「見えない化」する脅威、「見える化」で対抗を

IPAの「情報セキュリティ白書 2007年版」によると、2006年はターゲット型攻撃やボットに代表されるとおり、脅威の「見えない化」が進んだ。

[高橋睦美，ITmedia]

　2006年は脅威の「見えない化」が進んだ――情報処理推進機構（IPA）は3月9日に、2006年度のセキュリティ状況をまとめた「情報セキュリティ白書 2007年版」を公開した。

　IPAではこの変化に対し、インターネット上の攻撃行動などを観測する「定点観測システム」やサイバークリーンセンター（CCC）と連携したボット解析機能の強化などを通じて「見える化」を進め、対抗していきたいという。

　情報セキュリティ白書 2007年版は、2006年にIPAに届け出られたコンピュータウイルス／不正アクセス、脆弱性に関する情報や一般公開情報を元に、情報セキュリティをとりまく状況をまとめたものだ。「情報セキュリティ早期警戒パートナーシップ」に参加している研究者や担当者らで構成される「情報セキュリティ検討会」での投票に基づき、セキュリティ上の10大脅威が選ばれている。

　10大脅威の順位は下記の通りだ。IPAがたびたび警告を発している「ワンクリック詐欺」や「セキュリティ対策ソフトの押し売り」は、技術的な要素よりもむしろ心理的／詐欺的な要素が強いことから選外となった。

順位	内容
1位	漏洩情報のWinnyによる止まらない流通
2位	表面化しづらい標的型（スピア型）攻撃
3位	悪質化・潜在化するボット
4位	深刻化するゼロデイ攻撃
5位	ますます多様化するフィッシング詐欺
6位	増え続けるスパムメール
7位	減らない情報漏えい
8位	狙われ続ける安易なパスワード
9位	攻撃が急増するSQLインジェクション
10位	不適切な設定のDNSサーバを狙う攻撃の発生

　IPAセキュリティセンター長の三角育生氏によると、2006年の特徴は、脅威の「見えない化」が進み、状況が把握しにくくなったこと。その代表例が、特定の組織や個人を狙い、こっそり被害を生じさせる「標的型（ターゲット型）攻撃」であり、従来のウイルスのように派手な活動は行わない「ボット」の増加だ。

　三角氏によると、2006年はこの手の標的型攻撃が随所で見られたという。この攻撃は「相手に合わせて作られているため、受け取った本人が実行してしまう。また、対策ソフトウェアを導入していても、検体が手に入りにくいためすり抜けてくる可能性がある」（同氏）

　そのうえ、一連の脅威の間には相関関係が存在する。ゼロデイ攻撃やターゲット攻撃によってボットが拡散し、そのボットがスパムをばらまき、フィッシング詐欺のきっかけになっている。またターゲット型攻撃によって見破りにくいフィッシング詐欺や情報漏洩が生じている……という具合に、見えなくなる脅威の組み合わせによって生じるセキュリティ被害が増えているという。

　残念ながらこうした脅威に対し、「これだけをやっておけばOK」というような対策は存在しない。エンドユーザーとしては、パッチの適用を初めとする基本的な対策を講じ、「ファイルをダウンロードする際に普段と違う警告が出ていないかどうかなど、危ない兆候を見逃さないことが重要だ」と三角氏は述べた。

　一方開発者サイドでは、開発段階からセキュリティ品質を作り込むことが重要だという。「セキュリティは非機能用件ではなく必須の要件と考えてほしい」（三角氏）。SQLインジェクション攻撃が典型的な例だが、「攻撃を受けた後だと、対策費用や逸失利益などがけっこう大きい。設計段階からセキュリティを作り込んでいくのが、最終的には最も安くつく」（三角氏）

　ただ、攻撃者に比べ、守る方は不利な立場にあるのも事実。「従来型の攻撃についてはいろいろと対策が出ている。同じ攻撃が続くのならばそれでいいが、相手は次々と新手の技を使ってくる。対策が進めば進むほど、今まで想定してこなかったインシデントが増えるし、デジタル家電などの新しい使われ方も見ていかなければならない」（三角氏）