Posts

IoTセキュリティ

【コラム】 安全だと思ったWi-Fiセキュリティ、WPA2が崩れた。

「WPA2(Wi-Fi Protected Access 2)」も崩れた。Wi-Fiセキュリティの不安というのはいつも話題になっていたが、そのたびにWPA2は唯一の安全な方法としておすすめされたりした。以前の「WEP(Wired Equivalent Privacy)」に比べて、WPA2は名前から’Protected’だったので、何となく十分に保護されているような気がした。セキュリティ専門家たちもWPA2だけは安全だと言ってたので、利用する人たちは安心した。

 

1997年に導入されたWEP方式は、2001年に致命的なセキュリティ脆弱性が発見され、この代わりにセキュリティを強化した’WPA(Wi-Fi Protected Access)’標準が制定された。しかし、TKIP(Temporal Key Integrity Protocol)方式のセキュリティプロトコルを使用するWPAもたった60秒以内にハッキングできるという事実が明らかになった。幸いに、その脆弱性はTKIP暗号化アルゴリズムではなく、AES(Advanced Encryption Standard)方式を使用することによって回避することができた。また、WPAに続いて、AESに基づいたCCMP(Counter Cipher Mode with block chaining message authentication code Protocol)を基本に使用するWPA2が登場し、今日までWi-Fiネットワークプロトコルセキュリティ標準として位置づけられている。

 

それで、セキュリティ専門家たちも「WPA2を使いなさい!」、「WPA2は安全です!」と強く主張したのだ。ところが、そのWPA2まで崩れたのだ。その経緯を見てみよう。

 

「KRACK」にクラック

WPA2を狙った「KRACK(Key Reinstallation AttaCK)」は、名前の意味そのままKeyを再設定する攻撃である。WPA2プロトコルの鍵管理脆弱性を攻撃する。米国国土安全保障省(DHS)配下の情報セキュリティ対策組織であるUS-CERT(United States Computer Emergency Readiness Team、アメリカのコンピュータ緊急対応チーム)では、KRACKの危険性について「復号化・パケットの再生・TCP接続ハイジョキン・HTTPコンテンツ・インジェクションなどが影響を受ける。プロトコル自体の問題であるため、WPA2標準のほとんど、またはすべての部分に該当する。」と言った。

 

KRACK攻撃者は、Wi-Fiネットワーク過程に介入し、鍵を再設定することで、これまで安全に暗号化されていると信じて疑わなかった情報、例えばクレジットカード番号、パスワード、電子メール、メッセージなどの敏感な情報を盗み取ることができる。これに、Wi-Fiを使っていた人たちは大きな混乱に陥った。

 

「WPA2は信じても良いって言ってなかった?」、「暗号化は安全だといつも言ってたでしょう!」「AESも不安というわけか!」

 

これは当然な反応だ。それほどWPA2に対する信頼が堅固だったのだ。そして、攻撃による被害規模は想像もできないほど深刻だ。考えてみよう。私たちはWi-Fiを通じて、どれほど多くの、そして危険な情報をやり取りしてたのか。混乱は、当たり前のことだ。

 

しかし、混乱は問題に対する誤解を起こすこともある。「暗号化してもすべてやられるのではないか!」という怒りをよく見た。結論から言えば、そうではない。KRACKはWPA2セキュリティプロトコルのfour-way handshakeプロセスに非正常的に介入して、無線アクセスポイント(Wireless Access Point、WAP)ではなく、利用者クライアントに影響を与える攻撃であり、プロセスのセキュリティを証明するのに使用される数学、つまり暗号化を無用の長物にしている攻撃ではない。

 

「それではこれからはWPA2を使ってはいけないのか?」

 

これもまた、そうではない。クライアントセキュリティ・アップデートなどに対する確認、そしてアクセスポイント機器のクライアント機能解除などの措置を取らなければならないが、すぐWPA2の使用を中断してはならない。誇張して話すと、代案がない。

 

ふと思い出す昔話

 

第一、裏切り。

 

裏切りは、信じたほど痛い。信頼が深かったら、その分痛い。そのために、相互間に重ねた道義的な信頼関係を壊す行為である裏切りは、さらに悪い行為に取り扱われる。古代から裏切り者は獣とみなした。ダンテの新曲を見ると、地獄は逆に立てた円錐形になっているが、裏切り者はその円錐の一番下にいる。地獄の底には、自分の弟であるアベルを殺したカイン、自分を信じたカエサルを暗殺したブルータス、イエスキリストを裏切ったイスカリオテのユダが地獄で最もあくどい悪魔たちにかみちぎられている。そういう文章を書くほど、裏切りという行為は嫌がれるのだ。

 

第二、スケープゴート。

 

総体的な問題がある。 社会的な、つまりシステムの問題だ。問題を正すか、それとも問題ではないように、お互い合意して解決するはずだが、システム的な問題のほとんどがそうであるように解決が難しい問題だ。そういう時、犠牲物を利用する。古代イスラエルでは、贖罪の日になると羊を立てて、人間の罪をこの羊が代わりに負って去ると宣言した後、荒れ地に追い出したりする風習があった。そのシステムの罪は、羊と一緒にシステムの外に行ったから、罪がすべて消えたという、解決法のない解決策だ。

 

信じて疑わなかったWPA2が裏切った。信じたほど痛い。
しかし、WPA2プロトコル問題を暗号化に負わせるのは、誤解から発生した問題だ。

過去のWEPそしてWPAがそうであったように、WPA2も方式を改めなければならないが、
暗号化は依然として信じられる、事実上唯一のセキュリティ方法だという事実は、変わらない。

S54543

【コラム】 クレジット取引セキュリティ、P2PE暗号化で安全

 

どんな国であれ、外国を訪問した外国人は、大小のカルチャーショックを経験する。

自分が精神的に属している母国の文化とは全く異なった異国の文化を経験した際感じる衝撃は、2回にわたって起こる。初めは、慣れていない文化を接したときの衝撃と、その国の文化にある程度慣れて、自分の国に戻った時、今更感じるようになる見慣れない感じだ。

 

、クレジット取引の

韓国人として、日本で生活しながらも少なからぬ文化衝撃を経験した。その中でも代表的なものが現金使用に関する文化だ。韓国では、本当にクレジットカードだけ持って生活した。クレジットカードで電車・バス・タクシーなどの公共交通を利用したり、ご飯を食べたり買い物をするなど、あらゆる日常的な行為をカード一つで解決した。最近は、カードも面倒になり、財布さえ持たないまま、スマートフォン一つだけを持って外に出ていた。コンビニではスマートフォンを端末機にかざすと,直ちに決済が完了される。インターネットショッピングも、銀行取引も全てスマートフォンで処理ができるから、本当に携帯一つで日常のあらゆることを解決できるのだ。

 

しかし、日本に来てみたら、いつも現金を準備しなければならないのが一応不便だった。クレジットカードを取り扱わない店も意外にかなり多く、カード決済はできるが、決済処理にかなり長い時間が所要される店も多かった。そうなると、「カード決済できますか?」と問うこともちょっとはばかりがあった。韓国と文化が完全に違う。確かに、代々引き継がれてきた老舗にNFC方式のモバイルペイ機能を支援する最新のPOS端末機が置かれているのもちょっと変に見えるようだ。それにも便利さの中毒性は、本当に恐ろしいもので世の中が少しずつ少しずつ変化していく時はその変化に気付かないが再び過去に戻ろうとしたらとても不便で、絶対戻れないのだ。それで、日本の現金文化はまだとても不便に感じられる。

 

とにかく、そうするしかないから現金を持って外出することに慣れるしかなかった。そして、ある程度慣れてきたとき、韓国に戻った。すると、またこれは変な気がすることになる。この便利さは、いや、これは本当にちょっと恐ろしいことではないか。これは大胆過ぎるじゃないか。クレジット決済のセキュリティ規格の中で「トラック1」に記録される銀行のアカウント情報、「トラック3」の提携社の情報などの決済と直接関連していない情報を保存するトラックとは違って、クレジットカードのカード番号、発行日、有効期限などの決済過程で必需的な情報を保存する「トラック2」の敏感情報は、もし奪取された場合、誰でもどこでも任意で決済することができる。それでパスワードを含めたトラック2データは、国際闇市場で1つあたり$4,000程度で取引されるとても価値が高い情報だ。そのような情報が特別な確認手続きもなしに、こんなに広範囲にやたらに流通されても、果たして安全なのか? 5万ウォン以下の取引は、署名手続きも省略し、そのまま決済される。便利だが、不安だ。

 

安全だが難しい「PCI DSS

もちろん、クレジット取引安全のための装置はある。クレジット取引の安全を担保する最も一般的な基準であり、事実上の国際標準は「PCI DSS」だ。「PCI DSS」とは、クレジットカード会員のカード情報および取引情報を安全に管理するためにクレジット取引の全過程にかけて、取引と関連した者らが共に遵守しなければならないクレジット産業界のセキュリティ標準である。PCI DSSが登場する前には、クレジットカード会社ごとにそれぞれ異なるセキュリティ基準を要求した。それで、クレジットカード加盟店の事業者たちは各会社の異なる基準を全て合わせなければならなかったが、これは難しくて費用もたくさん払わなければならなかった。このような不便さを解消するため、JCB、アメリカン・エキスプレス、Discover、MasterCard、VISAなどの国際的なクレジットカード企業が共同で委員会を組織し、「PCI DSS」という規格を策定した。会社たちの約束に過ぎないが、事実上の国際標準として通用される。

 

クレジット取引の基準として「EMV規格(EuroPay、MasterCard、Visaの間で合意したICカード統一規格)」を使用する日本もPCI DSS規格に準拠したセキュリティ対策を樹立している。2020年3月を目標にPCI DSSに準拠してEMV基準ICカードのセキュリティ対策を打ち出した。ところが、難しくて費用もかかるのでPCI DSSを打ち出したわけだが、これも相変わらず難しくて複雑だ。POS加盟店の基準でPCI DSS規格を準拠するための努力と費用はかなりであるのだ。小さくてきれいな店一つを出したいという夢があっても、クレジット取引基準を合わせることが難しくて最初からあきらめなければならないほどだ。

 

このような問題を韓国は「VAN(Value Added Network)」会社がクレジット取引プロセスの中間段階で解決する。VAN会社らは、クレジットカード会社の代わりに加盟店を募集し、端末機などのデバイスを提供して、カード決済承認の過程を中継してくれて、売上データを整理する伝票の買い取りサービスなどを提供する。クレジットカード会社と加盟店の面倒な仕事を代わりにしてくれるわけだから、一応便利だが、取引1件ごとに別途の課される手数料が決して少なくない。「VAN手数料引き下げ!」が政治家たちの選挙公約になるぐらいだ。開業の時、併せて多く課すか、商売しながら少しずつ課すかを選択することだ。そして、真ん中でマージンを得るという事業の性質のため、大手の流通社を相手にした不正腐敗などの事件もたびたび起こる。高コスト問題をなんどか避けようとする間、むしろはるかに大きくて恐ろしい他の問題に会ったのだ。

 

クレジット取引セキュリティ、P2PE化で安全

PCI DSSは安全だ。しかし、加盟店の立場では難しいことでもある。これは、まるで「猫の首に鈴をつける。」のような問題だった。ネズミの立場では、猫の首に鈴をつけさえすれば安全だが、これは一体つける気にならないのだ。

しかし、2017年3月、改正された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 2017」が発表された。該当ガイドラインが2016年のガイドラインと特に違うところは、POS加盟店に要求されたセキュリティ対策の中で非保持とPCI DSS対応の部分で、「非保持」の方法として「暗号化」を追加し、その内容としてPCI DSS規格の中で「PCI P2PE(Point to Point Encryption)の構造を言及しているというところだ。「PCI P2PE」とは、カード会員の敏感情報をカードリーダ端末機から決済が承認されて処理されるサーバまで安全に転送し、処理する方式に対する規定である。その基になる技術は、「暗号化」だ。そのまま暗号化ではなく、「P2P暗号化」、すなわちクレジットカード端末機からカード会社のアプリケーションサーバを経て、データベースに保存されるまで、データが移動する全過程にわたる「エンドツーエンドの暗号化」だ。これは「E2E(End to End)」暗号化とも呼ぶ。いわば「財布からサーバまで」の意味だ。

 

P2PEまたはE2EEが現実的でないという主張をする人々もいるが、これは、当該用語を文字通りの意味で理解したためだ。エンドツーエンドの暗号化は、端末機から情報を暗号化して、通信区間でSSLを使ったり、区間暗号化を活用することで、何の問題もなく簡単に実装できる技術である。安全で、簡単だ。それで、難しくて複雑なPCI DSS規格の中でまずP2PEから適用しなければならないということだ。他の国々でもすでに一般的に実施している措置だ。韓国では、P2PE措置を取らなかった新規加盟店は、事業を開始することもできない。

 

その十分な安全性の根拠は、「DUKPT(Derived Unique Key Per Transaction)」だ。「DUKPT」とは、カードリーダー端末機とサーバの間に敏感情報が伝送されるたびに毎回新たに生成される「One Time Encryption Key」を使用し、暗・復号化する鍵管理技術だ。すべてのクレジット取引セキュリティは、固有の暗号鍵を使用する。しかし、鍵管理に問題が生じるのなら、ドアーに錠をかかって、錠の隣に鍵をおくことと同じく、全く安全ではない。その中でも最も脆弱な状態は、一つの鍵を暗号化と復号化に同じく使用することだ。錠をかけてすぐ鍵を誰かにあげることと同じだ。しかし、DUKPTは敏感情報を送信するたびに、一度だけ使用される鍵を使用するため、万が一、鍵が露出されることが起きても当該鍵は、ただそのトランザクションにだけ有効するため、悪用される危険が非常に少ない。したがって、DUKPTはPCI DSS規格に最も適合した暗号化方式で勧められるのだ。

 

結論は、クレジット取引の際DUKPTなどの適切な暗号化技術を利用すれば、十分なセキュリティ効果を得られるということだ。リーダー端末機でカード情報を読む同時に、情報を暗号化してしまえば、その情報は誰が盗んでも使えないからそもそも最初から読まないことになる。そして、そのままの状態でサーバまで送り、また、サーバから受け取る情報もまた同じく処理すれば、クレジット取引の過程のどこにも情報がないのと同じだ。盗もうとしても、盗まれない。それで、適切な暗号化技術を利用すれば、十分なセキュリティ効果を得ることができるのだ。

 

つまり、PCI DSSの中で「P2PE」エンドツーエンド暗号化を通じて「トラック2」の情報だけ財布からサーバまで安全に守れば、十分なセキュリティを達成することができる。

 

 

ペンタセキュリティ、ビジネス向けのクラウドWebアプリケーションファイアウォール「WAPPLES Cloud」をリリース

ペンタセキュリティ、ビジネス向けのクラウドWebアプリケーションファイアウォール「WAPPLES Cloud」をリリース

既存のWAPPLES V-Seriesを統合し、クラウド事業者向けのソリューション発売
暗号プラットフォームとWebセキュリティグローバル企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、クラウド事業者のためのWebアプリケーションファイアウォールである「WAPPLES Cloud(ワッフルクラウド)」を1月27日発売したことを明らかにしました。韓国では昨年の9月、「クラウドコンピューティングの発展及び利用者保護に関する法律(以下、クラウド発展法)」が制定され、企業や公共機関におけるクラウドサービス使用率が急速に高まることと同時に、クラウドセキュリティに関する関心も急増しています。2011年、業界初となるクラウド専用のWebアプリケーションファイアウォールであるWAPPLES V-Series(ワッフルブイシリーズ)を発売したペンタセキュリティは、韓国最大のクラウドサービスであるKTのuCloud、日本ソフトバンクのWhiteCloudおよびDSRのStarCloudなどとパートナーシップを結び、クラウドWebアプリケーションファイアウォールサービスを提供してきており、昨年は韓国の政府機関で使用するG-クラウドに適用が可能なWeb API(Application Programming Interface)を提供するなど、大規模なクラウドWebアプリケーションファイアウォールサービスを着実に進行してきました。

今回披露するWAPPLES Cloudは、既存のWAPPLES V-Seriesを利用することができるスタンダードエディション(Standard Edition)と多様なクラウドおよびエンタープライズ環境に適合する拡張バージョンであるビジネスエディション(Business Edition)で構成されています。特に、新たに披露するビジネスエディションはPublic Cloudだけでなく、Private Cloudを構成し、対顧客のWebアプリケーションファイアウォールサービスを展開できるサービスモデルやアーキテクチャを提供します。 大量のトラフィック処理および運営のために、負荷分散、Auto Scaling、そして対顧客向けの統合管理システムなども備えており、Webアプリケーションファイアウォールを利用してビジネスを展開しようとする事業者に対しカスタマイズしたWebセキュリティソリューションを提供するというわけです。

ペンタセキュリティの最高技術責任者であるDS Kimは「クラウドセキュリティに対する要求が高まっている中で、クラウド事業者が安心して対顧客サービスを運用できるようにするためにWAPPLES Cloudをリリースすることになった」とし、「Webハッキング遮断サービスであるクラウドブリック(Cloudbric)とともに、ペンタセキュリティのクラウドセキュリティ戦略がクラウド提供者やWebを利用してビジネスを行う事業者にも提供できるチャンスになり、相乗効果を生み出すと期待される。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201