ネットの信頼を支える基盤が崩壊? セキュリティ騒動で浮上した課題:業界のエキスパートが討論(2/3 ページ)
OpenSSLの脆弱性問題やリスト型攻撃など、近年はインターネットの信頼を支える基盤を揺るがしかねない事象が多発している。信頼のための基盤は崩壊してしまうのか――セキュリティ業界の専門家陣が議論を交わした。
古くも進まないDNS汚染対策
米谷氏は、2000年代に発生したDNSキャッシュポイズニングを取り上げた。DNSキャッシュポイズニングとは、DNSキャッシュサーバがDNSサーバにドメインの名前解決を行う際、DNSサーバの応答より速く偽のDNS情報をDNSキャッシュサーバに渡すことで、ユーザーを不正サイトなどに誘導できてしまう問題である。特に、DNSキャッシュサーバの利用するユーザー規模が大きいほど、フィッシングサイトに誘導されてしまうなどの危険性が高まる。
米谷氏によれば、今なおDNSキャッシュポイズニングを狙ったとみられる不審な通信が多数観測され、2014年4月現在ではJPドメインのDNSサーバに問い合わせたがあったDNSキャッシュサーバの約10%が、偽のDNS情報を挿入されやすい状況だったという。
対策としては、偽のDNS情報を挿入されないために、UDPポート番号をランダム化やオープンリゾルバの使用停止、DNSSECの導入などがある。しかし、こうした対策がまだ十分に浸透していないとした。
急速に進化するネット詐欺の手口
岡本氏は、2013年から被害が急増するネットバンキングを狙った詐欺攻撃の手口を解説した。警察庁の統計では2013年の不正送金被害は過去最悪の14億円以上になり、今年は5月時点で既にこの規模を上回ったという。
現在の攻撃は、従来のようにネットバンキングのユーザーをフィッシングサイトに誘導してログイン情報を盗み取るだけでなく、マルウェアを使って端末と正規サイト間の通信に密かに割り込み、ページの一部を改ざんして入力情報を盗むケースが増えている。
岡本氏によれば、日本で主流のネットバンキング詐欺ツールは「Zbot」(Zeusなどとも呼ばれる)で、2007年頃から世界的にも流行した。この種のツールは、高度なスキルを伴わなくてもマルウェアを開発できるため、攻撃拡大につながっているといわれる。2014年に入り、「AIBATOOK」などZbotよりも簡易なツールも出現しているという。
ネットバンキング詐欺ツールは、モバイルに対応したものや自動送金機能を備えたものなども登場し、機能の進化が早い。最近ではサイト側から通常では入手困難な電子証明書の情報を特別な手段を盗み出し、さらなる悪用の恐れも出ているとしている。
ゼロデイ攻撃への対応
高橋氏は脆弱性対応おけるポイントを中心に解説した。そもそも脆弱性とは、技術的にはソフトウェア本来の機能における欠陥ではなく、悪意を持った手法によって攻撃の糸口になり得る部分を指す。「自動車に例えると車両の故障や欠陥ではなく、施錠されたドアを、鍵を使わずに開けることができる手法といったイメージ」という。
脆弱性問題で特に騒がれるのが、「ゼロデイ攻撃」と呼ばれる対策方法が公開されていない状態(未知)の脆弱性を悪用する攻撃。脆弱性を解決する根本的な手段(パッチ)が無いため、ゼロデイ攻撃の影響を少しでも減らすには、(既知の脆弱性を解決する)パッチを全て適用するのはもちろん、セキュリティソフトなどその他の対策手法を組み合わせて防御レベルを高めることが重要になる。
ただしどんなに対策をしていても、ドライバーの過失で事故が起きるのと同様に、ゼロデイ攻撃を完全に防ぐ手立ては無い。Microsoftの調査によれば、サイバー攻撃全体に占めるゼロデイ攻撃の割合は0.12%であり、高橋氏はゼロデイ攻撃に限らず、上述の基本的な対策を適切に講じたり、防御能力を高めた最新のソフトウェアを利用したりすることの必要性を提起している。
Copyright © ITmedia, Inc. All Rights Reserved.