「最近のセキュリティ危機は,ほとんどがWebからの脅威となっている。これを防ぐには大きく3つのポイントがある。Web脅威に対応したソリューション,パターン・マッチングに頼らない検出手法,そして各地域ごとの対応だ」──。
情報セキュリティの総合展示会「Security Solution 2007」に併せて開催された「セキュリティ・ソリューションフォーラム」で10月26日,トレンドマイクロの黒木直樹・上級セキュリティエキスパートは,複雑化・悪質化している脅威からネットワークを守るためのテクノロジなどについて解説した。
黒木氏は,まず最近の脅威の傾向について説明した。最近の傾向として特に顕著なのは,特定の企業・組織や国などを狙う「ターゲットアタック」と,ウイルスなどにいったん感染すると,大量の亜種や別のウイルスなどに繰り返し感染してしまう「シーケンシャルアタック」の2つ。そして,これらのアタックは「何らかの形でWebを媒介したものとなっている」(黒木氏)という。
トレンドマイクロの調査によると,こうしたWebからの脅威は2004年末に比べて2007年第1四半期は6倍以上に増えているという。「いまやほとんどがWebからの脅威と化している言っても過言ではない」(黒木氏)。
このような現状を明らかにした上で黒木氏は,Webからの脅威に対抗するためのポイントを三つ挙げた。それが,冒頭に示した,(1)Web脅威に対応したソリューション,(2)パターン・マッチングに頼らない検出手法,(3)各地域ごとの対応──である。
街全体が暴徒であふれている場合は街中で対処しなければならない
まず(1)について黒木氏は,4階層に色分けした逆三角形の「複数階層モデル」という図を使って説明した。幅が広い上部がインターネット,幅が狭い下部が企業内のクライアントPCを表し,4つの色分けは各階層におけるWeb防御技術を表すという。そしてこの幅が意味することは脅威の数。つまり,インターネット上には脅威があふれているとしても,クライアントPCにたどりつくまでに,さまざまなWeb防御技術を使って脅威の数そのものを減らさなければならないというわけである。
「例えば,街全体が暴徒化している場合には,いくら企業の塀を高くしたり門番を増やしても追いつかない。企業に向かってきている暴徒は,できるだけ街中で食い止めなければならないのだ」(黒木氏)。
そして,最も上の階層であるインターネットでの対策としては黒木氏は「レピュテーション」を挙げた。レピュテーションとは,HTTPで接続する先のドメインや,メールを発信したサーバーのIPアドレスなどを評価して,不適切なデータを排除する技術のこと。「どこから来るデータが正しいのかを判別して,企業に送り込まれる脅威の数を減らす」(黒木氏)ことを狙うという。
一方,(2)のパターン・マッチングに頼らない検出手法としては「不正変更の監視機能」を挙げた。これは,不明なアプリケーションが実行されたときに,システムの挙動を監視したりセキュリティ・ポリシーと照合したりして,最終的に怪しいと判断した場合にアプリケーションの動作を拒否するという技術。最新の同社のウイルス対策ソフト「ウイルスバスター2008」には,同技術が搭載されているという。
最後の(3)に関しては,「最近増えているターゲットアタックに対抗するためには,各地域ごとの対応が必要になってきている」(黒木氏)として,同社のウイルス解析・サポートセンターの「トレンドラボ」の体制について説明した。
以前は,フィリピンにあるトレンドラボを中心としてパターン・ファイルを作成して全世界に配布していたが,最近はトレンドラボを各地に分散させる方向に動いており,日本には今年5月に「リージョナルトレンドラボ」を開設したという。「これにより,日本のソフトウエアにしか起こらないセキュリティの脅威にもいち早く対応し,日本独自の解析を行うことができるようになった。さらに,特定の顧客や特定のウイルスに対応したパターン・ファイルも提供している」(黒木氏)という。
