Androidの脅威が大きく増えた理由は、2つの要因から説明できる。経済的なものと、プラットフォーム的なものだ。まず、Androidプラットフォームそのものが非常に普及しており、新たに販売される携帯電話の中では最も多く、70%以上の市場シェアを占めている。第2に、OSがオープンな性質を持っており、アプリの作りやすさと、(非公式な)アプリケーションマーケットの多様さが合わさって、Androidプラットフォームのセキュリティに関する状況に負のスポットライトを当てている。
今後については、何年も前のWindowsのマルウェアに見られたように、この傾向が続くことは確実だ。従って、2013年にもAndroidユーザーを標的とした攻撃や、ゼロデイ脆弱性、データ漏えいが数多く起こることが予想される。
2012年6月、世界最大のビジネス向けソーシャルネットワークの1つであるLinkedInが、身元のわからない攻撃者にハックされ、640万人以上の人のパスワードハッシュがインターネット上に漏えいした。セキュリティ研究者は、高速なGPUカードを利用し、なんと元のパスワードを85%も復元した。いくつかの要因がこれを可能にした。まず、LinkedInはパスワードをSHA1のハッシュとして保存していた。これはよく使われているMD5よりはましだが、最新のGPUカードはSHA1のハッシュを驚くべき速度でクラックできる。たとえば、400ドルで手に入る「Radeon 7970」は、1秒あたり20億件近くのSHA1のパスワードあるいはハッシュをチェックすることができる。これを、マルコフ連鎖の利用などの最新の暗号学的知見を用いた全数検索攻撃やマスク攻撃と組み合わせることによって、ウェブ開発者は暗号化されたパスワードの強度について新たな教訓を学んだ。
DropBoxが、同社がハックされ、ユーザーアカウントの詳細情報が漏えいしたと発表したことは、ハッカーが有名なウェブサービスの貴重なデータ(特にユーザーの認証情報)を標的としていることを示すもう1つの事例となった。2012年には、Last.fmとGamingoでも同様の攻撃がみられ、800万件以上のパスワードが表に漏えいした。
この問題の大きさを把握するため、Korelogicは「InfoSec Southwest 2012」のカンファレンスで、複数のハッキング事件から得られたものをまとめた、約1億4600万件のパスワードハッシュを含むアーカイブを公開した。それらのうち、1億2200万件がすでにクラックされている。
これらの攻撃は、何百万ものアカウントの情報が、高速なインターネット接続経由で1つのサーバから得られるこの「クラウド」時代には、データ漏えいに対して新たな考え方で望む必要があることを示した。われわれは2011年に、ソニーの「PlayStation Network」のハッキングでこの問題を学んでいる。2012年にこのような大規模な漏えいとハッキングが続いたのも、驚くべきことではないかもしれない。
(編集部注:米CNETによる「2012年を象徴するITセキュリティ重大ニュース」は、前編と後編の2回に分けて翻訳して公開します。後編は12月31日の公開を予定しています)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
トラディショナルからモダンへ進化するBI
未来への挑戦の成功はデータとともにある
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス