悪質化と高度化が進む？ モバイルの脅威と標的型攻撃の2012年を占う

米Fortinetでセキュリティストラテジストを務めるディレク・マンキー氏は、2011年に注目されたセキュリティ脅威にモバイルと標的型攻撃を挙げる。これらの脅威が2012年にどう変化するかを解説してくれた。

[國谷武史，ITmedia]

　2011年も多種多様なセキュリティ脅威が発生した。米Fortinetのセキュリティ分析機関「FortiGuard Labs」でシニア・セキュリティ・ストラテジストを務めるディレク・マンキー氏は、特にスマートフォンなどのモバイルデバイスを狙う脅威や、特定の企業・組織を狙う標的型攻撃に注目しているという。2011年にみられたこれらの脅威の動向と2012年の予想について解説した。

モバイル端末のデータを悪用

米Fortinet FortiGuard Labsシニア・セキュリティ・ストラテジストのディレク・マンキー氏

　マンキー氏はモバイルの脅威に注目する理由として、モバイルデバイスに感染するマルウェア（モバイルマルウェア）の急増ぶりを指摘する。同氏によると、2011年に発見されたモバイルマルウェアは2010年に比べて83％増加。標的となるモバイルデバイス向けOSは、特にAndroid OSが全体の43％を占める。これはスマートフォン市場における同OSのシェア動向とも一致しているという。

　ここ数年はモバイルマルウェアの悪質化も進んでいる。かつては電話機能を悪用して有料ダイヤルに勝手に発信し、攻撃者が金銭を搾取するケースが目立ったが、2010年ごろから通話内容やメールの盗聴、電話帳データや位置情報といったユーザー情報を盗み取るものが出現、さらにデバイスを乗っ取り、攻撃者が不正に操作できてしまう「ボット」も登場した。今ではボットに感染した複数のデバイスでサイバー攻撃などが可能になる「ボットネット」を構築できる段階にある。

　こうしたモバイルマルウェアは、Googleが運営するAndroid Marketやサードパーティーのアプリケーションストアで、正規アプリになりすましたり、ユーザーに偽の内容を伝えたりするなどの方法によって配布される場合が多い。「前者は不正に関する報告があればGoogleがアプリを削除するなどの対応を取れるが、後者は難しい。ユーザーは細心の注意を払わなければならない」とマンキー氏は話す。

　2012年はさらなる悪質化が進み、ユーザーのデータを“人質”に取って金銭を要求する「ランサムウェア」やボットネットの台頭、ワームの拡散などを予想されるという。ランサムウェアは、PCではデータの一部を暗号化して操作をできなくし、「復号するため」と称した不審なソフトを売りつけたり、金銭を振り込ませたりする手口が知られる。モバイルではこれに加えて、金銭と引き換えに盗み出したデータの返却を呼び掛けるといた手口が予想される。

　マンキー氏は、またモバイルウェアがOSの脆弱性を悪用する危険性にも注目しているという。2011年3月には「Droid Dream」というモバイルウェアが発見された。Droid DreamはAndroid 2.2以前に存在する脆弱性を突いて管理者権限を盗み取り、盗聴などの悪質な行為を働く。脆弱性を突いて管理者権限が奪取（root化）されると、一般ユーザーの権限ではアクセス不可能なOSのシステム領域などにアクセスできてしまうため、マルウェアの駆除などが非常に難しいとされる。2012年以降は、Android 2.3.6以前のバージョンやタブレット端末向けの3.x（コードネーム「Honeycomb」）、最新バージョンの4.x（同「Ice Cream Sandwich」）の脆弱性が狙われる可能性があるという。

　脆弱性への対応は、PCではOSベンダーやソフトウェアベンダー、セキュリティベンダーによる情報の共有、パッチ開発・提供などの協力体制が構築されているものの、モバイルOSでは十分な体制が整っていないとマンキー氏は指摘する。上記に加えて通信事業者やデバイスメーカーも関わることから、脆弱性対応における関係者間の調整が複雑になってしまうためだ。同氏は、モバイルOSの脆弱性対策でも一刻も早くPCのような体制を確立すべきだと指摘している。

標的型攻撃も悪質化

　標的型攻撃は、これまで特定の企業や組織の内部に侵入して機密情報を盗み出す「APT（Advanced Persistent Threats、高度な手法を用いて長期に渡って続く脅威）」が注目を集めたが、2011年は「ハクティビスト」と呼ばれる集団による脅威が加わった。ハクティビストは、政治的な動機や愉快犯的な動機などを持つインターネット上の不特定多数の集団が、特定の企業や組織を狙ってサービス妨害攻撃を仕掛けたり、不正アクセスによって機密情報を盗み出したりする。

　APTとハクティビストによる脅威の主な違いは、APTが隠密型であるのに対し、ハクティビストはインターネット上で攻撃を予告したり、成果を披露したりするなど行動をあからさまにする。またAPTは企業内のシステムの深部に侵入するために入念な準備が行われ、長い時間が費やされる。ハクティビストはWebシステムなどに集中して短期間に攻撃する。共通点は標的が限定され、狙われた企業や組織では情報漏えいなどの被害が発生する点だ。

　「被害の深刻さや規模でいえばAPTの方が脅威になる。しかし発生頻度でいえばハクティビストによる攻撃の方が脅威だ」（マンキー氏）

　対策についてマンキー氏は、「まずハクティビストによる攻撃への備えを優先してはどうか」とアドバイスする。ハクティビストは既知の脆弱性や汎用的な攻撃ツールを使うケースが多く、こうした情報や対策ノウハウも豊富にあるためだ。APTでは攻撃者の組織が多額の資金や高度な技術を使って、目的の情報を搾取するために綿密な計画を基づいて実行される場合が多い。ハクティビストによる攻撃などを念頭に置いた対策を講じていれば、APTによる脅威を幾らかは緩和できる可能性が高まる。

　だが、APTへの対策は非常に難しいというのが現状だ。2009年に明らかになった「Stuxnet」攻撃では政府レベルの資金力や技術力を持つ組織がイランの原子力設備を標的に攻撃を仕掛けたとされる。

　「2012年はこうした高度な集団による脅威がますます増えるだろう。SCADAのような社会インフラを支えるシステムを不正に操作して、社会を混乱に陥れる事態も想定される。ハクティビストの行動も活発化するだろう」とマンキー氏は警鐘を鳴らしている。