最近は,セキュリティに関する大きな事件が報じられることは少なくなったように思います。話題になるのは,ファイル共有ソフト「Winny」経由の情報漏えいぐらいで,コンピュータ・ウイルスやセキュリティ・ホール,不正アクセスなどが一般紙/誌で取り上げられる機会は減っています。

 このような状況では,「最近はセキュリティに関する話をあまり聞かないから,インターネットは平和になったのだろう」と考えても不思議ではありません。実際,知人や取材先からそういった話を聞くことがあります。本当にそうだったら,どんなに素晴らしいでしょう。しかし現実は異なります。専門家に話を聞くたびに,事態はどんどん深刻になっているように思えてなりません。

 その大きな理由は,「ボット」と「スピア攻撃」の“暗躍”です。これらは表沙汰にならないので話題にならず,一般ユーザーの耳に届くこともほとんどありません。しかし,インターネットを確実に侵食しています。

知らないうちにPCを乗っ取る

 ボットとは,パソコンを乗っ取る悪質なプログラムのことです。(広義の)ウイルスの一種と考えてよいでしょう。セキュリティ・ホールのあるパソコンでインターネットに接続したり,攻撃者のWebサイトにアクセスしたりすると,知らない間に仕込まれます。セキュリティ・ホールのないパソコンであっても,メールに添付されて送られてきたボットや,有用なファイルに見せかけてWebサイトなどに置かれているボットを実行すれば,同じくパソコン上で動き出します。

 そして,そのパソコンを攻撃者が自由に遠隔操作できるようにしてしまいます。ボットに感染したパソコンは「ボットネット」と呼ばれる仮想的なネットワークを構築して攻撃者からの命令を待ち受け,命令に従って悪事を働きます。具体的には,スパム(迷惑メール)やフィッシングといったネット詐欺の“プラットフォーム”として利用されます。

 ボットの特徴は,「ユーザーに気づかれないようにリソース(パソコン能力)を盗む」ことと「“闇”のビジネスに悪用される」ことです。攻撃者はボット(ボットネット)を使って,スパムの送信やネット詐欺でお金儲けをします。ユーザーはそのことに全く気がつきません。被害の認識がないので,ボット対策のためにお金や手間をかけたり,利便性を犠牲にしたりしようとは思いません。ユーザーが対策の必要性を感じていないため,「ベンダーも本気で対応しようとは思わない」(ある専門家)のが現状のようです。

 国内の“有志”による調査では,少なく見積もっても,国内のパソコンの40台から50台に1台がボットに感染しているという結果が得られています。この記事を読まれている方あるいはご家族の方のパソコンに,ボットが仕込まれている可能性は十分にあります。

 ユーザーが気づかないぐらいですから,表面上は,パソコンの動作に支障を与えません。このため,「感染してもパソコンが問題なく動くなら別にかまわない」と思う方もいるでしょう。しかし,犯罪の片棒を担がされているということを忘れてはいけません。前述の専門家は,「ボットネットを使ったビジネスは,いまや当たり前のように行われている。異常な状況と考えるべきだ」とコメントしています。

攻撃されても気づかない

 特定の企業や組織だけを狙う「スピア攻撃(英語ではTargeted Attack)」も大きな問題です。関係者からだと思わせるメールに悪質なファイル(プログラム)を添付して送りつける攻撃です。前述のボットが送られることも,少なくないようです。メールの文面や送信元は少なからず思い当たるものなので,受信したユーザーは添付ファイルを開いてしまいます。すると,悪質なファイルが動き出して被害に遭います。

 悪いことに,最近ではスピア攻撃は「ゼロデイ攻撃」と組み合わされています。ゼロデイ攻撃とは,修正パッチなどが未公表のセキュリティ・ホールを悪用する攻撃のことです。特に,オフィス・ソフトのセキュリティ・ホールを突くゼロデイ攻撃が顕著です。オフィス・ソフトのセキュリティ・ホールを突けば,ユーザーに文書ファイルを開かせるだけで,攻撃者は任意のプログラムを実行させることができます。

 最近見られるスピア攻撃の典型的なシナリオは次のとおりです。(1)まず,前述のように関係者からに見せかけたメールをターゲットのユーザーに送ります。メールには攻撃用の文書ファイルが添付されています。(2)ターゲットが添付ファイルを開くと,ファイルに仕込まれたプログラムが勝手に動き出します。(3)動き出したプログラムは元の文書ファイルを削除して,“無害”の文書ファイルを生成してオフィス・ソフトに読み込ませます。(4)オフィス・ソフトが起動して,無害の文書ファイルが表示されます。

 これでは,ユーザーは攻撃を受けたことに気がつかないでしょう。文書ファイルをクリックしたら,自分の意図したとおりに文書ファイルが表示されるわけですから。修正パッチが未公表のセキュリティ・ホールを悪用する攻撃なので,パッチをきちんと適用しているユーザーでもセキュリティ・ホールを突かれてしまいます。ウイルス対策ソフトなどで検出することも難しいでしょう。

 また,万一被害に気がついても,あえて公にする企業/組織はないかと思います。自分たちだけで処理しようとするでしょう。このため,スピア攻撃が実際にどの程度起きているのかは分かりません。ベンダーなどの発表情報に見られる「限定的な攻撃が確認されている」といった記述を読んで,「たぶんスピア攻撃ことだろう」と推測するほかありません。

危険が見えなくなっている

 ITproでボットを取り上げたのは2004年11月,スピア攻撃は2005年6月でした。後者については当時は「スピア攻撃」という言葉はなかったので,Targeted AttackあるいはTargeted Trojan(標的を絞ったトロイの木馬)としていました。その後,状況は悪くなる一方であるにもかかわらず,被害が目に見えにくいために,一般ユーザーの認識と実態が乖離してきているように思えます。攻撃者たちの戦略にまんまとはまっている気がしてなりません。

 ユーザーとしてはどうすればよいでしょうか。今回紹介したボットやスピア攻撃の詳細については,記事末にリストアップした過去記事を参照していただくとして,ここでは,「インターネットは決して平和になっていない」ことだけご理解いただければ幸いです。「そんなこと,言われるまでもない」という方は,身の回りの方にもぜひお伝えください。この“異常な状況”を少しずつでも改善させていくには,ユーザー一人ひとりの正しい理解が不可欠だと思います。

<関連記事>

■■ボット関連■■
インターネット上の新たな脅威「ボット(bot)」に気をつけろ!(2004年12月16日)
ネットの脅威「ボット」の実態をつかめ!---国内の深刻な状況が明らかに(2005年8月29日)
[Networkキーワード]ボットネット(2005年11月14日)
「ボットネット」の正体を探る(2006年1月10日)
極悪ウイルス「ボット」の危険性を認識しよう(2006年5月19日)
ボットネット事件簿(2006年5月29日)

■■スピア攻撃関連■■
「英国の政府機関や企業が『トロイの木馬』に狙われている」――NISCCが緊急警告(2005年6月17日)
「米国の情報をひそかに持ち出そうとするトロイの木馬に注意」,US-CERTの警告(2005年7月11日)
あなたの上司を装って「トロイの木馬」が忍び寄る(2005年7月22日)
「2005年は“スピア型”攻撃とボットの脅威が顕在化」(2005年12月17日)
MS Officeを狙う“ゼロデイのスピア攻撃”が相次ぐ,「攻撃者の利点は3つ」(2006年7月18日)
スピア攻撃と闘う(2006年9月25日)
[Networkキーワード]スピア型攻撃(2006年11月8日)