フェイクCD/DVDによる攻撃の有効性？　あるいは防御方法

　筆者はかねてから実験してみたいことがあるが、いろいろヤバイので実際にはやっていない。その実験とはこういうものだ。

1.CDもしくはDVDを作る

　特定のサイトにローカルPC内のファイル（なんでもいいのであるが、Windowsで共通して存在するファイル）を送信するアプリケーションを作り、それをautorunで自動的に起動するように設定しておく。

2.信頼してもらえそうな封筒を作る

　役所、プロバイダ、パソコンメーカ、NTT等、何でもいいが、デザインがすぐにわかる封筒を偽造する。個人的には、情報家電関連（HDDプレイヤーとか、ゲーム機など）だと騙されやすいような気がする。

3.作った封筒にCD/DVDと手紙を入れてマンションなどに適当に投函する

　手紙には、おおまかこんな内容を記載する。
「日頃はご愛顧ありがとうございます。先日、大変危険性の高いウィルスが発見されました。これは特定のプロバイダ利用者のみ（ここは封筒に合わせて替える）に感染する特殊なもののため、市販のアンチウイルスソフトでは対応することができません。まことにお手数ですが、大至急、このCD/DVDのウィルス対策ソフトをインストール下さいますようお願い申し上げます。挿入するだけで、自動的にインストールされます」

　あるいはこういうのでもいい。
「この度、当社ではインターネット普及キャンペーンを行っております。当選者の方に最大100万円が当たります。同封のCD/DVDを挿入していただくと自動的にキャンペーンサイトにアクセスしますので、そこで抽選を行ってください」

　果たして、これでどれくらいの人がひっかかるのであろうか？　筆者は相当数の方がひっかかるような気がしている。やってみたい。やってみたいけど、これ絶対に違法だよな。というわけでやっていない。

　何を言いたいかというと、ネット上のサービスの脆弱性というか、セキュリティレベルの考え方を少し変えないといけないんじゃないかということである。

　セキュリティレベルは通常、OS、ネットワーク、あるいはソーシャルエンジニアリングなど個別に議論され、評価されているような気がする。しかし、どこかに穴があれば、そこから悪用されてしまうわけなので、全体的に評価しないといけない。サービスのセキュリティレベルは、そのサービスに含まれる最も脆弱な箇所が、全体のセキュリティレベルによって決定されるのではないだろうか。そこから侵入されてしまえば、他の防御機構も越えられてしまう可能性が高いわけなので、個別のセキュリティレベルの平均ではなく一番弱いところが基準になるだろう。

　例えば、システムをガチガチに固めていても、利用者の個人情報を社員が悪用してなりすましすることも可能だろう。この場合は、システムに比べて社内管理レベルのセキュリティレベルが低く、全体のレベルがそこに合わせられるわけだ。

　などと考えて来ると、もっとも脆弱なポイントは、ソーシャルエンジニアリングとか、先に挙げたポスティングとか、原始的な部分になると思う。

　もうひとつ重要なポイントがある。

　先ほどご紹介したフェイクCD/DVDは、インターネットに接続されていなければ脅威にはならない。つまり、全体的に利便性が上がれば上がるほど、脅威は大きくなる可能性が高い。

　通常、利便性と危険性は表裏一体で、利便性を上げれば危険性も高まるというトレードオフがある。しかし、残念なことに多くの場合、これらも個別に議論されることの方が多い。フェイクCD/DVDの例で言えば、取り巻く環境の利便性が上がったために、フェイクCD/DVDの持つ危険性が上がったわけである。

　筆者は寡聞にして知らないのであるが…

【執筆：Prisoner Langley】

【関連記事】
家庭のセキュリティ？何故か議論されないホワイトリストとブラックリスト
https://www.netsecurity.ne.jp/3_13141.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw