写真1●CT相談室「こんなとき,あなたならどう対処しますか─最新の脅威,攻撃手法の解説と対処法を伝授」
写真1●CT相談室「こんなとき,あなたならどう対処しますか─最新の脅威,攻撃手法の解説と対処法を伝授」
[画像のクリックで拡大表示]
写真2●NTTPCコミュニケーションズ ネットワーク事業部 バリューサービス部長 事業企画部長の小山覚氏
写真2●NTTPCコミュニケーションズ ネットワーク事業部 バリューサービス部長 事業企画部長の小山覚氏
[画像のクリックで拡大表示]
写真3●トレンドマイクロ サポートサービス本部 Threat Monitoring Center マネージャーの平原伸昭氏
写真3●トレンドマイクロ サポートサービス本部 Threat Monitoring Center マネージャーの平原伸昭氏
[画像のクリックで拡大表示]
写真4●モデレータを務めたITpro三輪芳久編集長
写真4●モデレータを務めたITpro三輪芳久編集長
[画像のクリックで拡大表示]

 「ITpro EXPO 2008」のメインシアターで2008年1月30日,ICT相談室「こんなとき,あなたならどう対処しますか─最新の脅威,攻撃手法の解説と対処法を伝授」と題したセキュリティのトーク・セッションが開催された。

 回答者は,NTTPCコミュニケーションズ ネットワーク事業部 バリューサービス部長 事業企画部長の小山覚氏と,トレンドマイクロ サポートサービス本部 Threat Monitoring Center マネージャーの平原伸昭氏の2人。モデレータはITpro編集長の三輪芳久が務めた。

 冒頭,モデレータの三輪編集長が「2007年はセキュリティにとってどのような年だったか」と問いかけると,平原氏はグラフを使ってウイルスなどの不正プログラムの少量多品種化が進行している状況を説明した。2007年は,「ウイルス感染被害の件数のうち,上位10種のウイルスによる被害が占める割合はわずか4.5%」だったという。

 加えて,正規のWebサイトが改ざんされ,別の不正なWebサイト経由で複数のウイルスに感染させる事例が頻発していることも指摘した。「見栄えを変えると改ざんされたことが容易に分かってしまう。このため,見た目はほとんど分からないまま,知らぬ間に不正なWebサイトにアクセスさせられて不正プログラムを強制的にダウンロードされる」ことになるのだという。

 一方の小山氏は,「2007年はサイバーテロが実際に発生した年として記憶される」と指摘した。これは,2007年4月に発生した欧州エストニアの政府機関や銀行などに対するDDoS攻撃のことを指したものだ。

 また「攻撃が非常にシステマチックに行われている」ことも最近の傾向として挙げた。例えば,パソコンをそのままインターネットに接続すると,数分以内にボットなどを送り込もうとする攻撃に遭い,もしボットに感染してしまうと「スパム・メールのプロキシ(踏み台)として使えるかどうかを3~4分で調査され,実際にスパム・メールを送信し始めるまで10分ぐらいしかかからない」という。このようにインターネット上には,攻撃を仕掛ける自動化されたシステムが存在するのだとした。

「検索エンジン最適化」の悪用が頻発する

 次に三輪編集長は,2008年の展望を両氏に聞いた。

 まず平原氏は,不正プログラムなどをダウンロードさせたパソコンの数に応じて報酬が支払われる「アフィリエイト・モデル」などを利用して,金銭取得を目的とした攻撃は2008年も続くとした。その具体的な手口としては,「正規Webサイトの改ざんやSEOポイズニングの悪用が頻発する」と予測する。SEOポイズニングとは,検索エンジン最適化(Search Engine Optimization)手法を悪用し,あるキーワードで検索したユーザーを不正なサイトに誘導する手口のことである。

 これに対して小山氏は,2008年以降,「『永遠のビギナー』対策を真剣に検討すべき」とした。永遠のビギナーとは,セキュリティ対策の大事さはそれなりに理解しているものの,例えばセキュリティ対策ソフトの契約更新をしなかったり,しばらく使っていなかったパソコンを再使用する際に対策ソフトのパターン・ファイルを最新にしないまま,Webやメールを使ってしまうといったユーザー層を指す。

 その具体策の一つとして小山氏は“インターネット上の道路標識”を提案した。ここでいう道路標識とは,セキュリティのナビゲーション・システムを指す。このWebサイトは危険性が高いといったことを,きちんとユーザーに注意喚起できるシステムのことだ。「信頼できる『悪性URL/IPリスト』が継続的に維持・更新できる環境を整えなければいけない」(小山氏)。それには,国を挙げて取り組む必要があるとした。

企業は内から外への通信をチェックせよ

 また小山氏は,最近増加している,特定の企業や組織を狙って仕掛けられるスピア型(ターゲット型)攻撃への対抗策のヒントを示した。「一つカンタンな答えがある。それは企業の内部から外部に向かう通信をチェックすることだ」。スピア攻撃で企業内のパソコンがボットに感染すると,機密情報などを探られて,それを外部に漏らされるといった被害に遭う可能性がある。それを「認証プロキシを活用して,人間がID/パスワードを入力しないと外に通信できない」といった仕組みを取り入れて,水際で情報漏えいを食い止めるのだという。

 「具体的な事例はあるか」という三輪編集長の問いかけに対して小山氏は,NTTグループでは数社がそうした対策を採っていると回答した。

 一方,平原氏は企業でのセキュリティ対策としてWebレピュテーションの重要性を挙げた。Webレピュテーションとは,HTTP接続する際に,接続先サイトの評価(レピュテーション)を参照し,接続を制御する技術のことだ。「ある法人ユーザーは2007年9月,1000台近くのパソコンが十数種の不正プログラムに感染するという大規模被害に遭った。しかしWebレピュテーションを使っていれば被害の大規模化を防げたということが分かった」。

 大規模な不正プログラム被害では,基点となるマザープログラムが次々と新たな不正プログラムを呼び寄せるといった経緯をたどる。Webレピュテーションを使用すれば,このマザープログラムが不正なWebにアクセスすることを妨ぎ,被害を最小限度に抑えることができるのだとした。