Windowsメタファイル(WMF)に関するパッチ未公開のセキュリティ・ホール騒動で幕を開けた2006年(関連記事)。マイクロソフトから修正パッチがリリースされて一段落ついたが,今年も2005年同様,さまざまな脅威が出現することを予感させる年末年始だった。
そのような状況だったこともあり,セキュリティの専門家などと話をすると,話題になったのは「2006年のセキュリティはどうなるか?」。話をして感じたのは,「ウイルス*をはじめとする,セキュリティの“脅威”がますます見えなくなっていくのではないだろうか」ということだった。
*ここでは,ワームやスパイウエア,ボットなどを含めた悪質なプログラム(マルウエア:malware)全般をウイルスと呼ぶ。
派手に感染を広げる「アウトブレイク」が減る
その兆候は現れ始めている。最近,特定のウイルス(ワーム)が大流行したという話はほとんど聞かないだろう。2003年1月に出現した「Slammer」(関連記事)や2004年1月の「Mydoom」(関連記事),2004年5月の「Sasser」(関連記事),2005年8月の「Zotob」(関連記事)は流行したといえるが,専門家の間では,いわゆる「アウトブレイク(急速に感染を広げて大流行すること)」には至っていないとする意見が多い。最も直近のアウトブレイクは,2003年8月の「Blaster」(関連記事)までさかのぼるとする見方は少なくなかった。
しかし,アウトブレイクが発生していないからといって,インターネットが安全になっているわけではない。セキュリティ組織やベンダー有志により,国内パソコンの40台から50台に1台がボットに感染していることが明らかにされている(関連記事)。調査に参加した数名に話を聞くと,実際には感染率はもっと高いだろうと口をそろえる。調査では,ネット経由で感染を広げるボットだけを対象とし,メールやファイル共有プログラムなどを経由して感染するボットは除外しているためだ。
身近なユーザーが目に見える被害に遭ったり,メディアが騒いだりしなければ,一般のユーザーはセキュリティを意識する機会は少なくなる。当然である。セキュリティ対策をしたくてパソコンを使っている人などいない。だが,攻撃の手が緩んでいるわけではない。攻撃側が気づきにくいようにしているだけなのだ。
特定の相手だけを狙うスピア型攻撃へ
その最たるものが,攻撃の“スピア化”である(関連記事)。特定のユーザーやグループだけを狙ったウイルスを作成して送りつける(関連記事)。それらのウイルスは,アウトブレイクのような派手な動作は一切しない。パソコンのリソースを極力使わないようにして,感染していることをユーザーに気づかせないようにする。
「派手に感染を広げる」傾向から,ユーザーに気づかれないような傾向に変化したのは,攻撃者(ウイルス作者)の戦略が変わったためだ。攻撃者の目的は,いたずらからビジネスに明確に変化している。数年前までは,マルウエアの感染を広げることが“目的”だった。現在では,感染パソコンを使って金もうけするための“手段”になっている。例えば,感染パソコンからネット・バンクのパスワードを盗んだり,感染パソコンをスパム(迷惑メール)送信の踏み台に悪用する。
感染パソコンを踏み台にしたDDoS(分散サービス妨害)攻撃をちらつかせて恐喝する事件も起きている(関連記事)。あくまでも手段なので,感染していることがばれては困るのだ。これらのことは,2005年に開催されたセキュリティ・セミナーや講演で常套句のように語られた。この傾向は2006年も変わらない。
ウイルス対策ソフトへの過信は禁物
できるだけ気づかれないように“戦略”を変えているウイルス。だが,攻撃側の戦略が変わっても守備側の戦略は変わらない。IT Proで何度も書いているように,次に示すセキュリティのセオリーを守ることに尽きる。
(1)ウイルス対策ソフトを適切に利用する
(2)使っているソフトウエアのセキュリティ・ホールをふさぐ
(3)信頼できないファイルは開かない/信頼できないWebサイトへはアクセスしない
しかし,(1)のウイルス対策ソフトの効力は,年々薄れているように筆者は感じる。もちろん不要だと言っているわけではない。広範囲に感染を広げるウイルス---例えば,「Netsky」のようにメールで感染を広げるウイルス---については,従来通り極めて有効だと考えている。ウイルスの届け出先機関である情報処理推進機構(IPA)によれば,2005年の発見届け出は過去最多だったにもかかわらず“実害率”が低かったという。この原因は,IPAが分析している通り(プレス・リリースのPDFファイル),ウイルス対策ソフトの導入が進んでいるおかげだと思う(関連記事)。
とはいえ,スピア型のマルウエアには弱いと筆者は考える。基本的に,対策ソフトは既知のウイルスの特徴を収めたウイルス定義ファイル(パターン・ファイル)と照合することで,そのファイルがウイルスに感染しているかどうか(ウイルスそのものかどうか)を判定する。そのため,ウイルス対策ソフト・ベンダーがウイルスのサンプル(検体)を入手できなければ,そのウイルスに対応した定義ファイルは作れない。特定のユーザーや企業/組織を狙ってカスタマイズされたウイルスについては,ベンダーが検体を入手できない場合があると聞く。その場合には対策ソフトでは検出できない。
以前から筆者は「対策ソフトは有効だが過信は禁物」と書き続けている(関連記事)。それは変わらないが,「過信は禁物」の度合いが高まっていると思う。もちろん,当の対策ソフト・ベンダーはとっくに気づいていることだろう。誤検出が少なく,なおかつスピア型も検出できるような技術の開発に力を入れているはずだ。期待したい。
結局,ファイルを安易に開かないことが重要
(2)の「使っているソフトウエアのセキュリティ・ホールをふさぐ」ことも重要である。セキュリティ・ホールを突かれると,ユーザーが意図しなくてもウイルスが動き出してしまう。修正パッチの適用や最新版へのアップグレードは不可欠である。
しかし,これも万全の策とはいえない。年末年始の「WMF騒動」を例に挙げるまでもなく,第三者によってセキュリティ・ホールが明らかにされ,ベンダーがパッチを提供する前にセキュリティ・ホールを突くプログラムが出回るケースが後を絶たない。また,いくらセキュリティ・ホールをふさいでも,ユーザーが自分でウイルスを実行すれば,当然被害を受ける。
結局,(3)の「信頼できないファイルは開かない/信頼できないWebサイトへはアクセスしない」といった,ユーザーの心がけが最も重要である。セキュリティ・ベンダーがウイルス対策製品/ソリューションを次々と市場に出しているものの,心がけの重要性が以前にも増して高まっているのだ。
対策製品/ソリューションは有効ではあるものの,最後の鍵を握るのはユーザー自身である。若干なりとも信頼性に欠けるファイルは開かずに,少しでも信頼できないサイトへはアクセスしないようにすれば(リンクをクリックをしなければ),被害を受ける可能性を大幅に低減できる。原始的と思われるかもしれないが,それが現状なのだ。
「そんなこと当たり前。言われるまでもない」と言われてしまえばそれまでだが,ファイルをダブルクリックするその前に,あるいはリンクをクリックする前に,本稿を少しでも思い出していただければ幸いである。