ニュース
» 2006年12月15日 13時17分 公開

2007年、脅威はさらに「見えない化」する

2007年は「ゼロデイ攻撃」と「マルウェアの見えない化」がキーワードになるだろうとラックの新井悠氏は予測する。

[高橋睦美,ITmedia]

 「2007年は、2006年に続き『ゼロデイ攻撃』がキーワードになってくると思う」――ラックでSNS事業本部セキュリティプランニングサービス部担当部長を務める新井悠氏は、昨今のセキュリティ動向を総括し、このように述べた。

 同時に「マルウェアの単機能化、活動抑制化も進むだろう。マルウェアの兆候を検出しようとしてもなかなか出てこない状況になるのではないか」と述べ、脅威はますます「見えない化」すると予測している。

ゼロデイが「当たり前」の時代に

 新井氏は12月14日に行ったプレス向け説明会において、まず2006年の傾向から振り返った。同氏はこの1年、「ボットの脅威」と「ターゲット型の攻撃」が増加すると予測していたが、その予測はおおむね当たったと言える。

 ボットについては、総務省や警察庁の調査などが示すとおり、多くのPCが感染し、DoS攻撃やスパム送信といったオンライン犯罪のインフラとして利用されるようになった。また、11月に登場した、Symantecのセキュリティ製品の脆弱性を狙うボットのように「脆弱性のExploit(攻撃コード)を実装する例も出てきている」(同氏)

 一方、ターゲット攻撃も明らかに増加した。特に、ユーザーが日常的に使うOffice製品の脆弱性を使ったゼロデイは、十数件報告されている。また国内で、それも電子申請などの現場で使われている「一太郎」を狙ったゼロデイ攻撃が登場したことも「ショックだった」(同氏)

 ゼロデイ攻撃自体は数年前から存在した。しかし当時のゼロデイ攻撃は、「こういう具合に悪用される可能性がある」と指摘し、ベンダーの対策を促す「コンセプト実証コード」であり、アドバイザリーの一環だった。しかし今は「いきなり攻撃ありき」(新井氏)。受けた攻撃を調べ、検証して初めて脆弱性の存在に気付くといった具合だ。手間を掛けて解析しない限り何が起きているか分からず、「見えない化」が進んでいるという。

 2007年は「ゼロデイが当たり前の時代になってくるだろう。狙われているという意識をもうちょっと持ったほうがいいかもしれない」(新井氏)

「ゼロデイに対処するには、悪用される前に脆弱性を発見し、対策しておくのも1つの手」と述べたラックの新井氏

 ゼロデイ攻撃に対処するには、最初の検知の部分が重要だという。つまりどんな動きを攻撃の「トリガー」として把握するかが防御の正否を握ることになり、今後の課題になってくるだろうという。

 一方で、いくつか対策に向けた環境整備も始まってきている。Snortの「OfficeCat」や「CounterStorm」、IPS製品などでゼロデイ攻撃対策機能の実装が始まっており、2007年はそれらを使って「ゼロデイ攻撃がどのくらい見え、検出できるか確かめようという動きが一部本格化するだろう」(同氏)という。

マルウェアはますます「見えない化」

 2007年のもう1つのトレンドとして新井氏が危惧しているのが、マルウェアの「見えない化」の進展である。

 1つの例が「ダウンローダ」の増加だ。MicrosoftのレポートやIPAへの届出件数を見ても、従来主力だったマスメール型に代わってマルウェアの「勢力地図」を塗り替えるほどの勢いで広がってきているという。

ダウンローダはいったんPCに忍び込むと、通常のWebアクセスを経由してさまざまなモジュールをダウンロードしてくる。このため「感染したとしても、それを特定する手段が限られている。まさに森の中に気を隠している」(新井氏)

 ファイル感染型ウイルスの復活も「見えない化」の1つだ。従来のワームのようにレジストリを書き換え、PCの起動と同時に活動を開始するのではなく、「クリックなどユーザーの操作をトリガとして活動を初め、PCが動いているときしか活動しないウイルスが出てきた。いわば『オールドスクール』が再び使われる傾向にある」(同氏)という。

 「マルウェアの傾向はステルス化、見えない化という方向に向かっているし、実際にそうなっている」と新井氏は述べた。その理由として、おそらく作者側がマルウェアの活動を目立たせないよう、抑え込もうとしているのではないかという。

 個々のマルウェアだけでなく、マクロ的な動きを見ても「見えない化」が進んでいる。具体的には、1種類のウイルスが全世界的に広がるのではなく、例えば「200種類の亜種を200個ずつばらまく」という具合に小出しにばらまかれるようになった。こうなるとウイルス対策ベンダーや解析する立場からは非常にやりにくい。

 「来年は『見えない』ということが本格化していくだろう」(新井氏)

 見えなくなる脅威への対策はあるのだろうか。新井氏は1つの手段として、ゼロデイ攻撃の検出機能を備えたアプライアンスやヒューリスティック技術が挙げられるとした。

 また運用管理者の立場からは、ネットワークにやってくる「ゴミデータ」を分析してみると、意外なことが見えてくる可能性があるという。一見「雑務」が増えるだけかもしれないが、例えば「公開されているメールアドレスやWebのフォームにやってくるデータを解析し、分析してみると、その中から新型のウイルスだったり、いろいろなものが見えてくるかもしれない」と新井氏は述べた。

 「『気づき』が『見える化』の第一歩になる」(同氏)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ