カテゴリー別アーカイブ: セキュリティ

DNAを悪用したサイバー攻撃、遺伝子にマルウエアを埋め込みコンピュータに侵入する

DNAシークエンシング技術は高度に進化しヒトの全遺伝子配列を高速低価格で解明できるようになった。DNA編集技術も進化し、プログラムをコーディングする要領で遺伝子配列を生成できる。いまDNAを媒体とするサイバー攻撃の脅威が指摘されている。DNAにマルウェアを組み込み、これをシークエンサーで読み込むとコンピュータがウイルスに感染する。

出典: Tadayoshi Kohno et al.

DNAセキュリティ研究

これはワシントン大学コンピュータサイエンス学部 (Paul G. Allen School of Computer Science & Engineering, University of Washington) がセキュリティ研究として発表したもので、DNAを使ってサイバー攻撃ができることを示している。バイオサイエンスとコンピュータの交点が攻撃の対象となっている。実際に被害が発生しているわけではないが、この研究は将来の攻撃に対して今から対策を取る必要性を説いている。

システムが攻撃を受ける仕組み

この研究では実際にマルウェアを組み込んだDNA (上の写真、中央部の液体状の物質) を生成し、これでコンピュータの制御を奪うことに成功した。まず、DNAをシークエンサーで解析し遺伝子配列を読み取る。次に、解析された遺伝子配列はコンピュータで処理され遺伝子変異などの知見を得る。しかし、マルウェアが埋め込まれた遺伝子配列をコンピュータで処理するとシステムにウイルスが侵入し制御を奪う。

DNA Processing Pipelineを攻撃

具体的には、遺伝子解析のプロセスは検体 (唾液など) をDNAシークエンサーで処理し塩基 (A, T, C, G) 配列順序を把握する。塩基配列は解析システム (一般にDNA Processing Pipelineと呼ばれる) で処理され遺伝子変異などを検出する。DNA Processing Pipelineは大規模な遺伝子配列を解析し遺伝子変異のカタログを生成するプロセスとなる。研究ではこのプロセスで遺伝子配列を装ったマルウエアがコンピュータを攻撃し制御を奪うことに成功した。

シークエンシング技術の進化

DNAシークエンシング技術はムーアの法則を上回るペースで進化している。シークエンシング技術のトップを走るのがIlluminaで遺伝子解析のインテルとも呼ばれている。Illuminaによるヒトの全遺伝子をシークエンシングするコストは2009年は10万ドルであったが2014年は1000ドルに低下した。この価格破壊が遺伝子解析ビジネスの引き金になっている。(下の写真、Illuminaのシークエンサー「HiSeq」)

出典: Illumina

遺伝子編集技術

同時に、遺伝子編集技術も高度に進化し低価格で特定の配列を持つDNAを購入できる。研究では、マルウエアを埋め込んだDNAを合成するためにIntegrated DNA Technologiesという会社のgBlocks Gene Fragmentsというサービスが使われた。同社はCoralville (アイオワ州) に拠点を置きDNA合成サービスを提供している。gBlocks Gene Fragmentsとは指定された配列でDNAを生成するサービスで、このケースでは生成にかかる費用は89ドルであった。

クルマのハッキングを警告

同学部は2010年にクルマがハッキングされる危険性に関する論文を発表した。クルマの構造が機械部品からエレクトロニクスに進化し、インターネットに接続される構成となっている。研究者は実際にクルマの電子制御部分 (Electronic Control Unit) にハッキングするデモを公表し注意を喚起した。当時はクルマがハッキングされることは想像しにくく、セキュリティに関する意識は低かった。しかし、近年はクルマをハッキングする事例が数多く報告され、論文で指摘された危険性が現実になっている。

DNAビジネスの中心はソフトウェア   

同様にDNAにマルウェアを埋め込んだ攻撃が起こるとは考えにくいのが実情である。DNAシークエンシングやDNA解析システムに関するセキュリティ意識はまだまだ低い。DNAシークエンシング価格の低下で遺伝子配列データが大量に生成されている。DNAビジネスの中心はシークエンシングハードウェアから生成された遺伝子配列データを解析するソフトウェアに移っている。個人向け遺伝子解析やPrecision Medicineと呼ばれる個人に特化した医療サービスなどが普及することになる。遺伝子解析が個人の健康を支える社会インフラになり、システムを安全に運用するためのセキュリティ対策が求められる。

脳科学でサイバーセキュリティを強化、Googleは研究成果をChromeに応用

企業や政府機関はサイバー攻撃に対し多大なコストと時間をかけてセキュリティシステムを構築するが、社員や職員は不審な添付ファイルを開きマルウェアが侵入する。セキュリティ教育で怪しいリンクを不用意にクリックしないよう指導するがフィッシング被害は後を絶たない。なぜ人間は簡単なトリックに騙されるのか、ニューロサイエンスの観点から研究が始まった。

出典: WikiLeaks  

クリントン陣営へのサイバー攻撃

トランプ大統領が就任して以来、ロシア政府との関係が連日報道される。ロシア政府が大統領選挙を操作したとの疑惑で事実解明は進んでいない。一方、US Intelligence Community (米国諜報機関連合体) は大統領選挙でロシアがクリントン候補の活動を妨害したと結論付けている。米国諜報機関によるとクレムリンと関係のある人物がDNC (民主党全国委員会) のメールシステムに侵入し、それをWikiLeaksに提供したとしている (上の写真、窃取されたメールを閲覧できる)。

サイバー攻撃で大統領選が左右された

WikiLeaksに公表されたのはクリントン陣営会長John Podestaのメールで2万ページに及ぶ。この中にはクリントン候補がウォールストリートで講演した内容も含まれ、これらが公開されるとで選挙戦で大きなダメージを受けたとされる。クリントン候補の敗戦理由の一つがWikiLeaksで公開されたメールといわれている。

侵入の手口はシンプル

DNCのメールに侵入した方法はSpear Phishingといわれている。これはPhishingの常套手段で、信頼できる発信人を装い受信者の機密情報を盗む手法である。このケースではPodestaのGmailが攻撃された。Bitlyで短縮されたURLをクリックすると、Gmailログインページが表示され、IDとパスワードの入力を求められた。Podestaは怪しいと感じIT部門に確認したが、結局、このトリックに騙された。この事件は人間の脳の構造が関与しているといわれる。

脳科学とセキュリティに関する論文

脳科学を活用したセキュリティ技術研究が進んでいる。Brigham Young UniversityのAnthony Vanceらは脳科学とセキュリティに関する論文「More Harm Than Good? How Messages That Interrupt Can Make Us Vulnerable」を発表した。この論文は人間の脳はセキュリティメッセージにどう反応するかをfMRI (下の写真) を使って解析した。

出典: Jenkins et al.

マルチタスクでの試験

この研究は人間がマルチタスクを実行 (これをDual-Task Interfaceと呼ぶ) するときに着目し、脳の機能をfMRIで観察した。マルチタスクとは二つの作業を同時にこなすことで、ここでは作業中にセキュリティメッセージを読むタスクが課された。具体的には、被験者に7ケタの数字を覚えることを求め、同時に、セキュリティメッセージに正しく対応できるかが試験された。

マルチタスクでは血流が悪くなる

この時、脳内の血流をfMRIで計測した。対象はMedial Temporal Lobe (MTL) といわれる部位で、ここは長期記憶を司る部分とされる。結果は、被験者がマルチタスクの状態でセキュリティメッセージを読むとMTLの血流が少なくなっているのが観察された。このことはマルチタスクがMTLの活動を低下させ、長期記憶にアクセスしてセキュリティメッセージに反応する機能が著しく制限を受けることを意味する。(下の写真は普通の状態でセキュリティメッセージを読んでいる状態。マルチタスクの時と比べ、オレンジ色の分部で血流が増えた。)

出典: Jenkins et al.

Neurosecurityという研究

これは「Neurosecurity」と呼ばれる研究で、脳科学をセキュリティに応用し製品のインターフェイスを改良することを目指す。論文はセキュリティメッセージを表示するインターフェイスを改良する必要があると提言している。具体的には、利用者が作業を終えたタイムングを見計らってセキュリティメッセージを表示べきだとしている。

研究成果をGoogle Chromeに適用

Brigham Young UniversityはGoogleと共同で、研究結果をブラウザー「Chrome」に応用する試みを進めている。Chromeは「Chrome Cleanup Tool」というセキュリティツールを提供している。これをブラウザーにインストールしておくと、ブラウザーが問題を検知するとメッセージを表示し (下の写真、右上の分部)、利用者にツールを起動するよう促す。このツールを起動することでブラウザーに侵入したマルウェアなどを除去できる。

利用者はメッセージを無視する

便利なツールであるが、メッセージを表示しても利用者がアクションを取らないという問題を抱えている。実際に856人の被験者 (Amazon Mechanical Turkを利用) を使って試験が行われた。この結果、利用者がビデオをみている時にこのメッセージを出すと (下の写真)、79%のケースで無視された。つまり、マルチタスクの状態では利用者はセキュリティメッセージに反応しないことが分かった。このため、セキュリティメッセージはビデオが終わった後に表示するようGoogle Chromeのインターフェイスが改良された。

出典: Jenkins et al.  

Chromeインターフェイス改善

この他にも、利用者がタイプしている時や、情報を送信している時など、マルチタスク実行時には80%のケースでメッセージが無視されることも分かった。一方、ビデオを見終わったタイミングでメッセージを表示すると無視されるケースが44%に下がる。更に、ウェブページがロードされるのを待っている間にメッセージを表示すると無視されるケースが22%と大幅に低下する。これらの研究結果がGoogle Chromeのインターフェイス改善に生かされている。

脳科学に沿ったセキュリティデザイン

企業や政府でPhishing被害が後を絶たないが、これは人間の脳が持っている基本的な属性が大きく関与している。本人の不注意という側面の他に、ブラウザーやアプリのインターフェイスが悪いことが重要な要因となる。忙しい時にメッセージが表示されると、注意が散漫になり、操作を誤ることは経験的に感じている。Brigham Young Universityはそれを定量的に証明し、Googleはこの成果を製品開発に活用している。脳科学に沿ったセキュリティデザインに注目が集まっている。

サイバーセキュリティ崩壊、量子コンピュータが暗号化されたデータを解読する

米国政府はセキュリティに関して異例の警戒情報を発表。量子コンピュータが実用化されると現行の暗号化技術が破られると注意を喚起した。政府や企業は機密情報を暗号化して送受信するが、量子コンピュータが悪用されるとセキュリティが担保されなくなる。暗号化技術は全世界で使われており、量子コンピュータの登場でサイバーセキュリティの屋台骨が崩壊する。

出典: VentureClef  

米国政府の報告書

サンフランシスコで開催されたセキュリティカンファレンス「RSA Conference」 (上の写真) で量子コンピュータと暗号化技術について議論された。NSA (アメリカ国家安全保障局) はこの危険性に関する報告書「Commercial National Security Suite and Quantum Computing FAQ」を公開し、量子コンピュータが暗号化技術に及ぼす脅威とその対応策について述べている。

量子コンピュータの脅威

米国政府は暗号化技術を標準化し、機密データを安全に扱うためには、これら標準アルゴリズムを使うことを推奨している。このため政府や民間システムで規格化された暗号化技術が幅広く使われている。しかし量子コンピュータの登場で、政府が推奨する暗号化アルゴリズムが破られ、安全にデータを管理することができなくなる。

問題点を指摘するが対策は無い

報告書は問題点を指摘するものの、これに代わるソリューションを示しているわけではない。米国では暗号化アルゴリズムはNIST (アメリカ国立標準技術研究所) が管轄する。NISTは米国の標準技術や規格の制定を通し、産業競争力を育成する任務を担っている。現在使われている暗号化技術はNISTが標準化し、米国だけでなく全世界で使われている。しかし、量子コンピュータに対応できる暗号化技術 (Post-Quantum Cryptographと呼ばれる) については解を示していない。NISTが主導して開発すると述べるに留まっている。

影響を受けるアルゴリズム

NSAが問題としているアルゴリズムはPublic-Key Cryptography (公開鍵暗号) と呼ばれる方式である。Public-Key CryptographyとはPublic Key (公開鍵) とPrivate Key (秘密鍵) のペアを使ってデータを安全に送受信する仕組みを指す。Public Keyでデータを暗号化して送信し、受信者はPrivate Keyでデータを復号化する。実装方式としてはRSA、ECC (Elliptic Curve Cryptography) 、Diffie-Hellmanの三つのアルゴリズムが対象となる。これらのアルゴリズムを搭載したシステムは量子コンピュータの登場で安全性が保障されなくなる。

生活への影響は甚大

Public-Key Cryptographyはインターネットで幅広く使われ、影響の範囲は我々の生活に及ぶ。オンラインバンキングで端末と銀行が交信する際はセキュアなプロトコール「HTTPS」が使われる (下の写真、Bank of Americaとの通信)。ログインIDやパスワードは暗号化プロトコールTransport Layer Security (TLS) で暗号化して送信される。仮に経路上で通信が第三者に盗聴されてもIDやパスワードは解読できない仕組みになっている。量子コンピュータの登場でこの安全性が崩壊し、世界のウェブ通信が危機にさらされることとなる。

出典: Bank of America  

なぜ量子コンピュータは暗号化アルゴリズムを敗れるのか

量子コンピュータが暗号化アルゴリズムを破るメカニズムは、量子コンピュータが超高速で処理する能力があるだけでなく、その数学モデルと深い関係がある。量子コンピュータはどんなアプリでも処理できる訳ではなく、特定アルゴリズムだけを超高速で実行する。1994年、Bell Laboratoriesの研究員Peter Shorは、量子コンピュータで整数因数分解 (integer factorization) の問題を解くアルゴリズムを開発した。このアルゴリズムは「Shor’s Algorithm」と呼ばれ、暗号化技法の中心部である数学問題を解くことができるとして早くから課題が指摘されていた。

量子コンピュータの登場

その当時は量子コンピュータの研究開発は進むものの、実際に稼働するモデルについては疑問視されていた。更に、商用モデル登場までには長い年月を要すとみられ、Shor’s Algorithmの危険性は論理の世界に留まっていた。ここにきて、量子コンピュータの開発速度が上がり、危険性が現実のものになってきた。カナダ企業D-Waveは製品を出荷し、IBMはクラウド経由で量子コンピュータを提供している (下の写真)。GoogleやMicrosoftにおける量子コンピュータ研究も進んでいる。Shor’s Algorithmを解く能力を持つ量子コンピュータはまだ存在しないが、Public-Key Cryptographyの安全性が脅かされることが現実の問題となってきた。

出典: IBM Research  

Googleが開発するNew Hope

これに対応するためにPost Quantum Cryptographyの開発が始まった。Googleもその一社で、量子コンピュータの登場に備えた暗号化アルゴリズムを発表した。これは「New Hope」と呼ばれ、ブラウザーとサーバ間の通信を安全に行う仕組みを提供する。上述「HTTPS」に代わる方式で、量子コンピュータでも解読できない方式でデータを暗号化する。この暗号化方式は「CECPQ1」と呼ばれ、Transport Layer SecurityにPost-Quantum Cryptographyを実装した構造となっている。これをChrome Canaryに実装し一般に公開された (下の写真、量子コンピュータが登場してもGoogle Playでのオンラインショッピングを安全に実行できる)。

出典: Google

ベンチャー企業の取り組み

RSA Conferenceではカナダのベンチャー企業「ISARA」が量子コンピュータ登場に備えたソリューションを紹介した。同社は既に政府や金融機関向けに製品を提供している。ISARAのAlexander Truskovskyによると、Post Quantum Cryptographyの問題はアルゴリズム開発だけでなく、システムインテグレーションの問題であるとも述べた。暗号化アルゴリズムはシステムの基幹技術でモジュールは様々な部分に散在している。それを確認したうえで古いモジュールを置き換えたり、新しいモジュールを併設するなどの作業が必要となる。2000年問題 (Y2K Problem) が発生したように、Post Quantum Cryptographyでも大規模なシステム改修作業が必要となる。

今から準備を始める必要がある

主要IT企業で量子コンピュータ開発が進んでいるが、実用に耐えるモデルはまだ登場していない。NSAは報告書の中で、なぜこのタイミングで問題点を公開したのかについて述べている。いま現在は公開鍵方式のアルゴリズムを破る能力の量子コンピュータは登場していない。一方、システム構築は数十年単位で設計する必要がある。過去の事例を見るとアルゴリズム導入には20年程度かかっている。このため、Post-Quantum Cryptographyに対応するには、今から準備を始めないと間に合わないと警告する。つまり、量子コンピュータが普及するのはもう少し先であるが、問題を理解してその対応を検討する時期が到来した。