ファッションとセキュリティ脅威の共通点

米Symantecのセキュリティ研究センター、Symantec Security Responseのケビン・ホーガン氏によると、過去流行した脅威が再び今、登場してきているという。

» 2006年11月07日 18時53分 公開
[高橋睦美,ITmedia]

 「ファッションと同じように、マルウェアの世界でも、昔流行したものが一定周期で再び登場してきている」――米Symantecのセキュリティ研究センター、Symantec Security Responseでオペレーションディレクターを務めるケビン・ホーガン氏が11月6日来日し、昨今のセキュリティ脅威の動向について解説した(関連記事)

 ホーガン氏はまず、「人が増えれば(=人気の高いものには)セキュリティリスクも付いてくる」と述べ、アプリケーションレベルの攻撃の増加やWeb 2.0ならではの脅威の登場といった最近のトレンドについて触れた。

 たとえばWeb 2.0に関しては、Ajaxなどのテクノロジを通じて、ユーザーのローカルディスクからインターネット上へと作業領域が移行しつつある。これを悪用して、今まで考えられなかった犯罪が登場する可能性があるという(関連記事)

 Web上で展開されるサービスを悪用した攻撃も目立ってきた。一例が、Yahoo!がセキュリティ確保のために用意したサンドボックスの脆弱性を付いてCookieを取得する「Yamanner」の攻撃だ。また、MySpaceのようなソーシャルネットワークサービス(SNS)の中に悪質なリンクやワームを埋め込む攻撃などが確認されており、「今後もこうした攻撃は増えると言わざるを得ない」とホーガン氏は述べた。

 ただ、これらの攻撃では、別段目新しい手法が用いられているわけではない。「Web 2.0というと良いことばかりが取り上げられるけれど、同時にJavaScriptやPHPといったスクリプトベースの脅威が実際に増えている」(ホーガン氏)であり、スクリプトを用いた攻撃というのも昔からあったものだと指摘した。

 「先祖返り」のもう1つの例が、「ファイル感染型のウイルス、いわば純粋なウイルスがまた増加してきたこと」だという。

 そもそも狭義のウイルスとは、宿主(何らかのファイル)に次から次へと感染していくものを意味していた。これに対し最近では、自力で活動し、電子メールの添付ファイルなどを通じて自らのコピーをばらまくワーム型が増加し、ファイル感染型は影を潜めていた。しかしホーガン氏によると、最近になってまた、ファイル感染型のウイルスが増加傾向を見せているという。

 その目的は、「アンチウイルスベンダーやユーザーから自らの存在を隠すこと」(同氏)だ。ワームであれば、ファイル名やサイズなどを頼りに当該ファイルを削除すれば対応できる。だがファイル感染型の場合、「自分が作ったファイルに小さなウイルスがくっついていても、ユーザーは気付きにくいし、削除しにくい」(ホーガン氏)。

 この手法はまた、古典的かつ有効な攻撃手口の1つである「ソーシャルエンジニアリング」の応用とも表現できるという。

 なおソーシャルエンジニアリングの手法は今も、脅威をちらつかせて入金を迫るミスリーディングソフトウェア(偽セキュリティソフトウェア)で使われている。最近の手口としては、中身は同一のプログラムなのにスキン(見かけ)だけを変え、新しい配布用Webサイトを設けて詐欺を繰り返すケースがあるという。

マルウェアを用いた商売は「ペイ」する

 ホーガン氏は、もう1つ難しいポイントとして、「ある手口について警告しても、次々と新しい手法が出てくるため、そのアドバイスがすぐに無効化してしまう」ことを挙げた。

 たとえば、同氏は2年前から、脅威の地域化(ローカル化)について警告してきた。大量に自分自身をばらまく大量感染型ワームが存在する一方で、Antinnyのように特定の地域や国にしか広まらないターゲットを絞った脅威が増えており、この傾向は今後も続くだろうという。

 だが一方で、「1つの地域に限定されてきた脅威が、意外な形で他の地域や全世界を覆うこともある」とした。その実例が、iPodや日本マクドナルドが景品として配布したMP3プレイヤーを介したウイルス感染だ。たまたま特定の地域にしか出回っていないワームが、HDDやフラッシュメモリの製造過程などで誤って書き込まれ、出荷された結果、「ある日突然世界中に出てくる」(同氏)

 このように、状況が日々変動していくがゆえに、セキュリティ業界は困難に直面しているとホーガン氏は述べた。

 背景には、攻撃の目的の変化が挙げられる。「趣味やおもしろさを目的とした攻撃から、完全にお金儲けが目的になってきた」(同氏)。実際に、ミスリーディングアプリケーションはアフィリエイトプログラムと連携し、間に複数の企業を挟んで配布されるケースがある。また「Announci」のように、正式にVeriSignの電子証明書を取得し、ユーザーが怪しいと思って配布元を確認してもセキュリティ警告が表示されないマルウェアも登場している。

 「それだけ、マルウェアを用いた『商売』が確立され、ある程度コストを掛けてもペイすると認識されている」(ホーガン氏)

 このような状況では、「このメールは本当に友達からのものか? このサイトは本当にショッピングサイトなのか?」という具合に、「誰を信頼できるか」という根本的な問題が生じてくると同氏。セキュリティベンダーとしても、「信頼や信用というもの自体にフォーカスを当てなければならない」と述べた。

 例えば、ウイルス対策ソフトが代表例だが、ただブラックリストに基づいて「白か黒か」という具合に危険なマルウェアを検知するだけでは不十分だとホーガン氏は述べ、ホワイトリスト的に信頼できる相手を示したり、同じ「黒」でもどういった黒なのかを説明できなくてはならないとした。

 さらに「100%の対策はありえない。過剰におびえるのも良くないが、基本的な対策を取った上で、それでも万全はあり得ないのだと常に認識することだ」とホーガン氏はアドバイスしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ