米国アラバマ大研究者がウィルス感染モバイル端末を一斉に機能停止させるサイバー攻撃手法を発表

5月16日に、米国アラバマ大学バーミングハム校コンピュータ情報科学学部の“SECuRE and Trustworthy computing Lab ：SECRETLab”は、5月10日に中国杭州で開催した国際的なシンポジューム「第8回情報、コンピュータと通信のセキュリティ・シンポジューム(8th Association for Computing Machinery （ACM）Symposium on Information,Computer and Communications Security：ASIACCS)」(筆者注1)において「検出が困難なコマンドとモバイル端末間のコントロールに関する検出可能チャネル(Sensing-Enabled Channels for Hard-to-Detect Command and Control of Mobile Devices)」と題する報告(筆者注2)を行った旨報じた。今回は、同リリースの概要等を紹介する。

　この問題を取り上げられた背景には、急速に利用拡大が図られているモバイル端末に解するサイバー脅威問題を冷静に解析した研究者の探求心に加え、筆者が従来から問題視する最近時の米国の政治、軍、情報機関、法執行機関だけでなくアカデミック分野によるサイバー脅威問題の取り組みがある。


　特に今回取り上げたテーマに関しては、バングラディッシュ出身の研究者や従来対立する関係があるとされる米国の中国系の研究者も含む共同研究に基づく成果として国際学会で発表・報告された点に注目したい。



１．研究成果の概要

アラバマ大学の“UABSECuRE and Truthworthy：SECRET”コンピューテイング研究室と同大学“UAB Security and Privacy in Emerging computing and networking Systems：SPIES”は次のテーマにつき共同研究を行った。

同研究室の指導教官であるラジブ・ハサン助教授(Ragib Hasan ph.D.,assistant professor of computing and sciences)は「一般大衆はメールとインターネットの利用時のみがウィルスに感染すると考えており、アリーナやスターバックスに行くときあなた方はそこに流れる音楽に隠されたメッセージがあると予想しないので、このことは極めて大きなパラダイム・シフト(筆者注3)である。我々は伝統的な通信チャネルの安全性の確保に多くの努力を払う。しかし、悪者が交信時に予測しない隠れた方法を使用するときは、その検出は困難または不可能である。UABの研究チームは混雑する廊下でモバイル端末から55フィート(約1.65m)はなれた箇所から流れた音楽を使用して端末に隠されたマルウェアを機能させる引き金となりうることを実証した。また、音楽ビデオを使って、テレビ、コンピュータ用モニター、天井の照明、サブウーファーの振動音や磁場といった様々なツールを用いて各距離を変えて行い、引き金となりうることの検証に成功した。

SPIES研究グループの部長で「情報信頼性および共同フォレンジックス研究センター(Center for Information Assurance and Joint Forensics Research CIA/JFR)」の助教授であるニテッシュ・サキセナ(Nitesh Saxena)は「我々は、結局これらの検出可能なチャネルが大規模なウィルス攻撃の引き金となりうる短いメッセージが使用可能であること明らかにした。比較的容易にこのような引き金を起こすに使用される伝統的なネットワークコミュニケーションを検出することが出来る一方で、現在そのような検出手法の早道があるとは思えない」と述べている。

これら研究者はわずかラップトップやパソコンに使用可能な「5bits/1秒」の小さな帯域のみでマルウェア起動の引き金とすることが出来た。

ASIACCSでの発表に関し、博士課程学生でSECRET大学院生助手シャムス・ザヲード(Shams Zawoad)は「この種の攻撃は、現在は高度に洗練されていて構築は難しいが、技術の向上に伴い、将来ますます容易になるであろう。我々はこれらのサイバー攻撃が拡がる前に防御策を構築する必要があり、常に一歩先行した防御技術を開発する必要がある」と述べている。

本研究レポートは、SPIESの最近時の博士課程卒業生でザヲードの研究仲間である大学院生ダスティン・ラインハート(Dustin Rinehart)、現在「セキュリティとプライバシーに関する学際研究センター( Center for Interdisciplinary Studies in Security and Privacy(CRISSP)」に所属するツィポラ・ハルビィ(Tzipora Halevi)により共同執筆された。



２．本報告の意義

本報告書は米国の関係メディアでも取り上げられている。時宜を得た研究であることはいうまでもないが、米国の大学は言うまでもなくR&Dは得意である。特に前述したとおり「サイバー攻撃対策」はまさに国を挙げての政策課題である。

○アラバマ大学のフォレンジックスのビジネス起業化の意義

同大学は官民協力の一環として同大学はサイバー攻撃検出専門の情報会社“Malcovery Security LLC”を2013年3月12日に立ち上げた。同社の資金面のスポンサーであり、また顧客でもあるバンクオブアメリカ、VISA、facebook、ebayである。

同社の特徴について詳しくはHPで確認されたいが、筆者にとって興味深い企業である。

①Malcoveryは、緊急性の高いサイバー攻撃のソースと性格を特定するとともに数百万といわれる今後のサーバー脅威の角度を解析するための特許を持つフォレンジックス技術を駆使する。

②HPの説明の中で“Market Position”の部分が本音で面白いので引用する。

「Malcovery社は、既存のフィッシング詐欺、スパムおよびマルウェア対策の大部分の兆候(symptoms)を扱うだけであるが、サイバー犯罪攻撃の‘ルート・ソース'周辺の即実施可能な情報を提供することによって、セキュリティ市場の重要な空白を埋める。

本社は、サイバー攻撃のソースと本質を特定するために‘ビッグ・データ'分析法(筆者注4)を使用するクラウド・コンピューティング・ベース(SaaS)のセキュリティ解決方法を提供する。本社は攻撃の新柄を特定して、最優先させるために何百万ものサイバー攻撃のベクトルを分析できる排他的に認可され、特許をもち新案特許出願中のサイバーフォレンジックス技術を保有する。 この即実施可能なサイバーに関する情報は、ユーザが最も有害な脅威と戦うために資源保護に焦点を合わせることを可能にする」


(筆者注1) 「 ACM 情報、コンピュータ、通信セキュリティ・シンポジウム(2013 ACM Symposium on Information, Computer and Communications Security (ASIACCS’2013)」は、計算機科学の分野で世界最大の学会であるACM（Association for Computing Machinery）内の、セキュリティを扱うグループであるSIGSAC （Special Interest Group on Security, Audit and Control）が開催するものであり、ACM・SIGSACが運営している4大会議のひとつとして行われる本会議は、発表内容のレベルが高く、学術界からも非常に高い注目を浴びている。

2008年第3回シンポジュームが日本で開かれ、主催者は「産総研」であった。

なお、WikipediaによるとAssociation for Computing Machinery (ACM)5/19(29) は、アメリカ合衆国をベースとする計算機科学分野の国際学会。1947年設立。IEEEとともに、この分野で最も影響力の強い学会である。より具体的に説明すると“ACM, the world’s largest educational and scientific computing society, delivers resources that advance computing as a science and a profession. ACM provides the computing field's premier Digital Library and serves its members and the computing profession with leading-edge publications, conferences, and career resources”といえる。

(筆者注2) 5月10日Session 13 ：Web and Mobile Security (13:30 to 14:40)の中で報告

「Sensing-Enabled Channels for Hard-to-Detect Command and Control of Mobile Devices」報告者：

Ragib Hasan, Nitesh Saxena, Tzipora Halevi, Shams Zawoad and Dustin Rinehart

(筆者注3) パラダイムシフト(paradigm shift）とは、その時代や分野において当然のことと考えられていた認識や思想、社会全体の価値観などが革命的にもしくは劇的に変化することを言う。(wikipediaから抜粋 )

(筆者注4)「ビッグデータ解析」の意義について、IBMの動画解説「ビッグデータ分析から活用まで」が分かりやすい。
 また、総務省は「ビッグデータ」については「平成24年版　情報通信白書の第2章第1節-4で詳しく取り上げているほかに、筆者が認識している範囲だけでも2つの研究会で検討が行われている。


(1) 「パーソナルデータの利用・流通に関する研究会」（座長：堀部政男一橋大学名誉教授）
(2) 情報通信審議会 ＩＣＴ基本戦略ボード ビッグデータの活用に関するアドホックグループ　

いずれにしても国民の知る権利やプライバシー権などわが国の国民の人権にとって重要な意義を持つこれらの研究会の検討内容が極めて内密裡行われているようにとしか思えない点は許しがたいと思う。特に「朝日新聞」だけでなく、これら行政機関の取組みに関し、メディアの報道にあり方や内容は、欧米のメディアと対比したとき極めてお粗末といいたい。例えば、朝日新聞は5月20日朝刊で「ビッグデータ不正利用　監視へ：17年にも第三者機関設置」と題する記事を載せた。

その記事の冒頭の解説文を一部引用する。「総務省は、インターネットの利用などで蓄積された情報『ビッグデータ』を企業など使う際、個人情報が保護されている同化を監視する第三者機関を2017年にもつくる方針を固めた。ビッグデータを解析すると個人の行動などが特定される可能性があるため、プライバシー情報の流出をチェックしたり、行き過ぎた個人情報の利用には是正命令を出したりする。総務省の研究会が20日に、第三者機関の設置を求める報告書案をまとめる予定。(以下略す)」

この記事を読んでまず気が付くのは次の疑問である。
(1)いかなる研究会で検討されているのか?この回答を見出すに筆者は約5分かかった。キーワード検索でも困難である。総務省のサイトから検索をかけても「ビッグデータ」では結果は出てこない。

筆者が原稿を書くとしたら冒頭では次のような内容の原稿を書くことになろう。なお、ブログであればこれらの研究会サイトへのリンクが容易であるが、新聞記事の限界か？改めて総務省サイトからたどって行くしかない。

「総務省は、平成24年11月から「パーソナルデータの利用・流通に関する研究会」（座長：堀部政男一橋大学名誉教授）を開催し、プライバシー保護等に配慮したパーソナルデータ（個人に関する情報）のネットワーク上での利用・流通の促進に向けた方策について検討を行ってきた。このほど同研究会において取りまとめた報告書（案）「パーソナルデータの利用・流通に関する研究会」を取りまとめ、平成25年5月20日（月）から5月31日（金）まで、意見を広く公募することとした。 (以下は略す)」

なお、この研究会の担当は「情報流通行政局情報セキュリティ室」(メール宛先：itsecurity_
atmark_ml.soumu.go.jp)である。以上説明したとおりあくまで報告書案の段階であり、第三者機関設置はこれからの検討課題である。メディアはミスリードを避けねばならない。

(2) 個人情報保護法の中で検討されてきた「第三者機関」と今回提起されている「第三者機関」は法的な意味や機能の差はいかなるものか。 政府や業界は本当に設置する気があるのか。5月24日に参議院で可決、成立した「行政手続における特定の個人を識別するための番号の利用等に関する法律案」の第6章　特定個人情報保護委員会(36条～77条)といかなる形で権限や機能が行われるのかが極めて不透明である。

(3)ビッグデータだけの問題でなく、そもそも個人情報収集そのものをビジネス目的とするIT情報業者さらにはプロバイダーや通信事業者から共通番号をはじめ、わが国でますます多様化する個人情報を保護する法制度や運営体制は極めて心許無い。


********************************************************

Copyright © 2006-2013 福田平冶(Heiji Fukuda)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

米大学が基幹インフラのコントロールシステムへのサイバー攻撃の検出・隔離アルゴリズム開発を発表

　わが国のサイバー攻撃などの関する関係者は、米国のサイバー攻撃に対する国を挙げての取組みについて本年2月12日に公布された「重要インフラのサイバー・セキュリティの改善にかかるオバマ大統領令(Executive Order -- Improving Critical Infrastructure Cybersecurity)」を必ず目を通していよう。

このような中で、去る5月16日、ノースカロライナ州立大学の研究グループが標記の研究報告をまとめた旨緊急リリースした。この論文の標題は「D-NC(distributed network control)システムのための安全な分散制御技術方法の集合と回復方法の分析(Convergence and Recovery Analysis of the Secure　Distributed Control Methodology for D-NCS)」である。

　この研究成果の発表は、きたる5月28日～31日、台湾の台北で開催されるIEEE(米国電子電力学会)国際シンポジューム(2013 IEEE International Symposium on Industrial Electronics (ISIE 2013))5月30日の13:00-14:50のセッション(筆者注1)で行われる。

　筆者はこの分野の専門家ではないため、同大学のリリース文の概要のみ紹介し、必要と思われる範囲で補足する。

　なお、今回のシンポジュームの参加国や発表者一覧を良く見ておいてほしい。IT分野でも急速に発展している国とりわけ中国の大学や中国の海外への進出研究者が多いことも注目すべきであろう。

１．ノースカロライナ州立大学の研究グループ研究報告リリース概要
　　同大学のサイトで閲覧可能な論文は6頁ものである。

(1)同大学の研究者は、輸送、電力やガス他の重要インフラの調整のため米国中をつなぐネットワーク制御システムに対するサイバー攻撃を防御、隔離のためのソフトウェア・アルゴリズムを開発した。

　これらネットワーク化された制御システムは、本質的にコンピュータと物質である端末の間を接続し、コントロールするものである。例えば、近代的な建物では温度センサー、暖房システムやユーザーコントロールシステムがネットワークで繋がれている。これら以上に、大きなスケールのシステムが全米ベースでの輸送や、電力などエネルギー制御システムが極めて重要になっている。しかし、これらの多くがワイヤレスやインターネット接続に依存するため、これらシステムはサイバー攻撃の被害を被りやすい。

　近年問題となった“Flame”や“Stuxnet” (筆者注2)(筆者注3)による攻撃被害は 高額でかつ注目を浴びた攻撃の例である。ネットワークで繋がれた制御システムがますます複雑化するのに対応してシステムの設計者はシングルまたは集中化したハブまたはブレインを介した端末制御や「エージェント」から離れ、その代わりに設計者はシステム・エージェントをミツバチ等の脳の集合(bunch of mini-brains)(筆者注4)のように同時に働かせる分配されたネットワーク・コントロール・システム(D-NCSs)の開発に取り組んだ。これによりシステムはより効率化に運用できるようになり、今日この分散システムは安全に運用されている。

(2)ノースカロライナ大学の研究者はサイバー攻撃に対し、D-NCSsの個々のエージェントがいつ感染されたかにつき検出できるソフトウェア・アルゴリズムを開発した。さらに、同アルゴリズムは感染したエージェントを隔離し、感染されていないシステムの残りの部分を保護し正常な機能を継続させるのである。

　このことが集中化した設計において中央のコンピュータがハッキングされるとシステム全体が感染することに比較して、中央コンピュータハブに依存するシステム上でD-NCSsに耐性とセキュリティ上の優位性をあたえる。

(3)本報告書の作成者であるMo-Yuen Chaw博士は「これに加えて、我々がわれの開発した安全性をもつアルゴリズムは、小さな修正のみで直接既存の分散制御システムを運用するコードに組み込むことが可能であり、既存のシステムの完全なオーバーホールを必要としない」と述べ、また、もう1人の作成者である同大の博士課程学生Wentye Zengは「我々はこのシステムにつきデモを行い、現在さらにアルゴリズムの検出率とシステムの最適化に関するさまざまなサイバー攻撃シナリオの下での追加的テストを進めている」と述べている。

２．この研究は米国の国立科学財団(National Science Foundation)により支援(NSF-ECS-0823952“Impaired Driver Electronic Assistant (IDEA)” project.)が行われたものである。


(筆者注1) SS11 1 - Control and Filtering for Networked Systems

Hour: Thursday May 30, 2013：13:00-14:50のセッション

Title: Convergence and Recovery Analysis of the Secure Distributed Control Methodology for D-NCS

Authors:Mr. Wente Zeng, North Carolina State University, USA

Prof. Mo-Yuen Chow, North Carolina State University, USA

(筆者注2) 今回取り上げたレポートの記事は“Homeland Security News Wire”の記事で知った。なお、同メディアの記事は“Flame”や“Stuxnet”のリンク先は同大学のリンク先をそのまま引用していることや本文が同大学のリリース文を転用している。そこまでやるなら、“Flame”については、カスパルスキー・ラボのレポート「Kaspersky Lab and ITU Research Reveals New Advanced Cyber Threat(2012年5月)」、また“Stuxnet”についてはシマンテックのレポート「W32.Stuxnet Dossier」等を引用すべきと考える。“Homeland Security News Wire”自体、独自の取材網にもとづき幅広く関連テーマをタイムリーに取材しているだけに今回の記事内容は残念である。

　なお、ドイツのジーメンスが2010年に“stuxnet”攻撃等ハッカーに耐性を持つ工場など施設のハッカー対策の当面の課題「Building a Cyber Secure Plant」をまとめている。一部参考になろう。

(筆者注3)筆者も2012年9月23日のブログ「米国大手銀行等に対するイランが後ろ盾のサイバー攻撃やイスラエルの銀行等に対する攻撃とその対応問題」において“Flame”や“Stuxnet”につき簡単に解説している。

(筆者注3)わが国では” mini-brains”といってもその訳語はオンライン辞書にはない。昆虫研究者では常識であるのであるが、筆者はまったくの門外漢である。米国の関係サイトを調べていたら連邦保健福祉省・国立衛生研究所・バイオテクノロジー情報センター(NCBI)のサイトがいくつかの論文を取り上げていた。“Costs of memory: lessons from ‘mini’ brains”,“Searching for the memory trace in a mini-brain, the honeybee”である。また、山田養蜂場ミツバチ研究支援サイトからも一部抜粋しておく。

「昆虫の研究者たちは、昆虫の脳を微小脳（micro-brain あるいは mini-brain）と呼んでいるが、ショウジョウバエとともに、ミツバチをも材料とする匂いや味処理系の研究も、そうした微小脳研究において重要な位置を占めるようになってきている。社会性昆虫の知能を研究テーマにする研究者たちは、ミツバチ単独というよりは、複数の昆虫を研究材料にしている。だが、ショウジョウバエは単独で生活しているから、集団で生活しているミツバチは社会行動学研究の優れたモデル動物だと言えよう。」


********************************************************

Copyright © 2006-2013 福田平冶(Heiji Fukuda)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution.