さらにグロブマン氏は、サイバー攻撃ではファイルを使う手口が主流であるものの、今後はファイルを使わない手口が広がっていくと予想する。
ファイルを使う攻撃では、メールやWebなどの経路から最終的に不正プログラムのファイルをコンピュータに送り込んで実行される。一方、ファイルを使わない攻撃はこれまでも何度か報告されており、セキュリティシステムによる検知が難しいことや、コンピュータの権限が攻撃者に奪われてしまうケースがある。
例えば、2015年8月には米国で開催されたBlackHatカンファレンスで、Windows Management Instrumentation(WMI。OSやコンピュータの情報の取得や設定に利用するインタフェース)を悪用する具体的な攻撃手法が示された。5月には「VENOM」と呼ばれるハイパーバイザーの脆弱性を突いて仮想マシンからホストマシンを経由してネットワークの他のマシンに侵入できてしまう攻撃手法も出現した。
グロブマン氏によれば、これらのケースではコンピュータのハードウェアやファームウェアに脅威の影響が及ぶ。OSやアプリケーションレイヤで強力なセキュリティ対策を講じていても、コンピュータの基盤に近いレイヤが脆弱な状態で汚染されれば、脅威を防ぐことが非常に難しくなるという。そこで同氏は、ハードウェアのチップセット内部に脆弱な状態を検知する仕組みを実装し、インテリジェンスのシステムと接続してセキュリティ対策を講じられるというソリューションを紹介した。
このソリューションではIntelが開発したchipsec(ハードウェアやファームウェアのセキュリティフレームワーク)や、セキュリティ関連情報を共有する「Data Exchange Layer」(DXL)を利用して、インテリジェンスのシステムからコマンドで検索すると、脆弱性を抱えたエンドポイントを検出できる。また、具体的にどのような脆弱性を抱えているのかといった情報をコンピュータからインテリジェンスのシステムに取り込める。
IT管理者などがこのソリューションを活用すれば、脆弱なPCやサーバなどを迅速に把握して、ファームウェアのアップデートや堅牢な最新機器へのリプレースといった対応が可能になるという。同社ではこの検出に必要な「Python DXL SDK」というツールも提供する予定だ。
初期段階ではPCやサーバなどのエンドポイント機器を対象にしているが、将来的にはセンサなどのIoT機器や、工場などの制御系システム、重要インフラシステムへもこのソリューションを広げていくという。既に制御系システムや重要インフラシステムがLANを介してインターネットなどの外部ネットワークにも接続されるようになり、PCやサーバなどの情報システムを踏み台にして制御系システムや重要インフラシステムへの不正アクセスが起こり得る状況になりつつある。
ブログマン氏は、「あらゆるモノが“つながる”時代になれば、生命にも危険が及ぶようになる。将来を見据えたセキュリティ技術をいまから用意しなければならない」と述べた。
Copyright © ITmedia, Inc. All Rights Reserved.