米シマンテック セキュリティレスポンス ディレクターのケビン・ホーガン氏
米シマンテック セキュリティレスポンス ディレクターのケビン・ホーガン氏
[画像のクリックで拡大表示]

 「2007年のインターネットセキュリティを振り返ると、その特徴の一つは、正規のWebサイトに攻撃キットが仕掛けられるケースが増えたこと。怪しいサイトにアクセスしなくても被害に遭う可能性がある。今や、インターネットに『安全地帯』は存在しない」――。米シマンテック セキュリティレスポンス ディレクターのケビン・ホーガン氏は2007年11月30日、報道陣向けの説明会において、2007年のセキュリティ動向などを解説した。

 ホーガン氏は2007年の特徴として、プロ用の攻撃キット(攻撃ツール)が広く使われるようになったことや、信頼されているブランドが悪用されるようになったことを挙げる。

 代表的な例が、「MPack(エムパック)」や「IcePack(アイスパック)」といった攻撃キットが、有名な企業/組織のWebサイトに仕掛けられるケース。脆弱(ぜいじゃく)性があるソフトウエアを使っている環境では、そういったWebサイトにアクセスするだけで悪質なプログラム(ウイルスなど)をインストールされてしまう。

 「例えば2007年6月、イタリアでは数千の正規サイトにMPackが仕掛けられて、大きな被害が発生した」(ホーガン氏)。どのようにして仕掛けられたのか。詳細は明らかにされていないものの、ホーガン氏は次のように推測する。「少なくとも2社の大手ISPが提供しているホスティングサーバーが不正にアクセスされ、そのサーバーを利用している企業のWebサイトが次々と改ざん。その結果、各サイトのWebページにMPackを呼び出すようなコードを挿入されたと考えられる」(ホーガン氏)。攻撃者は“やみ市場(ブラックマーケット)”から、そのサーバーにアクセスするためのIDとパスワードを入手した可能性があるいう。

 「今までは、ギャンブルサイトやアダルトサイトなどにアクセスしなければ、ウイルス感染などの被害に遭うことはほどんどなかった」(ホーガン氏)。有名企業が運営するWebサイトは、いわば「安全地帯」だったといえる。ところが2007年中盤からは、それらが安全とは言えなくなった。「『怪しいサイトにアクセスしなければ大丈夫』とは言えなくなっている。セキュリティの常識が変わったのだ」(同氏)。

 被害に遭わないためには、まず第一に「ユーザーが認識を改めること」(ホーガン氏)。「怪しいサイトにアクセスしなければ大丈夫」な状況から、「正規のサイトにアクセスしても被害に遭う」状況に変わっていることをきちんと認識して、万全の対策を施す必要がある。

 例えば、利用しているソフトウエアの脆弱性をすべてふさいでおく。「MPackなどには複数のソフトウエアの脆弱性を悪用する機能がある。メディアプレーヤーや圧縮ソフトといったアプリケーションの脆弱性を突く機能も備えているので、OSやブラウザーにパッチを適用するだけでは不十分だ」(ホーガン氏)。

 セキュリティソフトの利用も不可欠。ただし、「シグネチャ(ウイルス定義ファイル、パターンファイル)ベースのアンチウイルスソフトだけでは不十分。プログラムの振る舞いなどからウイルス検出できるソフトや、パーソナルファイアウオールなどを組み合わせて利用する必要があるだろう」(ホーガン氏)。