「セキュリティを取り巻く環境は大きく変わっている。不正アクセスやマルウエア(悪質なプログラム)といった“脅威”が変化しているためだ。企業のセキュリティ担当者は,この変化に対応しなければならない」---。
米SymantecのCISO(最高情報セキュリティ責任者)であるTim Mather(ティム・メイサー)氏は4月26日,現在開催中のセキュリティ会議/展示会「RSA Conference Japan 2006」の基調講演において,セキュリティに対する脅威現状やCISOの役割などについて解説した。以下,同氏の発表内容の一部をまとめた。
数年前まで,ウイルスやワームなどのマルウエアは,不特定多数をターゲットにしていた。作者にとっては,「誰に感染させるか」よりも,「いかに早く広範囲に感染を広げられるか」が重要だった。ところが現在では,特定の組織や個人を狙うようになっている。例えば,以前出現した「Wittyワーム」は,特定のシステムにおいて感染を広げるように作成されている。
その挙動も“巧妙”になっている。今までのマルウエアは勝手に感染を広げていって,作者がコントロールすることはできなかった。だが,ボットネットに代表されるように,現在のマルウエアはコントロールが“強化”された。作者(攻撃者)がマルウエアを自由に操って,いろいろなことができるようになった。
“しつこく”なっていることも,最近のマルウエアの特徴だ。ユーザーに気付かれないようにパソコン上で動作し,そのリソースを数週間から,長い場合には数カ月にわたって悪用する。気付かれる前に自ら活動を停止して,自分を消去するマルウエアも存在する。
ユーザーをだまして情報などを奪う「ソーシャル・エンジニアリング」も“進化”している。今までは管理者などを装って,ユーザーからパスワードを聞き出した。ところが最近では,人間をだますのではなく,人間を“バイパス”する手口が現れている。パソコンにキーロガーなどを仕込んで,ユーザーを経由せずにパスワードなどを盗むのである。これは,ソーシャル・エンジニアリングの究極の形といえるだろう。
フィッシングも同様である。今までは,同じ文面の偽メールを不特定多数のユーザーに送信していたが,これでは“効率”が悪い。そこで,特定のユーザーや組織を狙うようになってきた。いわゆる「スピア・フィッシング」である。それも,例えば米Citibankの顧客を狙うのではなく,「お金をたくさん預けている“優良”顧客だけを狙う」といった具合に,ターゲットをより絞る傾向にある。
このように脅威が“進化”している理由は,その目的が金もうけにシフトしているためだ。「17歳の少年が,暇つぶしや“功名心”のためにウイルスを作成する」という時代ではなくなっている。スキルのあるプログラマが,ビジネスとしてマルウエアを作成しているのだ。スキルのあるプログラマなら,マルウエアをいくらでも“高度化”できる。犯罪組織がかかわっている場合も少なくない。
セキュリティの担当者は,以上のような環境の変化に対応して,対策を施す必要がある。加えて,セキュリティ環境の変化は企業のビジネスに直接影響を与えることを,ビジネス部門(ユーザー部門)に理解させる必要がある。このことは,全社的な対策を実施する上で非常に重要である。
