ワーム時代の終焉

マルウェアの攻撃が終わったわけではないが、少なくとも脆弱性を狙うワーム型の攻撃についてはかなりの程防御できるようになってきた。

[Larry Seltzer，eWEEK]

　ハッカーの攻撃やマルウェアの脅威はまだ終わってはいないが、多くのタイプの攻撃はその盛りを過ぎたようだ。攻撃側よりも防御側が優勢になってきたのだ。

　「Worm Blog」のブログマスターであるジョゼ・ナザリオ氏は、最近公表されたMS06-040の脆弱性について興味深いことに気付いた。それを悪用したワームの被害があまり広がっていないというのだ。

　MS06-040は極めて深刻な脆弱性の1つで、これを悪用すれば、ネットワークインタフェースを通じて侵入し、リモートシステム上で攻撃コードを実行することができる。

　非常に悪質なワームや最も有名なマルウェアの多くが、この種の脆弱性に付け込んだものである。BlasterやSasserなどもそうだ。2004年の春に登場したSasserは、大規模なネットワーク型ワームの最後となるものだった。

　Sasserは、LSASS（Local Security Authority Subsystem Service）プロセスの脆弱性を狙ったワームである。その後も、ネットワーク経由で呼び出し、リモートコードを実行することができる脆弱性が幾つか明らかになった（MS06-040もその1つである）。

　これらの脆弱性すべてに対してマルウェアが作成された。最近では、脆弱性が明らかになってから1〜2日以内に実証コードが利用可能になり、それからさらに1〜2日以内にマルウェアが出現するというのが一般的なパターンになっている。しかしこれらはどれも、深刻なワームの登場にはつながっていない。

　ナザリオ氏は、衰退傾向にあるマルウェア分野の研究にフォーカスしたブログを立ち上げたのだろうか。ひょっとすると、この分野はもう時代遅れなのだろうか。時代遅れかどうかはともかく、状況が変化したのは明らかであり、わたしは少し前にそのことに気付いた。数年前、この分野はワーム作成者にとって肥沃な土地だった。しかし最近では、ユーザーは簡単に自身を防御できるようになった。

　MS06-040を狙った主要なワームである「W32.Wargbot」に対して脆弱なシステムは、以前の同種の攻撃に対しても脆弱であり、おそらくほかの多くのマルウェアに既に感染しているものと思われる（関連記事）。

　わたしに言わせれば、このことは、この種の脆弱性の深刻度を軽減するものである。

　何が変わったのだろうか。おそらく最も重要な変化は、Windows XP SP2の登場であろう。SP2ではセキュリティ面で多数の改善が施された。例えば、インバウンドトラフィック用のファイアウォールは、デフォルト設定でこの種の攻撃のほとんどを防御する。

　Microsoftの「Malicious Software Removal Tool」によるウイルス除去に関して同社がリリースした調査レポート（訳注：Microsoft Word形式の文書）は、この状況を明確に示している（関連記事）。

　2006年3月にリリースされた同ツールによって実行されたウイルス除去の3％は、Windows XP SP2システム上で行われたものである。これに対し、Windows XP Goldおよび同SP1上でのウイルス除去の割合は63％に上る。

　2006年3月の時点では、Windows XPを組み込んで出荷されたシステムのほぼすべてがSP2で動作するようになってからかなりの期間が経過しており、インストールベース全体に占めるSP2の割合は多くなっていた。現在もこの傾向は日増しに拡大している。

　ネットワークセキュリティがコモディティ化した主要な理由はもう1つある。それは簡易型のNATルータだけでも、これらの攻撃のほとんどを阻止できるということである。この種のワームの大多数が侵入経路として利用するポートには、簡易型ルータでも通常はトラフィックを転送しない。加えて、最近では非常に安価なルータの多くにファイアウォールが組み込まれているため、さらに多くの攻撃が食い止められるようになった。

　わたしは最近、明らかに楽観主義的になってきた。攻撃技術よりも防御技術の方が急速に進歩しているように思えるのだ。つい最近まで誰もが「将来の脅威」として挙げていたIMワームでさえも、姿を消しつつあるようだ。

　楽観主義は、現状に満足することと同じではない。現在でも数多くの脅威が存在する。これらの脅威から自分を守る方法を知ることが重要なのは、今でも変わらない。

原文へのリンク