進化している攻撃者、「高い事業継続性を実現」とトレンドマイクロが警告

Trend MicroのCTO、デイブ・ランド氏がマルウェアの動向を解説。画像スパムやBGP経路情報の改ざんといった脅威に注意が必要という。

[高橋睦美，ITmedia]

　「マルウェアとスパム、ウイルス、ボットとの間には直接的なつながりが存在する。その上これらの目的が、ステータスシンボルから収入源へと変わってきた。この結果、攻撃者は、何かおかしなことが起こっているとユーザーに気づかせないようにして、感染したコンピュータを長くキープすることを重視するようになっている」――。

　Trend Microのインターネットコンテンツセキュリティ担当CTO、デイブ・ランド氏は、昨今のマルウェアの動向についてこのように語った。

　ランド氏によると、現在インターネットに接続しているPCの7％以上が、何らかの悪意あるソフトウェアに感染し、スパム送信やDoS攻撃、情報盗難などに悪用されているという。その多くは特定の地域に集中しており、中でも多いのが中国だ。その理由としては「違法ライセンスのソフトウェアが多く利用されており、そのためアップデートが行えず、脆弱な状態になっている」（同氏）ことが挙げられると述べた。

　攻撃者側はさらに、インフラ関連企業顔負けの「事業継続性」まで実現しているという。

　例えば2006年12月に発生した地震では、台湾への通信ケーブルが破壊され、多くの企業が影響を受けた。だが、台湾や中国に拠点を置いていたスパマーやボットネットのハーダー（指令者）らは、被害からわずか6分以内に経路を切り替え、ポーランドやイタリアなど、ヨーロッパに本拠を移動したという。「攻撃者側はインフラをコントロールする能力にも長けてきており、高度なインフラやアベイラビリティを備えている」（ランド氏）

IPアドレスに加えWebそのものの「評判」を判断

　この結果、スパムの量はますます増加している。また特に最近見られる特徴として、画像を用いたスパムの急増が挙げられるという。「画像スパムはただでさえ検出が困難なうえ、受信者ごとにカスタマイズを加えた形で送信されており、フィルタリングの手がかりとなる情報が少ない」（ランド氏）

　こうした状況への対策の1つとして、同社がこれまで提供してきた「IPレピュテーション」があるという。これは、メール送信元のIPアドレスごとに振る舞いやさまざまな情報を蓄積し、それに基づいてメールを受信すべかどうかを判断する仕組みだ。

　同氏は、さらに新たな手法も考えているという。IPアドレスではなくドメイン名そのものを監視する「Webレピュテーション」というアイデアだ。

Trend MicroのCTO、デイブ・ランド氏は、IPレピュテーションにWebレピュテーションを組み合わせることで、リスクの高いエリアを特定できないかと考えているという

　まだ構想段階というが、Webレピュテーションでは、Webサーバのドメイン名をもとに、移動状況や登録者の履歴などを参照し、疑わしい発信元かどうかの判定を下す。ただ、これを実現するには「さまざまな要素を収集し、それに基づいて判断しなくてはならない。また1つのデータベースだけでは不可能で、多くの企業のリソースが必要になる」という。

BGP経路情報に改ざんの恐れ

　ランド氏がもう1つ注意を促したのは、ネットワークの経路をコントロールするBGP（Border Gateway Protocol」）のセキュリティだ。一般のエンドユーザーはほとんど気にすることはないが、BGPでは、互いのネットワークを信頼するという考え方に基いて経路情報をやり取りし、ネットワークの接続性を確保している。

　BGPは信頼関係に基づいているがゆえにチェックの仕組みがないのだが、この部分が狙われる恐れがあるという。具体的には、情報のねつ造やハイジャックといった形で、BGPで流される経路情報が改ざんされ、ユーザーがまったく別のネットワークに誘導される可能性があるという。

　「BGPインジェクション攻撃は実際に発生している。問題は、残念ながら攻撃の足跡が残らないことだ。今は、スパム送信などに悪用されているが、将来的に銀行サイトの乗っ取りなどもっと攻撃的なものになり、ボットネット以上の脅威になる可能性がある」（ランド氏）

　残念ながら今のところ、BGPのハイジャックに対する防御策はないと同氏は述べた。よりセキュアなBGP仕様の策定が進んでいるが、それとて人間が関わる以上、悪用される可能性は排除できないという。

　解決策といえそうなのは、各ネットワークが協調し、ネットワークレベルで挙動を監視していくこと。つい先日には、ブロードバンドルータのDNS設定を変えてしまう攻撃手法が報告されたが、こうしたDNSを狙う攻撃と同様、「ISPやネットワークレベルで挙動を監視し、攻撃を把握して数分単位で封じ込めるといった形で対処する必要があるだろう」という。

ISPが鍵を握る

　ランド氏が取材の中で強調したのは、インターネットサービスプロバイダー（ISP）が果たす役割の重要性だ。

　例えばスパムにしても、ISPの大手、トップ20社だけでも対策してくれれば、その数は二桁は減るはずだと同氏は言う。ボットから発信されるスパムの対策にせよ、BGPやDNSといったネットワークの基幹を担う仕組みの保護にせよ、ISPとの協調なしには対策は実現できないとした。「その点日本では、政府主導のボット対策プロジェクトが進んでおり、複数のISPが協力している。これは評価されるべきこと」（同氏）。

　しかも脅威はますます進化しており、リアルタイムな対処が求められている。今は問題が見られなくても、わずか20分後には事態は変化している可能性があるとランド氏。

　こうした脅威の進化に対処するには、「例えば、普段は起動するはずのない夜中の3時にPCが立ち上がってメールを送信していたり、Webサイトのトラフィックパターンに変動がないかといった具合に、コンピュータとネットワーク、両方の挙動を監視し、感染がないか把握していくことが必要だ」（同氏）。

　トレンドマイクロとしても、先日設立を発表したリージョナルトレンドラボなどを通じて、特定の地域をターゲットとしたマルウェアサンプルの収集などを通じ、対処を支援していきたいとした。

　米国では、麻薬などのドラッグ売買から得られるよりも多くの利益が、オンライン詐欺やフィッシングから得られるという報告もある。攻撃の国際化も進んでおり、例えばあるマルウェアがスパムをばらまいたとして、そのスパムの誘導先の違法サイトは台湾に、支払い先はバージン諸島、実際の薬はインドから送られてきて、DNSレコードは日本から……といった具合に分散している。

　こうした事態に対抗していくために、国際的な捜査機関の協力、そしてISPの積極的なが取り組みが欠かせないとランド氏は述べている。