広告運用者のための情報セキュリティ 第1回 情報セキュリティ入門

このシリーズでお伝えしたいこと

2015年くらいから Malvertising（マルバタイジング）というインターネット広告を悪用した情報セキュリティ攻撃の事例をニュースで見かけるようになったかと思います。

例えばこんな事例もありました。

ZDNet Japan

 

1 Tweet

8 Pockets

MSN、NYTなどのウェブサイトがマルバタイジングの被害に--セキュリティ企業ら報告

https://japan.zdnet.com/article/35079676/

BBC、The New York Times、AOL、MSN、answers.comなど世界的に人気のWebサイトが悪意ある広告キャンペーンの影響を受け、訪問者に「Angler Exploit Kit」の被害が及んでいるという。多数のセキュリティ企業が、悪意あるトラフィックが急増したことを検出したとして報告している。

Malvertising は Malicious（不正な）と Advertising（広告）を組み合わせた造語です。その名の通り不正広告によって情報セキュリティ攻撃を行う手法を言います。
セキュリティソフトの会社によっては広告ブロック機能を提供し、Malvertising 攻撃から身を守るために広告ブロック機能を使うことを推奨していたりします。

Naked Security

 

1 User

大規模なマルバタイジング攻撃により 288 サイトが感染

https://nakedsecurity.sophos.com/ja/2016/04/12/massive-malvertising-attack-poisons-288-sites/

4 月 11 日 (月曜) の時点で少なくとも 288 件の Web サイトがマルバタイジングに感染しており、数百万ユーザーが悪質な広告にさらされています。

ごく一部の不正な広告のためにすべての広告をブロックするというのは乱暴な方法にも見えますが、今後 Malvertising によって社会が甚大な損害を被ったら広告ブロックというのが一般的な防衛手段になってしまうかもしれません。
そうならないようにインターネット広告業界全体として広告を不正な攻撃手段として使わせない努力が必要になるでしょう。

ではさっそく Malvertising 対策をするのでどうしたら良いか教えてという声が聞こえてきそうですが、残念ながら攻撃の内容は日々進歩していますので、単純にこれだけやったら大丈夫というような対策はありません。さらにインターネット広告には多くのプレイヤーが関わっていますので、それぞれの立場で気を付けるべき内容も異なります。

ですので、まず情報セキュリティの基本を押さえてどのような攻撃手法があるのかを理解していただく、そして情報セキュリティの観点で日々の業務内容を振り返っていただき、それぞれの立場で不正な攻撃手段が広告に入り込まないよう対策を考える、というのが遠回りに見えますが実は一番の近道なのではないかと筆者は考えます。

そうしたことからインターネット広告の運用者が情報セキュリティについて理解するのは、とても重要なことだと思います。

このシリーズでは情報セキュリティの基本的なところ、よく知られている攻撃手法についての解説を中心にしつつ、対策のヒントになるようなことをお伝えできればと考えています。

そもそも情報セキュリティって

「情報セキュリティ」とは何ですかと聞かれると、何となく雰囲気は分かるけれど、ちゃんと説明するのは難しいという感じではないでしょうか。

国際標準では、

情報セキュリティとは情報の機密性、完全性及び可用性を維持すること。

と定義されています。

けっこうすっきりと定義されていますよね。ここにある機密性、完全性、可用性の意味が分かると情報セキュリティが何なのかが理解できそうです。

機密性
「機密性」についても国際標準の定義がありますが、そのままだとちょっと難しいので簡単に言い換えると次のようになります。

• 許可されていない個人に対して、情報を使用させず、また、開示しない特性。
• 許可されていない法人などに対しても、情報を使用させず、また、開示しない特性。
• 許可されていないプログラムやアプリに対しても、情報を使用させず、また、開示しない特性。

個人の識別情報が入っているICカードは持ち主本人にしか使用させない。
秘密の書類は許可された人にしか見せない。
といった実例をイメージしてもらえると理解しやすいかと思います。

機密性が維持されなかった場合というのが、いわゆる「情報流出」の事態となりますが、それは悪意を持った個人によるものや、組織的な犯罪によるものや、不正なプログラムによるものがある、と言えるでしょう。

完全性
「完全性」の定義は分かりやすいので国際標準の定義をそのまま引用します。

正確さ及び完全さの特性。

登録した通りにデータが保持されていることで、利用者からするとあたりまえのように感じる特性です。

完全性が維持されなかった場合というのが、いわゆる「改ざん」の事態となります。
企業のホームページが不正に書き換えられる事件などをイメージしてもらえると理解しやすいかと思います。

可用性
「可用性」の定義もそのままだとちょっと難しいので、簡単に言い換えると次のようになります。

• 許可された個人が要求したときに，アクセス及び使用が可能である特性。
• 許可された法人などが要求したときにも，アクセス及び使用が可能である特性。
• 許可されたプログラムやアプリが要求したときにも，アクセス及び使用が可能である特性。

出社してパソコンの電源を入れるとパソコンが使える状態、グループの共有ファイルにアクセスしてファイルの内容を見られるという、こちらも利用者からするとあたりまえに感じる特性です。

可用性が維持されなかった場合というのが、システムが使用不能になる事態です。
停電やシステムの不具合、機器の故障などが原因の場合を含みますが、悪意のある攻撃によるものとしては、ログインパスワードが不正に書き換えられてログインできなくなってしまったり、ウイルスによりパソコンが再起動を繰り返すようになってしまったり、最近よく聞くようになった「ランサムウェア」などによって必要な情報が暗号化され元に戻せなくなるなどの事態があります。

今回のまとめ

さてここまでで、情報セキュリティを理解する必要性、情報セキュリティとは何なのか、についてご理解いただけましたでしょうか。
情報セキュリティというと「情報流出」への対応に注目されることが多かったように思いますが、「完全性」「可用性」も大切だということを押さえていただければと思います。

今回可用性のところに「ランサムウェア」というキーワードが出ましたので、次回はそのランサムウェアも含まれる「マルウェア」について取り上げたいと思います。

順調に進めば第4回くらいで Malvertising にたどり着く見通しですので、そこまで辛抱強くお付き合いいただけると幸いです。

記事関連キーワード
• ♯情報セキュリティ