新しいサイバー攻撃のパターン、それは……（2/2 ページ）

[Larry Seltzer，eWEEK]

　PestPatrolの開発者で、今はテストや開発関連のほかの仕事をしているロジャー・トンプソン氏は、1年前のWMFの脆弱性のパターンをこう認識している。ブラックハット研究者が新しい脆弱性を発見して、攻撃コード作者に「解禁日」付き、つまりその日（おそらくは月例パッチの日あるいはその直後）が来るまで使えないという条件で販売する。

　ロジャーはこのように語っている。

　2005年に実際に起きたのは、悪党がビジネスに本腰を入れてきたということだ。彼らがやりたいのはインターネットを屈服させることではなく、インターネットで自分たちのネットワークを拡大することだ。彼らの中でも特に賢明なCoolWebSearch一味は、脆弱性を公表するセキュリティメーリングリストを調査するのをやめて、ゼロデイを買いたいという広告――「どうしてあなたのゼロデイコードをタダであげてしまうのですか？　わたしたちに売ってください」――を出し始めたようだ。

　2006年の脆弱性の中で最も目立ったのが、Microsoft Officeアプリケーションに関連するものだ。Officeよりも重要性が劣るプログラムでも多数の脆弱性が発見されたし、おそらくその一部も売られただろう。少数のネットワークを標的にするなら、マイナーなプログラムで十分かもしれない。

　これらの脆弱性に関しては幾つか重要な点がある。これらはたいてい、脆弱性にパッチを当てなくてもウイルス対策プログラムで対処可能であり、ほとんどの場合、これらをうまく使うにはソーシャルエンジニアリングが必要になるということだ。

　ウイルス対策技術による保護は、「限定的なターゲット型攻撃」の被害者にはたいてい役に立たない。このため多くの専門家は最近、シグネチャベースのウイルス対策アプローチの「死」について不満を訴えている。だが、ほかのユーザーにとっては役に立つ。攻撃の有効期間を抑えてくれるからだ。それに、さまざまなアプローチを使って未知の攻撃を遮断しようとする製品はたくさんある。

　ソーシャルエンジニアリングは、セキュリティにおける嘆かわしい「定数」だ。他人をだまして危険な行動を取らせることができれば、少なくともある程度のレベルのアクセスを手に入れられる。少数のネットワークを標的にするのであれば、企業のWebサイトから入手したアドレスにあてた上級幹部からのメッセージに見せかけた電子メールを使うことは想像に難くない。少なくとも2〜3人のユーザーにたどり着くのは難しくないだろう。それでも、どのくらいの攻撃が成功しているかは今なお不明だ。

　そういうわけで、今なお問題はあるが、一般ユーザーが攻撃される可能性は低くなっている。そしてユーザーの自己防衛力は向上している。2007年には、いつもそうだが、状況に合わせて事態が変わると思っていい。例えば、「パッチの日＝ゼロデイの日」のパターンが続けば、Microsoftは戦略を調整しなくてはならないかもしれない。

　そうなればおそらく、パッチはもっと頻繁に提供されるようになるだろう。わたしは攻撃を遮断するポリシーが全般的に厳しくなる方に賭ける。

原文へのリンク