独立行政法人の情報処理推進機構(IPA)は2008年3月18日、最近の「標的型攻撃」に関する調査研究の報告書を公表した。標的型攻撃の多くは別のウイルスをダウンロードするので、「不要な外向きTCPポートをすべてふさぐ」ことなどが対策として有効だという。
今回の調査を実施したのは、セキュリティ企業のフォティーンフォティ技術研究所。同社では、特定の企業/組織のパソコンを狙った「標的型攻撃(スピアー攻撃)」で使われているウイルス(マルウエア)を詳細に解析。その特徴や対策などについて、今回の報告書にまとめた。報告書は36ページ。PDFファイルとして公開している。
報告書によれば、標的型攻撃で最初に感染するウイルスの多くは、攻撃者が用意したインターネット上のサーバーから別のウイルスをダウンロードして、ユーザーのパソコンに感染させる機能を持っているという。
このため、「別のウイルスをダウンロードするために、最初のウイルスが送信する『ダウンロード要求』を遮断できれば、被害を防げるケースが多いと考えられる」(フォティーンフォティ技術研究所の副社長兼CTOの鵜飼裕司氏)。
具体的には、企業/組織のゲートウエイ(ファイアウオールなど)で、不要な外向きTCPポートをすべてふさぐことが対策となる。遮断することが難しいHTTPやHTTPS(SSL)については、プロキシー経由でしか通信できないようにする。
「今回調査したウイルスに対しては、これらの対策は有効だ。ただし今後は、これらの対策を回避する仕組みを備えたウイルスが出現する可能性がある。セキュリティは『いたちごっこ』なので、万全の対策は存在しない。守る側としては、今後もウイルス解析を継続して、変化に対応できるようにしておく必要がある」(鵜飼氏)。
