セキュリティの匠たちが注目する3つのトレンド（1/2 ページ）

エフセキュア主催のパネルディスカッションにセキュリティ分野で活躍する国内外の専門家が参加し、「脆弱性攻撃」「プライバシー」「企業セキュリティ」について熱い議論を交わした。

[國谷武史，ITmedia]

　セキュリティ企業のエフセキュアは、同社が運営する「エフセキュアブログ」の開設1周年を記念したパネルディスカッションを開催した。ITセキュリティの最前線で活躍する国内外の6人の専門家が集結し、セキュリティ業界のトレンドについて意見を交わした。パネルディスカッションで取り上げられた内容から、本記事では「脆弱性攻撃」「プライバシー」「企業セキュリティ」に関する3つのトレンドについて、その模様をお伝えしよう。

　会場の同社オフィスに集結したのは、F-Secureセキュリティ研究所主席研究員のミッコ・ヒッポネン氏、マイクロソフトチーフセキュリティアドバイザーの高橋正和氏、セキュアブレイン先端技術研究所チーフセキュリティアーキテクトの星澤祐二氏、サイバーディフェンス研究所上級分析官の福森大喜氏、エキサイト戦略ビジネス室室長の片山昌憲氏、フォティーンフォティ技術研究所CEOの鵜飼裕司氏。

会場の様子。UstreamとTwitterでも中継され、多くのオンライン参加者がメッセージを寄せた

脆弱性を狙う問題

F-Secureのミッコ・ヒッポネン氏

　参加した各氏が注目する今年上半期のセキュリティ問題として、ヒッポネン氏と高橋氏、鵜飼氏が米Googleの中国撤退騒ぎにつながった通称「Aurora攻撃」を、福森氏が「Gumblar攻撃」を挙げた。

　Aurora攻撃は、Googleを含む多くのITベンダーが標的となり、各社の知的財産などが侵害された。ヒッポネン氏は、攻撃に遭った事実をGoogleが公表した点に注目する。「企業が狙われる攻撃の調査を15年手掛けてきたが、攻撃を受けたことを公表する企業はこれまでなかった」という。同氏は、企業や政府を狙うスパイ行為が国際的になりつつあると指摘した。

マイクロソフトの高橋正和氏

　高橋氏は、Aurora攻撃でInternet Explorer（IE）の未修正の脆弱性が悪用された点について触れ、「世界的な注目を集める中でIEの問題ばかりが話題になってしまった感がある。この種の攻撃では幾つもの製品が悪用されており、1つの製品の脆弱性を解決するだけでは対処するのが難しい」と述べた。

　福森氏が取り上げたGumblar攻撃では、国内のWebサイトが多数改ざんされた。改ざんされたWebサイトを閲覧したユーザーが不正サイトに誘導され、多数のマルウェアに感染した。不正サイトで感染するマルウェアは、さまざまな製品やOSの脆弱性を悪用する特徴を持つ。「海外のセキュリティ専門家に聞いても、Gumblar攻撃は日本での被害が目立つようだ。ウイルス対策ソフトで検出できないマルウェアばかりだった」（同氏）

フォティーンフォティ技術研究所の鵜飼裕司氏

　鵜飼氏は、Aurora攻撃とGumblar攻撃に共通する課題として、ベンダーによる脆弱性対応の難しさを指摘する。攻撃者が未修正の脆弱性を見つけて攻撃手法に取り込むようになり、脆弱性の発覚を受けてベンダーが急いで修正に追われるという構図が定着しつつある。同氏は、「MicrosoftがWindows 7やVistaで実装したセキュリティ機能をサードパティーが活用できていない」とも述べた。

　ヒッポネン氏は「“OSで高いシェアを持つMicrosoftのセキュリティ対策への取り組みが不十分だ”と短絡的に考える人がいるが、それは誤っている」とコメントした。「むしろコンピュータでどのようなアプリケーションが利用されているかを正確に理解することが重要だ」という。同氏によれば、WindowsよりもAdobe製品の利用者の方が多いという。また、Windowsの中でもXPが6割以上を占める。攻撃者に最も狙われやすいのは、Windows XPでAdobe製品を利用している環境というのが同氏の意見だ。

　ヒッポネン氏はまた、攻撃者は常に都合の良い攻撃対象を探し、その脆弱性を突く試みを続けるとも話した。「Windows 7の利用が広がれば、一部の攻撃者はMacやスマートフォンに狙いを移すだろう」（同氏）

　各氏は、ベンダーが単独で脆弱性に対処したり、ウイルス対策ソフトのみで対策を講じようとしたりするだけでは、現在の脅威を防ぐことが難しいとの見方で一致した。「ベンダーの枠を超えた取り組みが必要になっている」（鵜飼氏）

　脆弱性問題とは別に、星澤氏は国内でのIT犯罪動向を、片山氏はニュースに便乗する攻撃手法をそれぞれ挙げた。

　今年5月には、マルウェアを使って個人情報を盗み出し、感染者に金銭を要求した人物が逮捕された。星澤氏は、「金銭を狙うサイバー犯罪を象徴する事例になった。今まで国内でもマルウェア犯罪が摘発されるケースはあったが、今後は捜査機関とセキュリティ業界が連携する活動が国内で広がってほしい」と述べた。

　片山氏は、マルウェア感染を狙う攻撃手法に関心を寄せる。例えば2009年はマイケル・ジャクソンの死去に関する話題で不正サイトに誘導する手口が横行した。「ポータルサイトを運営する立場でみれば、ユーザーにリンクをクリックさせようとするサイバー攻撃者の試みは興味深い。相当に工夫していることがうかがえる」（同氏）という。