インテグレータの役割や情報共有の推進に課題――JPCERT/CCシンポジウム

JPCERT/CCが10月25日に行った10周年記念シンポジウムにおいて、3人のセキュリティ専門家がこれからの課題を語った。

[高橋睦美，ITmedia]

　「攻撃者にとって資産価値のある情報がネットワーク上に置かれるようになってきた。にもかかわらず、攻撃者側のコストやリスクは低いままで、これが攻撃を誘発している。JPCERT/CCではこれから、攻撃者のリスクを引き上げるための活動を展開していく」――JPCERT/CC常任理事の早貸淳子氏は、JPCERT/CCが10月25日に行った10周年記念シンポジウムの中でこのように述べた。

　同時に、企業や組織に対し「ネットワーク上に不用意に資産価値の高い情報を置かないよう啓発を進めていきたい」という。

　JPCERT/CCではこれまで、インシデントハンドリングや脆弱性情報の流通、定点観測システムなどを手がけてきたが、今後の重要課題として、組織内でインシデントの対応に当たる組織内CSIRT（Computer Security Incident Response Team）構築の支援を重要課題に掲げている。早貸氏は「組織内で対応できる体制を整備できるよう、マニュアルや情報などの整備、提供に取り組んでいきたい」と述べた。

　同時に、現在の情報提供のあり方の見直しを図る。「きめ細かく、必要な人に必要な情報を提供していきたい。それも、受け取った人が何らかのアクションを取ることができる形で」と早貸氏は述べ、ただ定型の情報を発信するのではなく、どのように優先順位を付けて対応していくか判断できるような情報を提供していきたいとした。

インテグレータの役割についても議論を

　このシンポジウムでは同時に、さまざまな側面から情報セキュリティに取り組んできた3人の専門家が、過去10年とこれからの攻撃の傾向について述べた。

　NECの宮地利雄氏（IT戦略部シニアマネージャ）は、この10年間で攻撃対象がOSなどの基盤プラットフォームから、Webやアプリケーション、サービスなどの上位層へと変化したと指摘。特に「上位層には多くのカスタマイズがなされており、そこへの対応が求められる」という。同時に、Web 2.0をはじめとする技術的な変化についていくだけでなく、セキュリティ上の対策も求められる難しさがあるとした。

　さらに、かつては攻撃はファイアウォールで防ぐという認識があったが、今ではほとんどのアプリケーションがHTTP／HTTPSを介してファイアウォールを通過するようになっている。これを踏まえると「企業の網の作り方そのものにも見直しが必要かもしれない」と宮地氏は述べた。

　同氏がもう1つ強調したのは、ユーザーやベンダーとともにシステムの構築や運用に当たるシステムインテグレータの役割だ。たとえば脆弱性への対応ひとつとっても、三者の責任分界点や費用分担はどうすべきかについて社会的議論が必要だと同氏。同時に、「仕様におけるセキュリティ要求の記述方法」「不具合と脆弱性の区別」などもこれからの課題だという。

　宮地氏はまた、過去の印象に残ったインシデントとしてSNMPの脆弱性に触れた。「ほとんどの製品にインプリメントされていたことから、製品ベンダーとしても対応が大変だった」と当時を振り返るとともに、「セキュリティ対策は、人にお願いすることばかり。お願いの連鎖をいかにうまく作るかがセキュリティ対策のコアであり、難しい部分だ」と述べている。

　「ユーザーコミュニティや関連団体など、マルチパーティでの協力関係を構築したい。JPCERT/CCにはその連携のカタリスト役を期待したい」（同氏）

貝のように口を閉ざさず情報共有を

　NTTコミュニケーションズの小山覚氏（第二法人営業本部エンジニアリング部企画戦略部門長）は、インターネットサービスプロバイダーの立場から、この10年は、ムーアの法則を超える勢いで「トラフィックが激増し、インターネットが膨張した」と指摘。ワームの大流行をはじめとするさまざまなインシデントが起こったもある意味当然だとした。

　小山氏は、インフラの安全性確保を目的とした通信事業者やISPの業界団体、Telecom-ISAC Japanの立場から、JPCERT/CCと協調してボットネットの調査、研究を進めてきている。「ウイルスはまだ、わあわあ騒ぐ愉快犯に過ぎず、かわいいものだった。ボットが登場してからは目線がビジネス（金儲け）に移っている」（小山氏）

　小山氏によると、JPCERT/CCとISPなどの連携が始まったきっかけは、2001年のCode RedやNimdaといった大量感染型のワームの登場だ。その後、SlammerやSobig、あるいはボットネット対策を目的とした業界連携の中で、いくつか得られた教訓があると小山氏は述べた。

　1つは、「日本で独自に分析能力を持ち、連携していかなければならない」（同氏）ということ。Blasterの際に感じたことというが、セキュリティベンダーの本社がある米国で被害が出ないと対応が遅れ気味になり、情報が入ってこなかった。海外に頼るのではなく、日本側でしっかり解析を加え、その情報を共有して対策していくことが重要であり、Antinnyへの対応ではその反省を一定程度生かすことができたという。

　また「企業は攻撃された事実を公開したがらない。しかし、被害者間や専門家との間で情報を共有しないと対策は進まない」と小山氏は述べ、口を閉ざすのではなく企業内CSIRT間での連携を進めるべきだと呼びかけた。

　小山氏は、一連の解析を通じて、ボットを介してトロイの木馬などの悪意あるプログラムをネットワーク内のPCに忍び込ませ、イントラネットへの侵入や情報収集を試みるという筋書きが見えてきたと述べた。最近ではrootkitを組み合わせた隠蔽工作も増えている。こうした巧妙な仕組みに対処するには、関係者の情報共有が欠かせない。

　またISPの立場からは、「ウイルスやボットとの戦いは、ユーザーとの戦いでもある。自分は大丈夫だと思って対策を怠っているユーザーをどのようにとらえ、対策をうながしていくかが課題」だという。

あらゆるアプリケーションがターゲットに

　インターネット セキュリティ システムズの高橋正和氏（CTO、エグゼクティブセキュリティアナリスト）は、BlackOfiriceにはじまる攻撃ツールやWeb改ざん、DoS攻撃などのさまざまなインシデントを振り返った。

　2005年以降になって顕著なのが、攻撃対象を絞った攻撃、スピア型の攻撃が増えてきていることだと高橋氏。これがボットと組み合わされば、それと知らずにネットワーク内部のPCが外部からコントロールされる危険性が生まれる。こうした攻撃に対処するには、シグネチャに依存しない対処が必要という。

　中でもショックだったのは「ターゲットを絞った攻撃手法に一太郎が使われたこと」だと高橋氏は述べた。Microsoft Officeのように全世界的に広がったソフトではなく、日本という特定の市場で尽かされているアプリケーションの脆弱性を狙うゼロデイ攻撃が行われたことから、「もはや、『このアプリケーションだから危ない』という時代ではない」とし、あらゆるアプリケーションがターゲットになり得るとした。

　高橋氏はまた、状況が予想以上に早く推移していることにも触れた。ボットにしても何にしても、半年もたてばまったく状況が変わってしまい、予測したとおりにいくとは限らない。その意味で、常に攻撃者からは「一手遅れていく」ことの難しさがあるという。

　その上で同氏はJPCERT/CCに対し、キーワードの変化に追いついていってほしいと述べた。「たとえば今、広域インシデントはほとんど起こっていない。むしろ攻撃者は意図的に起こさないようにしている。その意味で、感染件数や届出件数を重要度の判定基準として使うのは正しいことなのか」（高橋氏）