「群がる攻撃者が増えている」――シマンテックの脅威レポート

[高橋睦美，ITmedia]

　「営利行為を目的とした、組織的で悪意を持った攻撃が増加している」――シマンテックが3月15日に明らかにした「インターネットセキュリティ脅威レポート Vol.9」によると、金銭目的のサイバー犯罪は引き続き増加しているという。

　このレポートは、同社が提供するマネージドサービスやBugtraqなどのセキュリティ関連メーリングリスト、おとりのメールアドレスなどに集まってくる迷惑メールなどの情報を基に、2005年7月から12月までのセキュリティ動向をまとめたものだ。

　インターネット上の脅威の性質は、かつて主流だった愉快犯から、明らかに金銭狙いのものへと変化したというのは業界の総意だ。シマンテックが今回まとめた調査からも、その傾向は明らかだという。「得られる金額が多くなるにつれ、それに群がる攻撃者も増えている」（同社コンサルティングサービス部ディレクターの山内正氏）

　攻撃者が増えるにつれ、手法に工夫も凝らされるようになっている。その表れの1つが「モジュール型」コードの増加だ。「初めは限られた機能しか持たない、小さなプログラムとしてインストールされ、後からどんどんモジュールをダウンロードし、リスクレベルが高まる」（山内氏）

シマンテック、コンサルティングサービス部ディレクターの山内正氏は、ソーシャルエンジニアリング的な手法にも注意が必要と述べた

　また、新種のウイルス／コードではなく亜種が増加していることも特徴だ。「公開されたソースコードを基に、既存の対策をすり抜ける亜種が作成されている。攻撃者がより効率的、経済的に亜種を作り出そうとする傾向が見て取れる」（山内氏）。それも、自分の存在を隠し、発見しにくい「ステルス型」が増えているという。

　今後は、引き続きステルス型コードが増加するほか、身元を偽装して、インスタントメッセージング（IM）を介してフィッシングや悪意あるコードを送り付ける攻撃が増加すると予測されるという。今後は、企業でのIM利用が増えると見込まれるが「ある程度信頼できる相手とのやり取りなので、（なりすましによって）攻撃が成功すると被害も大きくなる」ことが懸念されるという。

脆弱性情報が闇市場の「商品」に

　一方脆弱性に関しては、総数もさることながら、Webアプリケーションの脆弱性が特に増加している。2005年下半期に報告された脆弱性のうち69％がWebアプリケーションの脆弱性という結果を踏まえ、山内氏は「開発時、最初からいかにセキュアなWebアプリケーションを開発するかが課題になる」と述べた。

　ただ、だからといってOSそのものの脆弱性を軽視することはできない。今回の調査では、複数のプラットフォームのサーバやクライアントPCをインターネットに接続し、どのくらいの時間で攻撃／侵入を受けるかも検証した。

　例えばWebサーバの場合、パッチを適用していないWindows 2000 Serverでは平均1時間16分、パッチなしのWindows Server 2003は平均4時間36分で侵入されたのに対し、パッチを適用した両プラットフォームやパッチなしのRedHat Enterprise Linux 3は侵入を受けなかった。「やはりパッチを早く当てることは重要」（同氏）。

　山内氏はまた、脆弱性情報の流通状況に変化が見られることにも触れた。「これまでは、自身の力を誇示するために実証コードをすぐに公開するケースが多かったが、今では、実証コードがブラックマーケットにおける商品として流通している」（同氏）。実証コードに関する情報が「潜行」することにより、情報の共有が遅れ、対策が困難になるおそれがあるとした。