トラフィックの約7割がマルウェア発――ラックが上半期のセキュリティレポート

ラックは、2006年1月から6月のコンピュータセキュリティ動向をとりまとめた「コンピュータセキュリティ研究所動向調査報告書　2006上半期版」を公表した。

[ITmedia]

　インターネット上の観測ポイントを行き交う通信のうち、マルウェアによる不正な通信は約7割を占める――ラックが10月10日に明らかにした「コンピュータセキュリティ研究所動向調査報告書　2006上半期版」によると、国内の多くのPCが知らず知らずのうちにマルウェアに感染しているという。

　この報告書は、ラックのコンピュータセキュリティ研究所が2006年1月〜6月のコンピュータセキュリティ動向をとりまとめたものだ。

　レポートによると、2005年4月の個人情報保護法全面施行から1年以上が経過したにもかかわらず、情報漏洩事件の報告は後を絶たない。その原因として多いのはやはり「人による不適切な操作や設定」だ。中でも、外部からの不正アクセスによって情報漏洩が起こった事件を見ると、「マルウェア」と「Webアプリケーションの脆弱性」が大きな要因になっているという。

　同研究所が行った調査によると、非公開サーバに対する通信のうち約7割が、ウイルスやワーム、ボットといったマルウェアによるものだった。特に、Windowsでのファイル共有で使われるTCP 135／139／445ポートを宛先ポートとする通信が半数以上を占めていたという。

　さらに、シマンテックとトレンドマイクロ、マカフィーから市販されている3種類のウイルス対策ソフトウェアを用いて、調査中に取得した24種類のマルウェアの検出率を評価したところ、どれか1つでも検出できた検体はわずか9体。残る15体はいずれの対策ソフトでも検出できなかった。

　検出できなかったマルウェアの多くはrootkitやバックドアであり、いったんワームやボットに感染してしまった後にインストールされたものだったという。「一度ボットやワームに感染し、ほかのマルウェアをインストールされてしまうと、コンピュータを正常な状態に復旧することは非常に困難」と同社は述べている。

　マルウェアに関してはさらに、P2Pファイル共有ソフト「Winny」を介して情報を流出させる「Antinny」や自身がWebサーバとして動作する「山田オルタナティブ」、心理的な動揺を誘って金銭をだまし取ろうとする「ワンクリックウェア」などが、国内のネットワークに大きな混乱をもたらした例として挙げられた。

Webアプリの脆弱性を狙う攻撃は増加

　一方、SQLインジェクションやクロスサイトスクリプティングといった、Webアプリケーションの脆弱性に起因するセキュリティ事件も多発しているという。

　同社が提供する脆弱性診断サービスの結果によると、全体のサイトのうち約96％が何らかの問題を抱えていた。過去の傾向と比べてもこの数値はあまり変化しておらず、しかも、問題点を持つWebアプリケーションは複数の問題を併せて抱えていることが多いという。特に多いのは「クロスサイトスクリプティング」や「認証、セッション管理の不備」だった。

　また、実際にWebアプリケーションの脆弱性を突かれて被害を受けたサイトについて見ると、侵入されてから情報漏洩の発覚までに多くの時間がかかっていることも分かった。被害を受けたサイトの多くでは、実際に侵入があったのは漏洩発覚の約半年〜2年前だったという。

　この理由として同社は、「最前面にあるWebサーバにしか注意を向けていなかった」「Webアプリケーションの脆弱性に対する攻撃を検知する仕組みが実装されていなかった」ことを挙げている。

　レポートでは、Webアプリケーションを自社で開発する場合とアウトソースした場合とに分けて、脆弱性が含まれる割合も調査した。興味深いことに、「認証、セッション管理の不備」や「SQLインジェクション」「その他の好ましくない仕様」、いずれの項目についても、アウトソースした場合の割合が高くなっている。また「クロスサイトスクリプティング」については、いずれの場合も60％を超える高い割合で脆弱性が含まれていた。

　同社では、今後もしばらくの間は、Webアプリケーションの欠陥を悪用した攻撃が続くと予測。専用攻撃ツールが公開され続けていることから、SQLインジェクション攻撃が減少する可能性は低いという。また、フィッシングサイトのような悪意あるサイトに利用される恐れも含め、クロスサイトスクリプティングをはじめとするWebアプリケーションの脆弱性を狙う攻撃がさらに増加する可能性があるとしている。