ScanDispatch「RSA SecurID の情報が盗難」

米国3月17日木曜日、EMCのセキュリティ部門 RSA は、WebページにExecutive ChairmanであるArthur W. Coviello, Jr.の公開書状を掲載した。

それによれば、「最近、非常に高度なサイバー攻撃が RSA のセキュリティシステムに対して行われていることを確認した。攻撃はAdvanced Persistant Treat（APT）と言われるカテゴリーに属するもので、ある情報が RSA のシステムから抽出され、特に、SecurID two-factor authentication製品に関する情報が盗まれた。盗難された情報を使って、SecurIDを使用している企業への直接的な攻撃は現時点ではあり得ないと確信しているが、広範囲な攻撃の一部として現状のTwo-factor authenticationを効果を軽減させる可能性はある（要約）」と、 RSA のSecurIDに関する情報が盗まれたことを認めている。

SecurIDは、30～60秒で更新されるワンタイムパスコードの生成器。ユーザネーム、PIN、そしてSecurIDが生成したパスコード（6桁の数字）の3つを使ってリモートのサーバにログインなどを行う。4千万個のデバイスと、2億5千万のソフトウェアベースのSecurIDが使用されていると予測されている。

一般紙が日本の災震関連のニュースを一面記事にしている中、 RSA がハックされたというニュースはありとあらゆるセキュリティ関連のニュースソースの一面トップになる大ニュースだ。

この発表と前後して RSA は、SecurIDを使用している政府関連機関や企業にブリーフィングをしているが、何が盗まれて、どういった危機が予想できるかには触れていない。ニューヨーク・タイムズ紙のレポートによると、ブリーフィングを聞いた人物でさえどんな脅威に準備を施すべきかわからないと言っているという。また、SecurIDの販売ベンダにも仔細な情報は公開されていない。

そのため、盗難された情報が何であるかの憶測が飛び交っている。専門家の多くは、SecurIDのマスター・ファイルであるroot seed fileが盗難されたのではないかと予測している。その根拠は、RSA が米証券取引委員会（SEC）へのファイリングにおいて、SecurIDのユーザはフィッシングやソーシャルエンジニアリングなどによって、ユーザネームとPINの盗難に注意するように勧告していることだ。

root seed fileを入手すれば、SecurIDのトークンのコピーを作れることになる。どのトークンが誰によって使用されているかが最初はわからなくても、10年以上前に、SecurIDが使用するアルゴリズムはすでにリバースエンジニアリングされており、「Cain and Abel」と呼ばれるツールを使用することでroot seedデータからトークンの番号を計算することができる。これに上記のようにソーシャルエンジニアリングなどによって入手したユーザネームとPINがあればいいからだ。また、SecurIDのシステム自体の脆弱性を解析することができるようなデータが盗まれたこともあり得る。

Arthur W. Coviello, Jr.の公開書状
http://www.rsa.com/node.aspx?id=3872

Required Actions for SecurID Installations
http://www.sec.gov/Archives/edgar/data/790070/000119312511070159/dex992.htm

（米国　笠原利香）