左から、マイクロソフトの高橋正和氏、情報処理推進機構(IPA)の鵜飼裕司氏
左から、マイクロソフトの高橋正和氏、情報処理推進機構(IPA)の鵜飼裕司氏
[画像のクリックで拡大表示]
左から、京都大学の高倉弘喜氏、日立製作所の寺田真敏氏、インターネットイニシアティブの松崎吉伸氏
左から、京都大学の高倉弘喜氏、日立製作所の寺田真敏氏、インターネットイニシアティブの松崎吉伸氏
[画像のクリックで拡大表示]

 相次ぐ攻撃の数々。次々と出現する新種ウイルス。それらの脅威は日々“進化”している。日本最大規模のセキュリティ会議/展示会「RSA Conference Japan 2008」において2008年4月23日に開催されたパネルディスカッションでは、セキュリティの専門家が集結。インターネットにおける脅威の現状を解説した。モデレーターは、マイクロソフトの高橋正和氏。

 情報処理推進機構(IPA)の鵜飼裕司氏は、インターネットからコード(プログラムの部品)をダウンロードして姿を変えるウイルス(悪質なプログラム)を解説。ウイルスの中には、攻撃者のサイトからコードをダウンロードして機能を追加するものがあるという。

 コードはメモリー上でのみ展開されるので、元のウイルスファイルを調べても、何をされたのか分からない。「対策の一つは、コードをダウンロードされないように、ダウンロード要求を遮断すること。企業や組織のパソコンは、プロキシーを経由しなければ外部にアクセスできないようにする。これにより、ウイルスによるインターネットへのアクセスを遮断する」(鵜飼氏)。

 しかし万全ではないという。「パソコンの設定を調べて、プロキシー経由でインターネットにアクセスするウイルスが出現している」(鵜飼氏)ためだ。「認証プロキシーを使えば、こうしたウイルスの“バージョンアップ”を防げるが、認証プロキシーに対応したウイルスも、そのうち出現するだろう」(同氏)。

 “バージョンアップ”を阻止できないとしても、バージョンアップのためのトラフィックから、ウイルスの不自然な挙動を検出できないだろうか。「ボット」の挙動を解析している京都大学の高倉弘喜氏によれば、それも難しそうだ。

 「バージョンアップの活動を検出されないように、一般のユーザーと同じような振る舞いをするようにプログラムされている。バージョンアップのためのモジュールをダウンロードするだけではなく、例えば、個人のブログサイトにアクセスして読んでいるふりをする。次のブログサイトにアクセスするまでの時間を、そのサイトのページに書かれている文字数に応じて変える“工夫”までしている」(高倉氏)。

 「身代わり」を立てるボットもあるという。「自分が感染しているパソコンにおいて、ウイルス対策ソフトのスキャンが始まると、攻撃者のサイトから古いボットをダウンロードして、わざと見つけさせる。ほとんどのユーザーはこれで安心してしまい、それ以上詳しくは調べようとしない」(高倉氏)。

 しかも、上記のようなウイルス(ボット)を使った攻撃は、極めて狭い範囲に向けて行われる。いわゆる「標的型攻撃(スピアー攻撃)」だ。こういった脅威に対応するには、「組織間で相互協力しなければならない」と、日立製作所の寺田真敏氏は強調する。

 攻撃が限定的であるため、ほかの組織ではウイルスなどの検体を入手できないのはもちろん、攻撃が発生していることすら分からない。「インシデントの傾向が、不特定多数を狙った以前のものとは変わってきている。インシデント被害の防止や拡大低減には、複数の組織が協力して、情報共有する必要がある」(寺田氏)。

 ウイルスによる攻撃は脅威だが、その攻撃トラフィックは「通常のトラフィックに埋もれてしまうので、検出することは難しい」と指摘するのは、インターネットイニシアティブの松崎吉伸氏。「日本のブロードバンド契約者によるトラフィック総量は、2007年11月時点で、平均800Gbps程度。攻撃トラフィックがそれほど多くなければ、誤差範囲なので検出は困難だ」(同氏)。

 とはいえ、「誤差範囲」の攻撃であっても、「例えば100Mbpsの回線でつながっているWebサーバーなら容易にサービス不能状態に陥ってしまう。複数のブロードバンドユーザーが一斉にURLをクリックするだけで、帯域が埋まってしまう」(松崎氏)。いわゆるDoS(サービス不能)攻撃が可能となる。

 「DoS攻撃を仕掛けておいて、『やめてほしければお金を払え』という脅迫もある。最近耳にした事例では、実際にお金を払ってしまったという。万一やられた場合には、警察のサイバー犯罪相談窓口に連絡するなどして対応し、絶対に支払ってはいけない」(松崎氏)。