2007年は「公道の歩き方」を伝えたい――IPAセキュリティセンター

情報処理推進機構(IPA)のセキュリティセンター長、三角育生氏は、2007年は具体的に身を守る方法を適切に伝えていきたいという。

» 2007年01月15日 08時30分 公開
[高橋睦美,ITmedia]

 「Winnyを通じた情報流出を除けば、大規模なアウトブレークはなかった」――情報処理推進機構(IPA)のセキュリティセンター長、三角育生氏は、2006年のセキュリティ動向をこのように振り返った。

 「多かったのは、ワンクリック詐欺や偽セキュリティ対策ソフトの押し売りのように個人を狙い、金銭をだまし取るタイプの手口だ。経済的、詐欺的な事件が多く起こった一年だった」(同氏)

 三角氏によると、2006年のウイルス届出件数の数字自体は減ってきている。多数の亜種が登場し、常に検出数で大半を占めてきた「NetSky」も減少傾向を見せ始めた。

 興味深いのは、届出件数が4月にがくっと減少した点だ。この4月というのは、Winnyを通じた情報流出事件が大々的に報じられ、多くの企業が対応に追われた時期とちょうど重なる。三角氏は、あくまで1つの仮説と断りながらも「Winny経由の情報流出事件が重なったことを機に、それまで放置されてきたPCが管理されるようになり、そこに巣くっていたウイルスが対策ソフトによって検出、駆除されたのではないかと考えられる」と述べた。

情報処理推進機構(IPA)セキュリティセンター長の三角育生氏

 きっかけが何であるにせよ、ウイルス届出/検出件数が減るのは歓迎すべきことだ。しかし、手放しでは喜べない別の可能性も考えられる。つまり、実際にはPCに侵入されながらも、ユーザーがその活動に気付かないでいるだけ、という恐れがあるという。

 「(金銭などを)だまし取るならば、ばれない方がいいという傾向があるのではないか」(三角氏)

 具体的には特定のターゲットを狙って仕掛けられるスピア型攻撃や、自分自身の活動を抑えて「見えない化」するボットやスパイウェアのように、既存のセキュリティ対策をすり抜ける脅威が増えている可能性も考えられるとした。これらとゼロデイ攻撃、あるいはワンデイ攻撃が連携することで、「かなりターゲットを絞り、そこから何らかのゲイン(利益)を得ることを目的としたインシデントが多くなっている」(同氏)

「公道の歩き方」を伝えたい

 三角氏は脅威のこうした変化を踏まえ、これまでのように「こんなウイルスが流行しています」と知らせるだけの伝え方では不十分であり、きちんと「身を守る方法」とともに注意喚起を図っていく必要があると述べた。

 「これまでは防犯システム付きの家の中にいたようなものだが、今では、車がばんばん走っている道を歩いていかなくてはならない。『信号は守る』とか、『道ばたに落ちているモノは食べない』といった基本的なルール、言うなれば『公道の歩き方』を伝えていきたい」(三角氏)

 IPAではこれまで、自らのWebサイトやJVN(http://jvn.jp)を通じて、月ごとのウイルス/不正アクセス届出状況や緊急時の注意喚起、脆弱性情報などを提供してきた。今後はその伝え方に工夫を凝らしていく必要があると三角氏。例えば、技術者や企業のエンドユーザー、あるいはコンシューマーなど、情報の受け取り手やその目的に応じて、必要とされる情報の出し方や緊急性、深刻度の示し方などを検討していきたいという。

 「2007年はもぐら叩きから脱し、身を守るために何をしたらいいのかを具体的に、分かりやすく伝えられるドキュメントをそろえ、対策の必要性を理解してもらえる年にしたい」(三角氏)。対象それぞれに、的確な形で情報が伝わる仕組みを整備していきたいという。

 三角氏は今年も、脅威の組織化、経済目的化という傾向は続き、手口はより巧妙になっていくだろうと予測する。

 ワンクリック詐欺ひとつとっても、ある程度の「利益」を得たら次々URLを変え、対策をかいくぐるような手口が報告されている。こうしたいたちごっこの中では、攻撃と防御の間にタイムラグが生じ、守る側はどうしても後手に回りがちだ。この中でIPAとしては、例えば「ワンクリック詐欺では、相手の言うままに支払いは行わず、無視せよ」という具合に具体的に身を守る術を伝えていきたいという。

脆弱性届出や評価・認証など各種制度の充実も

 2004年から経済産業省の告示に基づいて運用してきた「情報セキュリティ早期警戒パートナーシップ」制度では、これまでに1100件を超える届出が寄せられ、「制度としては定着してきたのではないか」と三角氏は述べた(関連記事)

 ただ、例えば全体の7割を占めるというWebアプリケーションの脆弱性では、依然としてクロスサイトスクリプティングやSQLインジェクションといった、数年前から指摘され続けてきた問題が今なお報告されている。

 報告されたものを逐次確認し、修正していくという「いたちごっこ」から脱却するため、IPAでは、最初から脆弱性を作り込まないように構築するためのドキュメントを整えてきたが、引き続きその取り組みを進めていく方針だ。

 同時に、IT製品/システムがセキュリティ機能要件をどこまで保証しているかを評価し、認証する「ITセキュリティ評価及び認証制度」も、新バージョンの下で進めていくほか、電子政府推奨暗号リストの改訂なども視野に入れている。

 さらに、「2006年は組み込み機器のセキュリティに取り組み始めたが、今年はもっと力を入れなければならない」(三角氏)という考えから、4月をめどに「暗号モジュール試験及び認証制度」の運用を正式に開始する予定だ。この制度は、ソフトウェアのほかスマートカードやルータなどさまざまな製品を対象に、暗号モジュールが適切に実装されているかどうかを試験し、認定を与えるもので、ISO/IEC 19790のJIS規格に基づいて、FIPS140ベースで行われる。

 ITが社会のインフラとしての役割を担うようになった現在、IPAでも「いっそう期待に応えるべく、さまざまな取り組みを進めていきたい」(三角氏)という。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ