルに巻き込まれる可能性があります。

OSX.Dummyは、Macのユーザーに危機感を抱かせるきっかけとなるかもしれませんが、彼らはこれからもリスクにさらされることになるでしょう。Macのユーザーは安全を確保するために、Gatekeeperに依存するのではなく、ファイアウォール、侵入防止、およびその他のツールを入手して、ネットワークを保護する必要に駆られることになるでしょう。