マイクロソフトが月例で公開するセキュリティ情報のページを読んでいると,iDEFENSEという組織に対する「ぜい弱性発見に対する謝辞」を見かけることがよくある。iDEFENSEは米Verisignが2005年に買収したセキュリティ研究機関であり,セキュリティぜい弱性の研究や,セキュリティ情報の配信サービスを手がけている(ベリサインのWebサイト)。iDEFENSEのSecurity Intelligence Operations担当シニア・マネージャであるBuck Watia氏(写真)に,最近のセキュリティ問題の動向などを聞いた(聞き手は中田 敦=ITpro)。
---ITproでもこれまで何度かiDEFENSEのレポートを取り上げたことがあります(「ボットネットの知られざる「内側」を探る 」など)。そもそもiDEFENSEとは,どのような組織なのですか?
Watia氏 iDEFENSEは,4つのチームで構成されている。1つ目は「Vulnerability Aggregation Team(ぜい弱性収集チーム)」。これはぜい弱性情報を集めるチームであり,社内外800の情報ソースからぜい弱性を収集している。ソースとは,ウイルス対策ソフト・ベンダーであったり,専門家がやっているWebサイトだったりするが,ソースから寄せられる情報は複雑であり,ソースによって情報が異なる場合もある。このチームはそういった情報を修正する役割も担っている。
ぜい弱性を独自に探しているチームもある。それが「iDEFENSE Labs Team(研究所チーム)」だ。ここには,セキュリティ業界でも最も優れた人材がそろっていて,Windowsをはじめとする様々なぜい弱性を発見している。
---iDEFENSEはぜい弱性の発見者に懸賞金を出すそうですが,それは本当ですか?
Watia氏 「Vulnerability Contributor Program(ぜい弱性貢献プログラム)」のことだ。iDEFENSEは,世界各国のエンジニアやハッカーと独自の契約を結んでおり,彼らがぜい弱性を発見した場合,その情報に対価を払っている。協力者は38カ国にまたがり,合計で257人だ。対価は最大で5000ドルを支払っている。
こうやって集めた情報を研究するのもLabsチームの仕事だ。検証してぜい弱性が確認された場合,ベンダーにその事実を報告するとともに,iDEFENSEの顧客に限定して情報を提供している。
2005年に,iDEFENSEは180件のぜい弱性を発見した。iDEFENSEがぜい弱性を発見してからベンダーがぜい弱性を公表するまでにかかった期間は,平均して90日だった。つまりiDEFENSEの顧客は,他のユーザーよりも3カ月先んじて,ぜい弱性の情報を入手できたことになる。米Microsoftのぜい弱性に関していえば,iDEFENSEによるぜい弱性の発見から情報の公開までにかかった期間は,平均して120日だった。
ぜい弱性への対処方法などを仕上げるのは,「Malicious Code Operations Team(悪意のあるコードへの対策チーム)」の仕事だ。このチームの特徴は,各セキュリティ対策ソフト・ベンダーに対して中立であるということだ。悪意のあるコード(Malicious Code)が広まる前に,対策を分析している。
iDEFENSEのチームの中でも最も特徴的なのが「Geo-Politic Threats Team(地政学的脅威分析チーム)」だ。これは世界各国に存在するハッカー・グループの動向を観察し,分析するチームだ。14の異なる言語地域において,ハッカー・グループの動向を探っている。
---ハッカー・グループの動向を探っているのは,どうしてですか?
Watia氏 ソフトウエアにぜい弱性があったとしても,誰かがそれを狙わなければ本当の脅威にはならない。他のセキュリティ組織が「What」や「How」を調べているとすれば,われわれは「Who」や「Why」を調べているのだ。
現在,セキュリティぜい弱性が見つかっているのは,パソコンやサーバーだけではない。PDAや携帯電話など,多くのプラットフォームで見つかっている。プラットフォームが増えたために,対処すべきぜい弱性の数も増えている。例えば,2つのぜい弱性がほとんど同時に見つかった場合,どちらを先に対処すべきか判断できるだろうか?
iDEFENSEがハッカー・グループの動向を追っているのはこのためだ。ぜい弱性が同時に2つ存在する場合,先に対策すべきなのは,既に攻撃コードが存在するぜい弱性であり,ハッカー・グループが狙っているぜい弱性である。数年前であれば,ぜい弱性の公開から攻撃コードの作成まで週単位の時間がかかったが,今は数日でできてしまう。タイム・スパンが短くなっている現在,ハッカー・グループの動向がますます重要になっている。
---最近のセキュリティ問題の動向について,どう考えていますか?
Watia氏 ハッカーの「目的」が大きく変化していることに注意するべきだ。ターニング・ポイントは2003年で,それ以前のハッカーは有名になるために攻撃コードを書いていた。攻撃コードを広めることが,彼らの目的だった。しかし2003年に,ハッカーたちはお金を得るために,攻撃コードを書き始めたのだ。
2004年に入って,彼らの存在はアンダーグラウンドになった。もはや有名になることを目指さなくなった。Microsoftがぜい弱性発見に対して懸賞金を出すようになったのもこの時期だし,ボットネット・プログラムなどの攻撃コードがオープンソース化したのもこのころだ。
2005年には,ハッカーの動機はいよいよお金だけになり,アドウエアやスパイウエアがまん延しだした。また,プロフェッショナル・プログラマーが攻撃コードを書き出した。ハッカーたちは銀行などにターゲットを絞るようになった。
そして2006年,攻撃はより洗練されている。中国にはまだ「ポリティカル・ハッキング」(政治目的のハッキング,日本のサーバーなどへの攻撃がこれに当たる)をおこなっている集団がいるが,ロシアのハッカーは完全に金銭目的だ。
被害が最も大きいのは,ボットネットだろう。ボットネットの特徴は,多目的に利用できることだ。スパム・メールを出すことだけが目的ではない。例えば,オンライン・カジノを脅迫するのにボットネットが使われていることもある。ハッカーたちは金曜日の夜に,オンライン・カジノに対して「週末にボットネットを使ってDoS(サービス拒否)攻撃を仕掛ける」という脅迫メールを出している。稼ぎ時の週末にサーバーが落ちてはたまらないので,彼らの脅迫に屈するオンライン・カジノも存在するのだ。
---日本ではP2Pソフト利用者の情報漏えいが問題になりました。
Watia氏 これは日本だけの問題だろう。米国などではP2Pソフトの配布自体が金銭目的になっている。つまり,インターネットに流通しているP2Pソフトには,大抵アドウエアやスパイウエアがバンドルされていて,ユーザーの情報収集に使われている。そんなこともあり「P2Pソフトは危険」という認識は非常に高い。様々な層のユーザーがP2Pソフトを使っている日本の現状の方が,世界的には稀なのではないだろうか。
