BLOG

App Storeでウイルス発見! 「トロイの木馬」の注意点

2019.11.30

これまで、iPhoneやiPadは、Android端末よりもセキュリティ上で強固であると言われてきました。

その理由は、iPhoneやiPadは、App Storeからしかアプリのダウンロードができないという仕様にあります。

App Storeは、Apple社が管理しており、厳格な審査基準が設けられており、アダルト系のアプリやマルウェアなどのアプリは、App Storeの審査に通らず、結果として、手元のiOS端末にダウンロードされることがありませんでした。

　しかし、これを覆すニュースが2019年10月28日に発表されました。

その内容は、App Store内の17個のアプリからトロイの木馬というマルウェアが発見されたという内容です。では、このトロイの木馬というマルウェアはどのような驚異があるのでしょうか。今回は、App Storeから見つかったトロイの木馬についてご説明します。

１．「トロイの木馬」とは
　トロイの木馬は、ギリシャ神話において、トロイアの町に入り込むために木馬の中に兵を隠した「トロイの木馬」から来ており、マルウェアと呼ばれる好ましくないプログラムを、普通のプログラムに潜り込ませる手法のことを言います。
　今回見つかったトロイの木馬も、表向きは有用なプログラムでありつつも、バックグラウンドで詐欺の広告を表示するためのプログラムが動作しているという、トロイの木馬となっていました。

２．今回の攻撃方法の概要
　今回の攻撃では、該当のアプリをインストールしたユーザが、そのアプリを使用した際に、ユーザの見えないところでC&C（コマンド＆コントロール）サーバという攻撃用のサーバに通信を行い、広告を表示、実行するためのコマンドを受信して、ユーザの気づかないところで広告のクリックスルーを行うというもので、一部において、高額なコンテンツ・サービスを実行させられるという被害がでています。

３．今後の動向

　今回の事例を受け、App Storeにおいては、悪意のあるプログラムの検出ツールを更新したと発表していますが、サイバー攻撃は常に進化し続けており、現在発見されていない新たな手法でApp Storeの審査を通り抜ける悪意あるアプリが出現することが懸念されています。そのため、App Storeからアプリをダウンロードする際においては、本当に必要なアプリなのか、信頼できる提供元なのかを自信で確認した上でダウンロードを行うことで、自分自身のスマホ、タブレット端末を守る必要があります。

総合探偵社ＫＡＹ

パスワード解析２

2019.11.16

前回ブログに引き続き、パスワード解析についてお話したいと思います。

～パスワードを解析する方法～

前回、パスワードは長く・複雑なものをつければ解析されにくいと説明しました。

この説明で想定した解析方法は総当たり攻撃（ブルートフォースアタック）と言われる方法で、すべてのパターンを１つずつ試行する方法での解析時間です。この解析方法が最も時間の係る解析方法ですが、簡単なパスワードであれば、ほんの数秒で突破できるのは、説明したとおりです。この他にも、パスワードの解析方法は様々なものがあります。

①辞書攻撃（ディクショナリアタック）
パスワードを解析する方法のうち、もっとも使用頻度が高いのが、このディクショナリアタックです。辞書に載ってる単語をそのまま使用したり、一部を変換させただけのようなパスワードは、この攻撃ですぐに解析することができます。例えば「P＠ssW0rd」というパスワードを設定したとします。英大文字小文字数字記号が全部含まれており、桁数も８桁なので総当たり攻撃だと数百年かかる強度がありますが、「Password」という単語を有している辞書攻撃であれば、施行する対象は一気に下がりますので、結果として簡単に解析することができるのです。

②リスト攻撃
　最近ではどのサービスを使用するにもパスワードの設定を要求されるため、同じパスワ　ードを使いまわしているユーザが非常に多いのが実態です。そのため、とあるサービスでパスワードが漏洩すると、そのパスワードをリストとして販売している業者が存在します。そのリストを購入してパスワードを解析するのがリスト攻撃と言われる手法です。
　この攻撃は、最近、ハッカーの間で主流になりつつあるパスワードの解析方法で、LINEやSNSだけでなく、様々なサービスがリスト攻撃を受けています。

③ソーシャルエンジニアリング
　ソーシャルエンジニアリングとは、人を介したパスワードの解析方法で、例えば、何らかの手段でパスワードを聞き出そうとしたり、パスワードを盗み見してパスワードを解析する方法となります。他にも、パスワードそのものではなく、誕生日や電話番号などをパスワードに使用している人も多いことから、それらの情報を聞き出してパスワードを解析するのも、この解析方法に含まれます。
　
総当たり攻撃や辞書攻撃、リスト攻撃を、自身でプログラムを組んで実行するのは、非常に敷居の高い解析方法ですが、ソーシャルエンジニアリングに関しては、誰でも容易に行うことができます。パートナーのLINEパスワードなどを解析するためには、まずはソーシャルエンジニアリングから初めて見るといいのかもしれません。ただし、不正アクセス禁止法に抵触することはご理解ください。

総合探偵社ＫＡＹ

パスワード解析（12桁解析で3000年？）

2019.11.02

　パスワードは様々なところで使用されています。パートナーが浮気をしていると疑い、メールやLINEなどのSNSを覗き見しようとしても、このパスワードによってブロックされてしまいます。しかし、果たしてパスワードは万能なのでしょうか？
　今回は、パスワードの解析についてご紹介したいと思います。

１、パスワードの基礎

最近、インターネット等を活用していると、様々な場所でパスワードの入力が求められます。パスワードは、そのユーザが本人であることを確認するために最も手っ取り早い手段として、様々なサービスで使用されています。では、このパスワードは本当に安全なのでしょうか？
　

例えば、銀行のキャッシュカードなどに設定している暗証番号も、ある種のパスワードと言えますが、あの暗証番号は数字４桁で構成されており、パターンとしては１万通りしかありません。そのため、最大で１万回、パスワードの入力を試すことで、その認証を突破することが可能です。しかし、銀行のキャッシュカードでは、３回入力を間違えると、そのキャッシュカードが使用できなくなるという仕組みがあり、実際には１万回のパスワード入力はできなくなっています。
　

この数字４桁のパスワードを他のサービスで使用するとどうでしょうか。たった１万通りしかないパスワードですと、時間さえかければいつかは突破することができます。また、少しコンピュータに詳しい人であれば、１秒もかからずに数字４桁のパスワードを解析することが可能です。
　

そのため、パスワードは、できるだけ長く、複雑にすることが重要とされています。

２、パスワードは頻繁に変更すべき？

つい最近までは、これに加えてパスワードは定期的に変更すべきとされていましたが、定期的にパスワードを変更することによって、安易なパスワード（覚えやすいパスワード）となってしまい、強度が下がるという理由から、最近ではパスワードの定期変更は推奨されておらず、それよりも複雑なパスワードの作成が推奨されています。

では、どの程度複雑であればいいかというと、コンピュータを使用しても、容易に解析できない桁数となります。

３、パスワード解析に要する時間は？

最近の調査では、英小文字だけのパスワードであれば、８桁で８秒程度、10桁で60分程度とこのあたりは容易に解析ができます。

しかし、12桁になると解析に4週間かかります。これを英数字にすると、8桁で1分程度、10桁で1日とこの辺の強度はそこまで高くありませんが、12桁にすると解析に4年かかるとされており、このあたりの強度であれば、十分であると考えることができます。

さらに、英大文字、英小文字、数字を混在させた12桁のパスワードだと3000年、それに記号を加えると、34000年とさらに強度が上がります。

このことから、現状、パスワードは最低でも英数字混在の12桁以上あれば、ほぼ解析は難しいのではと思われます。

総合探偵社ＫＡＹ　