ニュース
» 2015年07月13日 08時00分 UPDATE

Maker's Voice:ウイルス感染は防げない? 標的型攻撃対策での落とし穴

セキュリティ技術者でFFRI社長の鵜飼裕司氏は、ウイルス感染などの「事故前提の対策にとらわれるのは危険」と警鐘を鳴らす。

[國谷武史,ITmedia]

 標的型攻撃などによるウイルス感染や情報漏えいなどの事故が相次ぐ状況に、「事故前提」の対策が盛んに提起されている。しかし、日本のセキュリティ研究者の草分け的な存在として知られるFFRIの鵜飼裕司社長は、「安易な取り組みは余分なコストや手間が増えかねない」と指摘する。

対策が分からない

 日本年金機構での事故を契機に昨今注目される標的型攻撃は、攻撃者が狙いを定めた相手に合わせて用意したウイルスやメールなどの手法を幾つも組み合わせて実行する。このため、定義ファイルを使うウイルス対策ソフトやファイアウォールによる従来型の対策方法では防ぐのが難しい。

ffri001.jpg 脆弱性研究や対策技術の開発など日本のセキュリティ業界を牽引してきた一人でもあるFFRIの鵜飼裕司氏

 標的型攻撃の脅威が顕在化したのは2005年頃とされ、国内では2011年に重工系数社に対する攻撃と情報流出事故の発生で注目されるようになった。鵜飼氏は「脅威の内容は大きく変わっていないものの、被害の増加が最近の特徴」と話す。

 被害が増える背景には、複雑な手法を駆使する標的型攻撃を防ぐ仕組みが分かりにくいことや、よその被害を他人事ととらえる危機意識の欠如があるという。そのため、今なお多くの企業や組織が従来型の対策方法を採用し続けており、その対策が突破されて事故につながっている。

 標的ごとに異なる手法の攻撃を防ぐには、「ウイルス対策ソフト+ファイアウォール」のような典型例ではなく、企業や組織が自分たちの環境に応じた仕組みを講じるしかない。「最近では攻撃を可視化するなどの新技術が数多くあり、そのために対策方法も複雑になっている。企業や組織は限られた予算の中で最も効果的な方法を工夫しないといけないだろう」(鵜飼氏)

 従来型の対策で脅威を防げないなら、ウイルス感染や情報漏えいなどの事故を前提にした対応が必要になる。ところが、「事故前提」の対策も一歩間違えると、別の問題を引き起こしかねない同氏は指摘する。

事故対応は金がかかる

 「事故前提」の対策は、例えばウイルスに感染しても拡散させない、情報が盗まれても悪用をさせないといったように、被害抑止を目的に原因究明や調査、再発防止、顧客など関係者への対応といった体制を準備して、有事に機能できるようにする。鵜飼氏が問題視するのは、「事故前提」の“前提”にあるべき「防御」の視点が抜けてしまうことだという。

 「事故前提の考え方は当然必要だが、『守れないから仕方ない』という理由付けのために持ち上げられているような印象も受ける。防御できれば被害は起きない。本来は脅威を防ぎ、その上で万一の事態に備えておくべきではないか」(鵜飼氏)

 セキュリティ事故の対応に要するコストや手間はケースバイケースだが、一般的に情報流出のような場合では原因究明の調査や応急措置、再発防止策、関係者のへのお詫びといった直接的な費用だけでも数千万から数億円規模になるとされる。そこでは膨大な時間と労力、資金が費やされる。

 安易に「事故前提」を許容して防御が手薄になれば事故が増え、結果的に対応コストばかりが増えかねないと鵜飼氏。まず脅威を可能な限り防ぐことで事故発生リスクを減らし、その上で万一の場合でも被害やコストも最小に抑えられるよう「事故前提」の対策も準備しておくというアプローチを推奨している。

「ウイルス対策ソフトは死んだ」の後

 脅威を防ぐウイルス対策ソフトが通用しなくなったのは、新種ウイルスが大量生成されるようになったからだといわれる。基本的なウイルス対策ソフトは、ソフト会社が個々のウイルスを特定してから検知できるようにする「定義ファイル」を用いる。つまり今は、新種ウイルスがあまりに多過ぎて「分かったウイルス」を見つける定義ファイルの作成が追い付かない状況だ。

 2014年に米Symantecの幹部が「ウイルス対策ソフトは死んだ」と発言して話題になった。ここでいうウイルス対策ソフトとは、定義ファイルを使うタイプの製品。当然ながらソフトを開発するベンダー側は、定義ファイルに加えて新しい技術でウイルスを検知する「統合セキュリティソフト」という製品に軸足を移している。昨今の標的型攻撃で使われた“未知のウイルス”の検出できたというベンダーは多い。

 ただ、新技術を採用するセキュリティ製品の導入にはコストが伴う。新たな使い方を習熟するといった手間も少なからず必要だ。定義ファイルを使うウイルス対策ソフトにもメリットはあり、新種ウイルスをすぐに検知できなくても、時間が経ってから検知できるようになる場合が多い。即効性はなくても確実性という部分では新しい検知技術に勝るケースもある。

ffri002.jpg FFRIが開発している複数の検出技術(同社サイトから)。「定義ファイルで検知できる部分は他社製品に任せている」と鵜飼氏

 鵜飼氏は、新旧の検出技術を併用して防御力を高める方法を推奨する。「例えば、Windowsに標準搭載されているWindows Defenderは非常に優秀で、しかも無料で利用できる。無料のウイルス対策ソフトでコストを抑えながら、新たな脅威を防ぐ仕組みを講じていただきたい」(同氏)

 残念ながら標的型攻撃などの脅威は、コンピュータ利用者の意図に関係なく突然にやってくる。従来型の対策手法に固執して多大な実害を被っては元も子もない。脅威に立ち向かわざるを得ない状況は企業や組織にとって頭の痛い問題だが、対策方法を工夫できる余地は広がっている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ