エフセキュアのミッコ・ヒッポネンCRO
エフセキュアのミッコ・ヒッポネンCRO

 2003年に拡大したソービングワームや「Sasser」ワーム。その脅威を世界で初めて警告したのがミッコ・ヒッポネン氏である。現在は、フィンランドのセキュリティベンダー、エフセキュアのCRO(Chief Research Officer)を務める。同氏に世界のウイルス攻撃の現状と今後について聞いた。(聞き手は山端 宏実=日経コンピュータ)

ウイルス攻撃の現状はどうなっているか。

 攻撃者の主体が、興味本位で攻撃していた10代の若者から、金銭獲得を目的にした組織へと移行している。例えば、オンラインバンキングシステムにマルウエアを送りつけ、ある口座から攻撃者が指定する別口座に預金を移し変えたり、クレジットカード情報を盗むなどの犯罪が増えている。

企業に対する攻撃はどうか。

 企業については、オフィスソフトに向けた攻撃が急増している。それも不特定多数を狙ったものではなく、特定の企業や組織を狙った標的型攻撃が中心だ。標的になっている企業や組織は、大企業や官公庁、NPO(特定非営利団体)などである。

 標的型攻撃は次のような手口で実行される。攻撃者は、標的にした社員に対し、関係者や同僚などを装ってウイルス添付メールを送信する。このとき、ウイルスの多くはDOCファイルやPDFファイルを装って添付されている。DOCファイルやPDFファイルは、信頼された製品であるため、企業や組織のファイアウオールを通過してしまい、社員は安易にファイルをダブルクリックし、感染してしまう。

 我々が把握しているだけでも、日本企業の数十社が標的型攻撃の被害にあっているはずだ。

どのような対策が考えられるか。

 標的型攻撃は、不特定多数にばらまかれるものではないため、いわゆるハニーポットを設けてウイルスを収集するといった対策が取れず、ウイルス定義ファイルを作成できない。

 当社のウイルス対策ソフト「F-Secure Internet Security 2009」は、標的型攻撃問題に対処できる。プログラムの振る舞いや挙動から不正なものかどうかを検出する機能「DeepGuard」を備えているためだ。

 DeepGuardでは、未知のファイルを検出すると、当社がインターネット上に設けた情報セキュリティサーバーにその旨を通知する。このサーバーには当社が収集した不正ファイルが登録されている。サーバーに通知されたファイルが、既に登録されている不正ファイルに合致すれば、その通信を遮断する。サーバーで照合した結果「不明」と判定されたファイルについては、サンドボックス(仮想環境)で振る舞いや挙動を分析する。

今後、ウイルス攻撃の傾向に変化があるか。

 将来を予測するのは難しい。今後1~2年程度に限れば、Windowsを搭載したノートPCへの無線環境における攻撃が増えるだろう。例えば、空港などでWi-Fiを使って接続したノートPCがワームなどに感染し、その感染したノートPCを社内に持ち帰った際に、感染が拡大するなどが考えられる。こうしたケースの場合、社内ネットワークに設けたゲートウエイでのスキャニングは意味をなさない。