今回はセキュリティ対策のお話です。自分には関係ない? いえいえ、そんなことはないんです。特に、お子さんのいる家庭なら必見です。スマートフォン、タブレットを使っていてフィッシングや詐欺サイトに巻き込まれたら‥‥ぼくも「自分には関係ない」と思っていたのですが、Bitdefender社主催のブログイベントに参加し、その考えを改めることとなりました。
紹介された製品は「Bitdefender BOX(ビットディフェンダー ボックス)」です。ひとことで説明すると「家庭内のネット通信を監視するデバイス」ということになります。既にあるWiFiルーターに「Bitdefender BOX」を接続するだけで、家庭内のネットワーク全てが監視対象となります。
最近はIoT(Internet of Things:モノのインターネット)と言われ、ネットワークに接続する機器も増えてきました。テレビ、冷蔵庫、電子レンジ、はては電球まで。そうしたネットに接続している機器が、ネットの攻撃の踏み台になってしまう可能性もあるのです。ネットトラブルの被害者ではなく、加害者になる危険性もあったとは!
イベントで話を聞いた、
・自称中級者こそ気をつけたいセキュリティの重要性
・Bitdefender BOXはいかなる製品か
についてレポートしたいと思います!
「Bitdefender BOX」日本ではBBSSが代理店
「Bitdefender BOX」はルーマニアの製品です。この製品を日本で販売する代理店は「BBSS(BBソフトサービス)」です。ソフトバンクの子会社で、自身も小さなお子さんを持つ山本さんが担当されています。
BBSSは一般消費者のサイバー犯罪被害を減らしたい、事前に防ぎたいと考え、啓発活動も行っており、その流れの中で「Bitdefender BOX」を取り扱うことになったのは、ごくごく自然なことだったのかもしれません。小さなお子さんがいれば、やはりネットのセキュリティは自分ごととして考えられるようになるでしょうし。
山本さんは「ネットのセキュリティというとデバイスにソフトをインストールするのが一般的だったが、今回ははそうではない。これまでの穴を埋める新しいセキュリティ製品である」と「Bitdefender BOX」を紹介しました。
Bitdefender社は世界的に知られたセキュリティソフトの会社ですが、実は日本で製品を出すのは初めてのことだそうです。
いま危ないのは誰?見直したい3つ+1のポイント
ぼくがMacintoshを初めて購入したのは四半世紀以上前です。その頃からアンチウイルスソフトはありました。インターネットはなくパソコン通信の時代でしたが、ダウンロードしたソフトやフロッピーディスクを介し、ウイルスが感染したものです。定期的にアンチウイルスソフトを起動すると、駆除されるウイルスもありました。
そうした経験があったので、インターネット時代になってからもよく分からないサイトは開かない、よく分からないリンクをクリックしない、よく分からないソフトはダウンロードしないということを徹底していたため、幸いなことにウイルスや詐欺サイトの被害に合うということはありませんでした。
が、続く宮田さんの解説により、これが過信であり(むしろ危険な状態)、さらには自分のことだけでなく、家族をフィッシングや詐欺サイトから守る必要があるという重要性に気付かされました。宮田さんは@ITのセキュリティフォーラムを担当されていた、セキュリティのプロです。
テーマは「いま危ないのは誰? 見直したい3つ+1のポイント」で「いま一番危ないのは中級者ではないか?」として、簡潔にセキュリティの重要性が語られました。
ぼくもそうなのですが、初心者でもなく、上級者でもなく、自分でなんとかできると思っている中級者くらいが危険だそう。「Macだから大丈夫」「不審なファイルは開かないから大丈夫」「怪しいサイトは見ないから大丈夫」まさにそう。
しかし、昨今の危険はメールかウェブからやってくるそうで、
・ファイルのダウンロード
・不正な広告
・不正なiframe埋め込み
・スパムメール
・フィッシングメール/フィッシングサイト
など、OSに関係なく脅威にさらされていると言います。昨今はスマートテレビのためのデバイスが、ウイルス感染するケースもあったそうで、その事例では中級者であるユーザーがテレビのOSであるAndroidの設定を自らできてしまったがゆえに、結果的に危険なファイルをダウンロードすることになってしまったということです。
宮田さん曰く、
デジタル機器が大好きな「中級者」の思い込みほど危ないものはない!
だそうです。確かに‥‥言われてみれば‥‥。
ここまでは自分が被害者になる話でしたが、続いて無防備でいることで加害者になってしまうリスクがあるという説明もされました。
ここでいう加害者というのは、例えばサーバーへの攻撃に加担してしまうというケースです。DDoS攻撃というものがあり、これはウイルスに感染した一般のユーザーのPCが攻撃を仕掛けるというもので、このDDoS攻撃サービスが格安で販売されているのだそう。気に食わないサービスを止めてやれと、手軽に利用することができてしまいます。
しかも数ドルで利用可能で、なぜそんなにも安いかというと、攻撃の踏み台にできるセキュリティの甘いデバイスがたくさんあるからなのです。これはPCだけでなく、ウェブカメラやルーターのような機器、アップデートしていないセキュリティ対策の甘い機器が攻撃に加担させられてしまいます。
こうなってくると、自分だけでなく、家族が知らない間に加害者になってしまうのでは、なんていう恐れも出てきます。余談ですが、オンラインゲームにDDoS攻撃した高校生が書類送検されたという事件もあったということです。
中級者はルーターがあるから大丈夫と思うけれど、実際には外からは守るものの、内から外は素通りになってしまっているのが現状とのことです。
ここで「やっぱりセキュリティには気をつけなくては!」と改めて考えるきっかけになったケースが紹介されました。「思い出を守るために」がキーワードです。
「ランサムウェア」というものがあるのをご存知でしょうか?
これはファイルを人質にしてお金を巻き上げるもので、流行しているそうです。ある人がランサムウェアに感染し、PCのハードディスクの中身が読み取れなくなってしまいました。大事な子供の写真が入っていたそうです。「子供の写真だけは復元したかった」ということで、泣く泣くお金を支払ったそうですが、いつ、自分が同じ事態に遭遇しないとも限りません。
しかし、セキュリティに気をつけていれば、ランサムウェアからは身を守ることができるのです。
宮田さんが最後に「いますぐやるべきこと」として、ネットのセキュリティ対策として大事なことを「3+1」としてまとめてくださいました。
(1)パスワードを守る(パスワードを使いまわさない、簡単なパスワードを使わない)
(2)バックアップする(バックアップしかない、MacならTimeMachineで)
Dropboxは履歴管理をしているのでランサムウェアに引っかかっても過去のものが取り出せる、クラウドバックアップにもなる。
(3)アップデートする
Windowsもできれば10に。ウェブブラウザーも最新に。JavaやFlashは使っていなければアンインストールする。Google ChromeならFlashは自動アップデートされる。
(+1)何かに投資しよう
なにに投資する?
・おすすめは「見える化」できるもの
・脅威を知らなければ守れない
・情報収集もしっかりする
これさえ守っていればけっこうイケる
そこで投資するのは‥‥!?
「Bitdefender BOX」とはどんな製品か?
Bitdefender社のチーフ・セキュリティ・リサーチャー、Alex “Jay” Balan氏による「Bitdefender BOX(ビットディフェンダー ボックス)」の説明が行われました。
Bitdefender社はルーマニアにある株式非公開の会社で、セキュリティ市場で15年、世界8カ国でビジネスを展開しています。社員は1,300人、その半数にあたる600人がR&Dに関わっており、研究開発に力を入れているということです。
業界での評価も高く、開発した技術が業界の標準規格になりつつあるそうです。今は当たり前ですが、継続的にアップデートできるような開発はBitdefender社が最初だったそう。
「Bitdefender BOX(ビットディフェンダー ボックス)」の開発プロジェクトは5年前に始まりました。「スマートデバイス」と呼ばれるものが登場し、それについて調査を行いました。ウェブカメラや温度計など様々なものがスマートデバイスになったものの、PCよりも簡単にハッキングされてしまうことが分かったそうです。実際に攻撃をしかけるなどして分かったのは、防御が非常に難しいということでした。
スマートデバイスは小さなコンピューターであり、プログラムで実行されていて、ソフトウェアがインストールされています。製品としては最新のものだとしても、中のプログラムは古い可能性があり、簡単に攻撃を受けてしまう可能性があります。製品のアップデートが継続されていれば良いですが、全てに期待するのは無理でしょう。となると、自衛するしか方法はありません。
例えば、インターネットに接続するバービー人形がハッキングされ、家庭での会話が全て漏洩するという事件もあったのだとか。
問題には共通点があると説明されました。
・パスワードをデフォルトで使っている
カフェの監視カメラをハッキングし、監視カメラの映像をスマートフォンで見ることができた。これはパスワードがデフォルトのままだったそうです。
また、インターネットでクロールしてセキュリティが高くないウェブカメラのリストを作った例もあり、日本はセキュリティの弱いウェブカメラがある国ナンバー2になっています。
・暗号化
パスワードやユーザーの情報、クレジットカードの情報が保存されている場合があり、きちんと保存されていないと攻撃を受けて漏洩してしまう場合があります。
・コマンドインジェクション
コマンドインジェクションはスマートデバイスに対しても攻撃の手法として使われており、世界中からデバイスが制御されてしまうというもの。
今年発売された製品でも使われているOSが10年前のもので、脆弱性がそのまま残っていたという事例もあったのだとか。ユーザーインターフェースがよくないためにファームウェアアップデートが頻繁に行われないという問題もあります。
Alexは「デバイスを発売しているメーカーがアップデートを自動化するのが大事だと思うが、ユーザーにお願いをしているのはいいやり方ではないと思う。ユーザーは自分ではアップデートしない。脆弱性を持ったまま危機にさらされてしまうことになる」とし「BOXのようなソリューションが必要になる」と語りました。
Alexはさらに「ぜひ覚えておいてほしいのは、IoTの機器はPCより遥かに簡単にハッキングされてしまう」と語りました。
続いてシニア・プロダクト・マーケティング・マネージャーのToni Andrei氏から説明が行われました。
Bitdefender社は最先端・最高峰のセキュリティを目指しており、戦ったらかならず勝つというのをモットーにしているそうです。世界中で5億人がBitdefender社の製品を使っています。
5年連続で最高のウイルス検知率を誇り、
・保護性能の高さ
・保護性能を維持しながらパフォーマンスを保っている
ということで、世界で知られる製品となっています。
2019年までにインターネット接続するようになるホームデバイスの台数は250億台にまでなると言われており、一番の懸念はサイバーセキュリティです。
これだけの数、多種多様なデバイスがある、と考えると、それだけのデバイスを守るのが簡単なことではないことが分かると思います。そこで、Bitdefender社のエンジニアが出してきたアイデアは「エンドポイントレベルでセキュリティをかけるのは難しいから、ネットワークレベルで守ろう」というアイデアでした。
それが「Bitdefender BOX(ビットディフェンダー ボックス)」です。
「Bitdefender BOX(ビットディフェンダー ボックス)」は家のルーターに接続するもので、そのルーターに接続している全てのデバイスをOSや数に関係なく守ることができます。
「Bitdefender BOX(ビットディフェンダー ボックス)」はスマホアプリからコントロールすることができます。いつでもどこからでもホームネットワークにアクセスし、コントロールが可能です。ネットワーク、デバイスの状況を確認することができます。
技術的に重要な機能は脆弱性の診断で、脆弱性を診断するモジュールが組み込まれています。ホームネットワークの弱点や隠れたバックドアなどを常時スキャンします。自動的にネットワークに繋がっているデバイスを検出してリストを表示し、それを見ながらデバイスを管理することができます。
パスワードがデフォルトのまま、あまり強力ではない、OSが古いとか、ポートが空いたままになっていて攻撃がしかけられる可能性があるとか、そういったことを全て診断してくれます。
そしてセキュリティのためのメインの機能とも言えるのが「URLブラックリスト」です。危険なウェブサイトを常に追跡し、利用者に負担をかけません。世界でも網羅的なブラックリストを蓄積しており、不正なURL、訪れてはいけないウェブサイトにアクセスしようとすると「Bitdefender BOX(ビットディフェンダー ボックス)」が遮断してくれます。
ネットの危険はメールやウェブからやってくるという話を覚えているでしょうか。フィッシングサイトや不正な広告など、URLブラックリストがあることで、そこへのアクセスを遮断することができます。「Bitdefender BOX(ビットディフェンダー ボックス)」はHTTP通信を監視しているので、例えば妻や子供たちが不正なウェブサイトにアクセスしようとした時に、それを遮断してくれるのです。
これは大事なポイントです。家庭内にある全てのデバイスを守ってくれるんです。
自宅にネットに繋がっているデバイスがどのくらいあるか把握しているでしょうか? 「Bitdefender BOX(ビットディフェンダー ボックス)」は新しいデバイスを接続すると、それもレポートを出してくれます。
いつでもどこからでもネットワーク上のデバイスの状態を確認しコントロールすることができます。誰のデバイスが接続しているのか、これは常に接続していて構わないとか、これはゲストとして扱うとか、そういった制御をすることができます。
家にいない場合でも、知らない人が、知らないデバイスがアクセスしようとしていれば、それをブロックすることも可能です。
「Bitdefender BOX(ビットディフェンダー ボックス)」は2015年に発売された製品で、それ以降も頻繁にアップデートを行いセキュリティ機能が追加されています。PCマガジンからも高い評価を得ています。2017年のCESでは業界紙から高い評価の賞を貰うなど、セキュリティ業界でも定評のある製品として成長しているとのことでした。
「Bitdefender BOX」質疑応答
イベントの最後に質疑応答が行われました。気になったところを質問しました。
質問:
ソフトウェアのアップデートの方法と頻度は?
回答:
定期的に行っている。秒単位で更新しているものもある。ソフトウェア自体は新しいアップデートがまとまったら行う。アップデートは数えられないくらい出している。最新のものは数時間前にリリースしたばかり。
質問:
セットアップは難しい?
回答:
「Bitdefender BOX」の設定はいくつか方法がある。ネットワークの規模やルーターによっても違ってくる。なるべく自動化したい。日本ではBBSSと協力して様々な形をテストしている。接続に失敗してもネットワークには影響はないし、BOXも元に戻せる。
実際に作業にかかるのは20分くらい。問題はルーターと接続しDHCPの機能を移す、それが自動でできないルーターがまだある。それを自動化できるように国内のルーターは全て調べているところ。ISPから提供されるルーターの中にはDHCPをオフにできないものがある。自動でできない場合はルーターの管理画面からDHCPをオフにする。
質問:
VPNは使える? 自宅から会社にリモートワークしている。
回答:
VPNの接続はVPNの暗号化があるのでそちらで守られる。「Bitdefender BOX」と衝突することはない。
質問:
日本国内のURLもブラックリストの対象になるのか?
回答:
なる。世界中をカバーしている。日本にも独自のリストがある。それが製品に反映されるように動いている。
自分は大丈夫だけれど‥‥
今回のイベントを通じて、自分は大丈夫だけれど‥‥というのが過信であることがよく分かりましたが、それ以上に、家族も危険にさらされているのだということが身にしみて分かりました。自分は大丈夫だけれど、自分じゃない人が大丈夫ではない場合があるのです。
Facebookのフィッシングサイトはありがちですから遮断したいですし、セキュリティソフトのないKindleからのアクセスも保護することができます。子供がiPhoneやiPadを使っていることも多いでしょう。ウイルスには感染しにくいかもしれませんが、フィッシングサイトはデバイスからは簡単に防げません。
家庭内のネットワークの保護に「Bitdefender BOX」は活躍してくれる製品になるはずです。引き続き、実際の使用レポートも執筆する予定です!