セキュリティの専門家が語る「不思議の国、日本」:Next Wave(2/2 ページ)
情報セキュリティの最先端で日夜闘う人々にとって今年以降のホットな話題とは何か。毎年日本で開催されているセキュリティテクニカルセミナー「PacSec」の主催者であるドラゴス・ルーユー氏に話を聞いた。
今年はケータイの脆弱性を突いた攻撃が急増
ITmedia 今年3月に開催されるカナダのCanSec 2009ではどのようなテーマが話題となりそうですか。
ルーユー そうですね、例えば、携帯電話がどんどん高性能化しコンピュータ化している中で、GoogleのAndroid関連など携帯電話のセキュリティに関する論文が数多く集まっており、それが話題の中心になるでしょう。
その中の1つに、iPhoneやAndroidケータイに対して電話をかけることができるエクスプロイトコード(ソフトウェアの脆弱性やセキュリティホールを利用した攻撃の可能性を再現するために作られる検査用コード。リスクや影響範囲などを実証するために公開されることもある)を作った開発者がおり、その人も登壇する予定です。携帯電話は比較的新しいツールのため、セキュリティレベルがPCほど高められておりません。
事実、携帯電話に企業の重要な経営情報やプレゼンテーションを入力する経営層の方も多く、また特に日本では携帯電話でEdyによる支払いが可能になっているので、携帯電話にお金が入っていると見ることもできます。今後は携帯電話の脆弱性を突いた攻撃が急増していくことが予想されます。
また、Webサイト関係もまだまだホットに注目されています。ウイルスや不正アクセスなどの他の情報セキュリティ対策と比べてWebサイトの脆弱性に関してプログラマー側の理解が浅く、デザイン優先、納期優先で脆弱性を対策しないまま構築してしまうといった問題や、ウェブサイトの脆弱性を放置したことで発生する可能性のある情報漏えいやフィッシングなどの危険性といった問題にもスポットが当てられるでしょう。
5年後も引きずるSQLインジェクションへの懸念
ITmedia 2009年以降のセキュリティのトレンドや新たな脅威についてどのように展望していますか。
ルーユー 2009年も、2008年のセキュリティトレンドをそのまま引き継いでいくでしょう。現在注目しているものの1つにWebブラウザが挙げられます。Vista以降OS自体は非常に堅牢に進化しているのですが、OSよりもブラウザが複雑化しており、攻撃者側も防御側もそれに注目している状況です。去年のハッキングコンテストでは、ブラウザをターゲットとしたハッキングを大きなテーマとしたほどですから。
また2つ目は、引き続きSQLインジェクションや標的型攻撃、USBメモリなどデバイスを使ったマルウェアの拡大などがテーマとなるでしょう。特にUSBメモリからのマルウェアに関しては、比較的新しい動きなので現在も注目しています。
ワシントンD.C.の駐車場にUSBメモリが放置されて、それを拾った政府の役人が標的型攻撃の被害にあったケースも発生しています。そのようなソーシャルエンジニアリング的な不正行為は、数千年前から行われているものであり、今後も決してなくなることはないでしょう。
SQLインジェクションについては、長年話題になっているので何をいまさらと思うでしょうが、プログラマー全員に扱うべきではない文字列やルールを徹底しなければならないという別の問題を引きずっています。プログラマーの卵が社会に出て、セキュリティに関する知識や経験が不慣れなままデータベースを構築してしまうことで、いまだに問題が継続しているのです。恐らく5年後も懸念し続けなければならない課題のようです。
ITmedia ルーユーさんの2009年の目標とは、そして日本のセキュリティ担当者や専門家の方々に対して期待することとは何でしょう。
ルーユー 今後もSecWestカンファレンスは、新しく登場する脅威やセキュリティ問題に常にフォーカスしていきます。特に日本のPacSecに関しては、日本と米国とヨーロッパ、そしてアジア各国の方々が集まってお互いにディスカッションし、情報のフローを増やしてチームとしてセキュリティの課題を解決していけるような場にしたいと考えています。
日本人はチームで活動する場合、非常に強力なパワーを発揮する国民性があると感じます。その力を活かし、チームとしてセキュリティの課題に取り組み、世界に貢献していただきたいと考えています。
また私は、日本はとても不思議な国だと感じています。新しい技術を取り入れることに関しては非常に素早く、普及の範囲も広い。人口に対するiTunesの利用割合は世界トップレベルに達しているほどですからね。それにも関わらず、不正プログラムの感染の比率は世界で最も低いのです。これは恐らく、コンピュータの使用における教育やセキュリティに関する教育が非常に正しく、かつ徹底されている証拠ではないでしょうか。セキュリティの関係者の皆様には、その努力を今後も継続していただきたいと思っています。
関連記事
- 新型インフルエンザパンデミック対策――非常時の事業シナリオ
いつ起こるかを予測する段階となった新型インフルエンザの世界的蔓延。パンデミックBCPと従来の災害BCPとは何が異なるのか、またその策定ポイントや課題には何が存在するのだろうか。 - 標的型攻撃に備えよ! ただし抜本対策は見つからず(後編)
巧妙に偽装しひっそりと忍び寄る脅威に対し、いかに疑いの目をもって発見し被害を未然に防げばいいのか。後編ではセキュリティの専門家が考える具体的な対処策について紹介する。 - 標的型攻撃に備えよ! ただし抜本対策は見つからず(前編)
2008年から標的型攻撃が急増し、一般企業においても深刻な脅威となりつつある中で、その手法や目的などが十分に分析されておらず、今はまだ有効な対策が講じられていない状況だ。今回は情報セキュリティの専門家による脅威の分析と施策の一端を紹介する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.