ニュース
2004/04/23 21:52 更新
ウイルス拡散の高速化は頭の痛い問題、NACの加藤氏
日本ネットワークアソシエイツの加藤義宏技術本部長は、SEA/Jが開催したセキュリティセミナーの講演で、最近のウイルス動向を振り返った。
「この1カ月半は20回前後の緊急体制をとった。今年の1月から3月は異常だった」。日本ネットワークアソシエイツの加藤義宏技術本部長は、情報セキュリティ教育および資格認定を行うSEA/Jが開催したセキュリティセミナーの講演で、最近のウイルス動向を振り返った。例年だと緊急体制をとるのは4、5回程度というから、最近のウイルス動きがいかに活発だったかが分かる。
ここ数カ月、電子メールの添付ファイルを利用した複数のマスメール型ワームが拡散。その拡散速度の速さ、添付ファイルを実行させようとする誘導手口の巧妙化、メールアドレスの偽装などといった特徴が指摘された。
拡散速度の高速化については、例えばMydoomであれば「警報発令から1時間以内で日本に到達した」というからかなり深刻な段階に来ているようだ。「ウイルス対策ベンダーとしては頭の痛い問題。簡単なものであればいいのだが、複雑になると解析に時間がかかってしまう」と加藤氏。
新種のウイルス発見後、ウイルス対策ベンダーはウイルスを解析し対応策を練る。その上で、1時間というのは非常に厳しい時間帯となる。「何をやっているかといえば、ソースコードに逆アセンブルを行い、エンジニアがいちから呼んで動作を追いかる。大きいものになれば、ソースコードは数万行に及ぶこともある」。この時間を削減しようと各社が工夫を凝らしているわけだが、「そうはいっても10分、20分ですむ問題ではない」という。
例えば、ネットワークアソシエイツでは、侵入を食い止めることを目的とした暫定版の定義ファイルを10分でリリースすることで、正式のものができるまで時間を稼げるようにしている。こういった緊急対応を可能にするためにも、インターネットへのゲートウェイにウイルス対策を導入することが望ましいという。
添付ファイルを実行させるための誘導手口の巧妙化、メールアドレスの偽装といった特徴も被害を拡大させた。加藤氏はMydoomのメールの例を示しならが、「なんとなく知っている人に送ったメールがエラーで戻ってきたのかと、クリックしてしまったのだろう」と分析する。「もし、これが日本語でかかれていたらと思うとゾッとする。十分に気をつけてくださいとしか言えない」と顔をこわばらせる。
ウイルスと情報漏えい
また、ウイルスによる情報漏えいの可能性についても加藤氏は言及。現在はメールアドレスを流出するだけのウイルスだが、ウイルスがマシンをのっとっている状態では、ファイルを外部に送信することも可能であることを指摘した。
「いずれにしろ、ウイルスが何らかの情報を持ち出しているのがポイントとなる。ファイルの外部送信するものは、たまたま出ていないだけ。重要なファイルの場所を特定できて、やる気になればやれる。このようなことは起こってもおかしくない状態だ」
外側からの攻撃を遮断する点ばかりが注目されるパーソナルファイアウォールだが、内側から外側に出て行く通信を遮断できるものもあり、今後、情報の流出を阻止する技術としてキーになるかもしれないと話した。
Netskyはまだ続く……
加藤氏は「Z」にまで達したNetskyについて、まだ続くとの見方。十分注意する必要がありそうだ。なぜこれだけの亜種を発生させたかについて、加藤氏は「コードの中で(NetskyとBagleの)作者同士がそれぞれを中傷しあっていたのも事実だが、当初Netskyのオリジナルが出てきたときから亜種を想定していた感じがあった」と話す。早いペースで亜種を発生させることで、ウイルス対策ベンダーの対策の網をかいくぐることを考えている節があったというのだ。このような点から、まだまだ亜種が続く可能性が高いとのことだ。
関連記事
ネットワークアソシエイツ、情報セキュリティ教育機関SEA/Jに参加Netskyの亜種、とうとう「Z」に到達3月はNetskyの亜種が猛威「ウイルスギャング団」が引き起こした亜種の異常発生背景には作者どうしの抗争? 続出する亜種ウイルス関連リンク
日本ネットワークアソシエイツ[堀 哲也,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
