インタビュー
» 2011年02月08日 19時00分 UPDATE

トレンドラボを訪問:2010年のセキュリティ事情と今後の予測

インターネットによって生活が便利になった半面、これを利用する犯罪も多様化している。オンライン脅威の動向と今後の予測をリージョナルトレンドラボの原氏に聞いた。

[後藤治,ITmedia]

インターネットは便利だが……

 PCの普及とインターネットの発達によって人々のライフスタイルは大きな変化を遂げた。インターネットの主要な利用目的は現在でもWeb閲覧とEメールだが、今ではそれらを当然のように使いこなす小学生も珍しくない。

 次の休日のためにWebサイトの情報を参照して旅行の日程を組む、あるいは多人数参加型のゲームをして過ごす。恋人のためにコンサートのチケットや人気レストランを予約する。オークションで掘り出し物を探し、ネットバンキングを利用する。気になるトピックがあれば、まず真っ先に巨大掲示板やTwitterなどでネットの反応を見る人もいるだろう。音楽や書籍は物理的なメディアから解き放たれて販売され、コミュニケーション自体を目的としたSNSも流行している――インターネット上には誰かが願ったニーズの数だけサービスがあるようだ。

 また、インターネットにアクセスする端末はPCだけではない。今では多くの人が所持しているスマートフォンは日進月歩で進化し、PCと同等のさまざまなサービスが生まれつつある。平成22年版情報通信白書によれば、携帯電話からインターネットを利用する目的として、1位の「電子メールの受発信」に続き、「商品・サービスの購入・取り引き」と、音楽や動画といった「デジタルコンテンツの入手・聴取」が2位と3位につけている。今現在の生活でネットデバイスと無縁な日本人は、間違いなく少数派だろう(少なくともこれを読んでいる人の中にはいないはずだ)。

 しかしその半面、インターネットは犯罪者たちの“効率的な手段”としても利用されるようになった。道具は使う人を選ばない。Facebook創業者のマーク・ザッカーバーグCEOのように、便利なサービスを提供することで巨額の資産を築きあげる人間がいる一方で、アンダーグラウンドに身を潜め、不正な手段を用いて資産を築く人間がいる。特にここ数年のサイバー犯罪は、はっきりと金銭の詐取を目的としたビジネスへと進化し、さらにサイバー犯罪者同士の組織化も進んでいるといわれる。

 インターネット上の脅威はこれからどうなっていくのだろうか。トレンドマイクロリージョナルトレンドラボの原良輔氏に話を聞いた。

Gumblarと偽セキュリティソフト――2010年のセキュリティ事情を総括

 リージョナルトレンドラボは、主に日本国内でのマルウェアの情報収集と解析を専門に行っている組織だ。これまでトレンドマイクロでは、セキュリティリスクの調査をフィリピンで一括して行ってきたが、特定の国でのみ使用されているソフトウェア(例えば一太郎のようなもの)や、ローカライズされたスパムなど、地域特化型の脅威が増加したため、日本でも2007年に設立された。現在トレンドマイクロのラボは主要10カ国に配置されている。

 主な活動は、クロウラーやハニーポットを使ってサンプルを入手し、これを解析するというもので、複数のチームで構成される研究員たちが日夜、サイバー脅威を未然に防ぐために“戦って”いる。

og_trend_002.jpgog_trend_003.jpgog_trend_004.jpg リージョナルトレンドラボは、在籍する人以外は許可なしで入室することができない2重のドアに仕切られた部屋にある。今回特別に中の様子をのぞかせてもらった。セキュリティのかかったドアをくぐる前は(なぜか)地下組織のようなイメージを持っていたのだが、実際の研究員の方たちはかなりラフな格好で働いており(しかも若い方が多い!)、どことなく編集部の雰囲気に似ていた。クロウラーの稼働状況を示す大型ディスプレイが壁に設置され、天井には最高レベルの脅威(世界的に大規模な感染が予想されるものなど)が発生したときに赤く光るランプがある。といってもここ数年は光っていない


og_trend_001.jpg トレンドマイクロリージョナルトレンドラボの原良輔氏

 2010年を通してトレンドマイクロに寄せられた不正プログラムの感染報告件数は、1位がワームの「WORM_DOWNAD」で、2009年に引き続き強い影響力を持っていることが分かる。その一方で、2009年ごろから爆発的に流行した“Gumblar”に関連する被害も広がっており、トレンドラボがまとめたトップ10のリストを見ると、3位と4位、6位と7位、9位と10位がこれに該当している。

 これはGumblar攻撃が複数の手段で構成されているためだが、特徴的なのはWebサイトに埋め込まれた不正なリダイレクト先からダウンロードされる「TROJ_FAKEAV」が3位に入っている点だ。TROJ_FAKEAVは、マルウェアを検出したとする警告を表示して、“偽セキュリティソフト”の導入を促すいわゆるスケアウェアで、ユーザーに(ソフトウェアライセンス購入のための)クレジットカード番号を入力させるなど、直接的に金銭を詐取する手段として用いられている。この手口は特にPC初心者が騙されやすく、最近では市販の製品と見た目が似ているだけでなく、各地域に応じてUIをローカライズしたものや、24時間サポートをうたうものまで存在する。

 「つまり攻撃側は、はっきりビジネスとしてこれらの行為を行っているということです」と原氏は語り、これに応じて“見えない化”がますます進んでいると指摘する。正規のWebサイトに埋め込まれた不正なコードは難読化されてより見つけにくくなり、専門のエンジニアがいないような企業のWebサイトでは、こうした改ざんが放置されたままになっていることも少なくないという。何も知らないユーザーがこれらのWebサイトにアクセスすると、バージョンの古いソフトウェアのぜい弱性などを突かれて、誘導先のサーバから知らないうちにウイルスを送り込まれ、その後はユーザーの環境にあわせた“最新のオススメ”マルウェアを次々とダウンロードしてしまう。OSやソフトウェアのアップデートを頻繁に行うわけではない、ごく一般的なPC使用者にとってみれば、いつもと同じようにWebサイトをブラウズしているだけでも危険な状況だ。

og_trend_005.jpgog_trend_006.jpgog_trend_007.jpg 2010年の不正プログラムの感染報告件数(写真=左)。Gumblar攻撃の概念図(写真=中央)。埋め込まれたコードは難読化されていることが多い(画面=右)

 原氏は「一般ユーザーができる対策は、OSだけでなく、Webブラウザやプラグイン、そのほかのソフトウェアもすべてきちんとアップデートしておくこと。また、Webから感染する脅威に対応できるセキュリティソフトを導入することが重要です」と強調する。

ターゲット型やスマートフォンを狙った攻撃も

 2010年を振り返ってもう1つトピックに挙がったのは「Stuxnet」と呼ばれるワームだ。StuxnetはWindowsのぜい弱性を突いて拡散し、自身を隠しながら最終的な標的をシーメンス社の産業用システムに定めている点で通常のマルウェアとは性格が異なる(関連記事:Stuxnet攻撃がエネルギー業界にもたらした意味Stuxnetに関する質疑応答)。特定のインフラを狙った攻撃であることから一部では一国の政府によって作成されたとも報道されているが、トレンドの見解としては「分からない」のが現状だ。

 「ただし、Stuxnetの構造は非常に複雑で、かつ短期間で作成できるものでもないことから、個人レベルの手で作られたとは考えにくいのは確かです。ともあれ重要なのは、これがターゲットを絞った標的型攻撃であるという点です。Stuxnetは極端な例かもしれませんが、今後は特定の標的を狙った攻撃が増加する可能性はあります」(原氏)。

 金銭目的の標的型攻撃と聞くと、ボットネットを構築してある特定の企業を攻撃し、その企業が提供しているサービスを麻痺させることで“身代金”を要求する企業テロを連想してしまうが、同氏は「そういった恐喝事例は報告を受けていません」としたうえで、「ただし、すでにDDoS攻撃を代行することで金銭を得ている業者の存在は認識しています」とも付け加えた。

 一方、iOSやAndroid搭載端末に代表されるタッチデバイスの普及によって、PC以外でもオンライン脅威にさらされる可能性が高まっているという。特にスマートフォンの契約台数は今後大幅に増加すると見込まれており、Android向けにはすでにボットタイプの不正プログラムも発見されている。

 「特にAndroidはオープンな環境を志向しているため、iOSよりも攻撃にさらされやすい土壌があります。これらの端末が個人にひも付いた重要な情報を持っている点も攻撃者にとって魅力でしょう。また、今後はクラウドサービスの普及によって、これまで以上に価値の高い情報がネット上でやりとりされるでしょう。アカウント情報などを保護する対策がこれまで以上に求められることになりそうです」(原氏)。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

この記事が気に入ったら
ITmedia PC USER に「いいね!」しよう