本書はタイトル通り、情報セキュリティに関する「敗北」の歴史を淡々と、そして生々しく描いています。
読後感は、正直言って絶望的な気持ちになります。
でも、とても面白いです。
ちなみに本書は縦書きで、まるで社会派ドキュメンタリーやノンフィクションを読んでいるような空気感があります。
セキュリティの話なのに、「人間」が主役の本だと感じました。
「守ることの難しさ」をリアルに突きつけられます。
この記事では、私が読んで特に印象に残ったトピックやエピソードをいくつか紹介しつつ、感じたことをまとめています。
「技術書というより人間ドラマ」みたいな視点で読んだ部分も多いので、セキュリティ初心者の方にもぜひ手に取ってほしい本です。
📌 ソフトウェアにエラーや異常が完全にないことを検証するのは事実上不可能
通称「ウェア・レポート」というコンピュータセキュリティの調査報告書において、「大規模なソフトウェアシステムにおいては、エラーや異常が完全にないことを検証するのは事実上不可能」であり、「攻撃者がそのような抜け穴を計画的に探し、利用することも考えられる」と結論付けられています。
なんとこのとき、まだ 1970 年です。どれだけ先見の明があるのでしょうと脱帽。
📌 オンラインポルノのサイトのほうが政府機関や銀行のサイトよりも高セキュリティ
ポルノサイトでは、早くからチャットルーム、ストリーミングビデオ、オンラインでの購入機能といった技術革新を率先していたため、高度なセキュリティを考慮する必要があったためだろうと紹介されています。
生活やビジネスが直結する業界では、やはり対策への本気度が違うのだと痛感しました。
📌 ハッカーたちが新たに見つけたソフトウェアのパッチが行われないターゲット―― 人間の脳
2000年代初頭から、マイクロソフトがセキュリティ対策に本格的に力を入れ始めたことで、ハッカーが悪用できる脆弱性を見つけることが困難になってきた頃。
時間と労力をかけて侵入経路を見つけるよりも、人間を狙うことに活路を見出しました。つまりソーシャルエンジニアリング流行の兆しとも言えるでしょう。
ひぃぃぃ、アップデートできない脳でごめんなさい(?)と思いました。
📌 「騙されやすい人間」フィルターの機能を備えた ナイジェリア詐欺
有名なのでご存じの方も多いと思いますが、「不遇なナイジェリアの王子が、多額の謝礼と引き換えに、資金を移動させる手助けをしてくれる人を探している」といった内容の電子メールを送りつける詐欺です。
この詐欺では、相手を信じ込ませて口座番号を聞き出すなど、詐欺師側の労力が必要です。途中で怪しまれたり気付かれたりしてしまっては、そこまでの労力が無駄になってしまうので、始めから騙されやすい人をふるいにかけておきたいところ。そのため、いかにも怪しげ、かつ調べれば一発でわかるメールに返信をくれる ”都合のよい人” を選別するという意味で、「ナイジェリア」詐欺であることが重要といえます。
私事ですが、知らない電話番号からの着信は、出る前にググる程度には人見知りです(なんの話)
📌 スカイダイバーの死者数と安全装置普及率の逆相関
「リスク補償理論」の説明での一説です。スカイダイバーが落下中に意識を失っても特殊な装置を装着していれば自動的に予備パラシュートが開く、という装置が採用されるようになり、多くの命を救ったにもかかわらず、(死因の種類こそ変化したものの)死者数の合計はほとんど変わらなかった。
これは、スカイダイバーは安全対策が導入されたことで、他の面でより大きなリスクを取るようになり、安全対策によるリスクの低下を相殺すると考えられてる、と紹介されています。
情報セキュリティにおいても同じことが言え、たとえば「ファイアウォールで守られているから安心」といった油断に警鐘を鳴らしています。ありきたりではありますが、「一人ひとりの心がけ」がすべての基本だなと思いました。
📌 セキュリティ研究者がいうところのマルウェアの機能は、精神病を発症した人物が語るような話
このマルウェアの説明として――
コンピュータのBIOSを感染させる。コンピュータをあらゆるネットワークから物理的に遮断していても、高周波の音波によって通信できる。コピーが作られて第三者の手に渡りそうになると、それを察知して自ら消去できる、と述べています。
確かに、私の親戚で「カメラに見張れている」と壁や天井を破壊する人がいたのを思い出しました。証拠が見つからない以上、それと同等と思えなくもないですが...怖いのは、おそらく一部は実現可能な攻撃手法というところ。実現可能性を感じられる有識者ほど、この脅迫観念にも似た怖さを感じるのかもしれないと思いました。
📌 “パッチの存在する脆弱性を悪用するハッカーが大勢いるのと、パッチの存在しない脆弱性を悪用するハッカーが少しだけいるのとでは、どちらがましだろうか?”
パッチが配布されたからといって、誰もがすぐにパッチを適用するわけではない。だが、パッチが配布されることで、ハッカーはどこに脆弱性があるかを知ることができ、パッチ未適用のユーザーは入れ食い状態。
まさに、セキュリティの二択地獄問題だなと恐ろしくなりました。
📌 射撃の名手のなせる業――スタックスネット
イランの核開発プログラムにダメージを与えることを目的に、核施設の制御システムを狙いうちするよう極めて慎重に作られたワームです。
個人的に、このワームのすごいと思ったところは、
- 対象のコンピュータが他のコンピュータやインターネットから物理的に切り離されていた(USBフラッシュドライブに潜んだ)
- 感染してもターゲット以外では“何もしない”ように見せる
- 特定の周波数パターンで動作する遠心分離機を見つけると、その動作パターンにほんの少しだけノイズを加え、好ましくない研究結果に見せる
- 上記全部、リモート操作なしであらかじめ仕込んでいる
プログラムの緻密さはもちろんのこと、心理学、行動学など総動員で作られた生物兵器のように感じました。
📌 “今日、情報セキュリティの分野に初めて足を踏み入れる人は、最新の脆弱性やハッキングの手法に惹かれる傾向があるが”
はい、すみません。私です。赤面しました。
他、全体的に本書から学んだこと
- 脆弱性を1つ見つけさえすれば良い攻撃者に対し、守るほうが圧倒的に不利
- セキュリティは後付けでどうにかなるものではない
- 攻撃者視点を知るのも大切だが、守るのはまた別。攻撃者視点だけ学ぶのでは足りない
- 多層防御しすぎた複雑なシステムは、別の問題を生む
- 守るためには「人・文化・運用」すべてを視野に入れる必要がある
以上、特に印象に残った部分だけを抜き出しましたが、他にもたくさん、ハッとさせられるような学びを得ることができる本です。
セキュリティに興味のある方は絶対に楽しめると思うのでおすすめです!
本記事は以下の書籍を引用・参考にしています:
『情報セキュリティの敗北史』
著:ジェイ・ジェイコブス、アンドリュー・ジャニコウスキ
翻訳:小林啓倫
発行:日経BP、2023年