ラック SNS事業本部の新井悠氏
[画像のクリックで拡大表示]
 「昨年予想したとおり,2006年はボットとスピア攻撃が大きな脅威となった。2007年は,攻撃やマルウエア(悪質なプログラム)の『見えない化』がさらに進むだろう」――。ラック SNS事業本部 セキュリティプランニングサービス部 担当部長の新井悠氏は12月14日,報道関係者を対象とした説明会において,2006年のネット・セキュリティを総括するとともに,2007年の傾向を予想した。

2006年は“予想通り”,ゼロデイとボットが猛威

 2005年暮れ,新井氏はITproの取材に応え,2005年に顕在化したボットおよびスピア攻撃が,2006年も脅威であり続けると予想(関連記事)。同氏の予想どおり,ボットとスピア攻撃のいずれも猛威を振るった。

 例えば2006年2月には,ボットネット(ボットに感染したマシンで構成される仮想的なネットワーク)により,米国の決済会社へDDoS(分散サービス妨害)攻撃が仕掛けられた。このとき確認されたトラフィックは12Gビット/秒。「それまで,ボットネットが生み出すトラフィックは5Gビット/秒程度とみられていたが,それを大きく上回った。海外では,この程度(12Gビット/秒)のトラフィックを生成するボットネットが構築されているのが現状だ」(新井氏)。

 最近では,シマンテック製品に見つかった脆弱性を突くボットネットが確認されている(関連記事1関連記事2)。「ボットは,新しい脆弱性が見つかれば,それを突くための機能(Exploit)を実装する。シマンテック製品を狙うボットネットは,その典型例といえる」(新井氏)。

 特定の企業や組織を狙うスピア攻撃も多数出現した。ほとんどの場合,スピア攻撃は修正パッチが未公開の脆弱性を突く「ゼロデイ攻撃」である。しかも,ユーザーが“うっかり”開いてしまうように,オフィス・ソフトのゼロデイの脆弱性を突く文書ファイルを使って攻撃する。

 「2005年は2~3件だったオフィス製品を狙うゼロデイ攻撃が,2006年は十数件確認されている」(新井氏)。例えば,メールに添付された文書ファイルを開くだけで,ゼロデイ攻撃の“餌食”となる。ゼロデイなので,パッチをきちんと適用しているユーザーも被害に遭う。

 数が増えただけではない。世界中で利用されているMicrosoft製品だけではなく,「主に国内で利用されている『一太郎』を狙ったゼロデイ攻撃が出現したことに衝撃を受けた」と新井氏は語る(関連記事1関連記事2)。一太郎のファイル形式は電子申請などで指定されているので,重要な情報が保存されているパソコンに一太郎がインストールされている可能性は高い。

 ゼロデイ攻撃対策の一つは,「事前に見つけること」(新井氏)。同氏は,一太郎や花子の脆弱性を発見し報告している(関連記事1関連記事2)。

 「パッチ未公開の脆弱性を突くプログラムを公開することは,以前から“当たり前”のようにおこなわれている。ただしそれらはベンダーに対策を促すためのもので,プログラムと一緒にセキュリティ情報(アドバイザリ)も公開している。しかし現在では,『攻撃ありき』になっている。ゼロデイの攻撃ファイルに気づいて,そのファイルを専門家が調べない限り,新しい脆弱性が見つかったことは分からない。攻撃が見えなくなっている,つまり,『見えない化』が進んでいる」(新井氏)

姿を隠すマルウエア

 「見えない化」は,攻撃だけではなくマルウエアの分野にも及んでいるという。その代表例が,2006年になって増加している「ダウンローダ」。ダウンローダとは,実行されるとインターネット上のサイトから別のマルウエアをダウンロードして実行するプログラムのこと。「(ダウンローダの増加を)業界関係者の一部は非常に懸念している」(新井氏)。というのも,ダウンローダはHTTPやHTTPS(HTTP over SSL)を使って通信をおこなうので,通常のWebアクセスと区別することが難しいからだ。

 別のファイルに自分自身を埋め込んで感染する「ファイル感染型ウイルス」も“復活”しているという。「現在のファイル感染型ウイルスの多くは,Windowsなどのシステム・ファイルに感染して,それらのプロセスに自分自身を隠す」(新井氏)。一時は減少傾向にあったファイル感染型だが,最近では増加傾向にあり,「ウイルスの“勢力地図”を塗り替えるに至っている」(同氏)。

 ここ数年は,多数のウイルス添付メールを送信して感染を広げる「Netsky」ウイルスが“ダントツ”だったが,ウイルスの届け出先機関である情報処理推進機構(IPA)の情報によれば,今年出現したファイル感染型ウイルス「looked」と「Stration」の報告数がNetskyに肉薄しているという。

 ユーザーがパソコンを使っている間だけ動作するマルウエアも増えている。今までは,サーバー・マシンに感染して四六時中動作するウイルスや,OSの起動と同時に動き出して稼働し続けるウイルスが多かった。

 ところが最近では,レジストリなどの設定を変更して,ユーザーが特定のアプリケーション(例えば,Internet Explorer)を使っている間だけ動作するようなマルウエアが増えているという。これならば,パソコンのハードディスク・アクセスのランプが点滅しても,ルーターのネットワーク・アクセスのランプが点滅しても,マルウエアの活動によるものだとは気づかないだろう。

 ゼロデイ攻撃やダウンローダなどの“流行”が示しているように,脅威の「見えない化」の傾向が顕著になっている。この傾向は,2007年も続くだろうと新井氏は予測する。

 これに併せて新井氏が予測するのは,「ゼロデイとの“戦い”の本格化」である。これだけ問題になっているゼロデイ攻撃に対して,セキュリティ業界は手をこまねいているわけではない。「2006年後半から,ゼロデイ攻撃に対応できるセキュリティ製品が市場に出始め,“戦う”環境が整備され始めた。こういった製品を利用した戦いが,2007年には一部本格化するだろう」(新井氏)。

 「もちろん,こういった製品を使えば100%防げるわけではない。だが,(最近見られる)オフィス製品を狙ったゼロデイ攻撃には十分効果があると考えられる」(新井氏)。「メール・アドレスを公開している企業・組織には,攻撃ファイルを添付したメールがいつ送られてきても不思議ではない。ゼロデイ攻撃をリスクとして認識する企業・組織では,ゼロデイ対策製品の導入が進むだろう」(同氏)。