写真●JPCERTコーディネーションセンターの真鍋敬士理事
写真●JPCERTコーディネーションセンターの真鍋敬士理事
[画像のクリックで拡大表示]

 「マルウエアの攻撃力は日々増大しており,最近発生したインシデントの背景には必ずマルウエアがいる」---。2009年9月3日,「Security Solution 2009」のフォーラムにJPCERTコーディネーションセンター(JPCERT/CC)の真鍋敬士理事(写真)が登壇。「インシデント事例から考えるネットワークセキュリティ」と題して,昨今のセキュリティ・インシデント動向とその対策について講演した。

 JPCERT/CCは,インシデント・ハンドリングを主な活動とする非営利組織である。日本国内のWebサイトで発生したセキュリティ・インシデントの報告を受け付ける窓口となり,攻撃手口の分析や,対策の検討および助言を行っている。また,「寄せられたインシデント情報が二次的に悪用されないように,情報を管理する役目を担う」(真鍋氏)。

 今回の講演で真鍋氏は,まず足元のインシデント動向に言及した。それによると,2009年4月~6月にJPCERT/CCに報告されたインシデントの内訳は,コンピュータに不正侵入する「マルウエア」が43%,攻撃を目的にパソコンやWebサイトの弱点を検索する「スキャン系」が20%,情報を盗む「フィッシング」が15%,Webサイトへの「侵入/改ざん」が5%,「その他」が17%だった。この傾向について真鍋氏は「スキャン系,フィッシング,Web改ざんといった攻撃にもマルウエアが関わっている。インシデントの背景には必ずといっていいほどマルウエアがいる」と分析する。

 インシデントの背景に存在するマルウエアの特徴は,「実用性を意識して作られている」(真鍋氏)ことである。パソコンに感染したマルウエアは,ハードウエアに負担をかけずに静かに活動し,「パソコンのパフォーマンスを監視しても,感染に気がつかないほどだ」(同氏)。また,作成ツールが高度化し専門技術がない人でもGUIで簡単に複雑なマルウエアを作成できるため,最近のマルウエアは単純なパターニングだけでは検知できないほど複雑化しているという。

 こうした進歩により,「マルウエアに感染してボット化したパソコンは,もはや攻撃インフラであり,一つのウイルスの何倍もの攻撃力を持つ」(真鍋氏)。さらに,簡単にカスタム・マルウエアが作成できるようになったため,マルウエアを使った標的型攻撃も増加傾向にある。スピア(標的)型攻撃においては,不正な細工を施したメールを開封させるために,時事ネタや個人情報を巧みに使って信用させる「ソーシャルエンジニアリング的手法が発達してきた」(同氏)という。

 このようなマルウエア攻撃を防御するには,Webサイトやメール,ストレージ・メディアなど「マルウエアの外部からの侵入経路を監視する水際対策だけでは不十分」と真鍋氏は考える。「“外側から内側”のネットワークだけではなく,“内側から外側”へのネットワークを監視し,マルウエアによるインターネット通信を阻止する必要がある」(同氏)。具体的な対策としては,通信ポートと通信プロトコルを監視してメールとWebアクセス以外の通信は抑制することや,プロキシを活用して通信の制御やログをとることなどを挙げた。