2009年の上半期を振り返ってみると,Conficker(Downadup)とJSRedir-R(GENOウイルス,Gumblar)などのマルウエアの流行が印象深い。どれも感染手口は従来と変わらない。ところが,なぜかこれらのマルウエアはパンデミック(世界的大流行)となった。原因としては感染経路に,外部記憶媒体の利用をはじめ,“ヒト”の要素が入ったことが挙げられる。ただ,問題はそれだけではなさそうだ。
筆者が被害組織の担当者との会話の中で感じたのは,セキュリティ対策そのものに”勘違い”がある場合が少なくないということだ。まず,前述の2種類のマルウエアについて整理してみよう。
図1にそれぞれの主な特徴と過去の攻撃手口の類似点を整理してみた。Confickerは,2003年に流行したBlasterワームの再来と言われた。理由は,感染方法が類似していたためだ。Confickerでは外部記憶媒体など“ヒト経由”の感染方法が追加されているなど違いはあるものの,ネットワーク共有を悪用する点はBlasterワームと同じだった。
一方,JSRedir-Rは,2004年後半から問題視されているアカウント・ハッキングそのものだ。コンシューマが改ざんされたWebコンテンツを閲覧してしまうと,悪意あるWebサーバーに誘導され,Adobe ReaderやFlash Playerのぜい弱性を突かれてパスワード・スティーラをインストールされてしまう。
これらの攻撃の手口は,どちらも“古典的”と言って良い。実は,この古典的な手口を使うことに落とし穴があるのではないかと筆者は考えている。
「セキュリティ対策は十分」の勘違い
もう少し具体的に言うと,多くのユーザーが,「既知の攻撃は既存のセキュリティ製品で防御できる」と誤解しているのではないかと考えている。実際には,古典的な手口による攻撃の方が意外に検出しづらいケースが多い。
“なりすまし”による不正アクセスなどはその典型だ。アクセス制御を回避されてしまうと,防御が困難になることは容易に想像がつく。ほかに,悪性コードを含んだファイルのアップロード攻撃や,一般的な開発ツールのハッキング・ツールへの応用など,単純には検出できないケースは案外多い。
この点を踏まえ,上述の2種類のマルウエアについて考えてみると,よく見られた勘違いが三つ挙げられる。
(1)ウイルス対策ソフトは既知のウイルス名が付いた検体に全対応している(同一種でもタイプごとに異なる動作をすることを想定していない)
(2)セキュリティ機能付きUSBメモリーは安全(販売店の宣伝文句を過信してしまう)
(3)URLフィルタはウイルスを防御する(スパイウエアも防御という宣伝文句を過信してしまう)
このようなセキュリティ製品に関する勘違いにより,被害が拡大してしまったケースは少なくない。これらの勘違いがある限り,同様のセキュリティ事故に悩まされ続けることになる。日を追うごとに攻撃手口は巧妙化し防御が難しくなっている現状を踏まえると,このような勘違いは早々に払拭し,次の一手を考えるべきだろう。
