企業のセキュリティ対策を根本から見直さなければならない状況が迫っている。攻撃者が特定の個人や組織をターゲットにした「狙い撃ち攻撃」(ターゲット攻撃やスピア攻撃とも呼ぶ)を始めたからだ。狙い撃ち攻撃では,未知のぜい弱性(修正ソフトが提供されていないぜい弱性)を突き,ウイルス対策ソフトに引っかからない未知の攻撃プログラム(対策ソフトが対応していない攻撃プログラム)が使われる。
そのなかでも,最近特に目立っているのがMicrosoft Wordを狙った攻撃である。2007年に入ってから,既に種類の異なる未知のぜい弱性を狙った攻撃が確認されている(関連記事1,関連記事2)。いずれも関係者を装った電子メールに,攻撃プログラムを組み込んだWordの文書を添付してターゲットに送り付ける。被害は公表されていないため不明だが,もしユーザーがこのWord文書を開いていれば,パソコンに悪意のあるプログラムが仕込まれ,パソコン上にある情報が根こそぎ持っていかれたはずだ。
従来型対策だけでは不十分
未知のぜい弱性,未知の攻撃プログラムが使われるため,狙い撃ち攻撃にはこれまでの対策がまったく利かない。従来であれば,大企業であれ,中小企業であれ,パソコンにウイルス対策ソフトを入れパターン・ファイルを常に最新に保つこと,ゲートウエイにファイアウオールを置くこと,そしてパソコンにこまめにセキュリティ・パッチを当てていればほとんどの攻撃からシステムを守ることができた。もはやこうした対策だけでは,不十分なのだ。
狙い撃ち攻撃への対策は,とにかく犯罪者の攻撃の成功の確率を下げることしかない。具体的には,犯罪者が狙ってくるであろうポイントに,その攻撃を防ぐための製品を配備し,可能な限り自動化して守りながら,専門家が24時間体制で監視する。まず,製品としてはバッファ・オーバーフローと呼ぶぜい弱性(Wordファイルを開いただけで悪性プログラムに感染する攻撃に使われる)が攻撃されたときに検知し,攻撃をブロックするソフトウエアやハードウエア,プログラムの挙動を監視し不正な動きを検知する製品,ファイルを暗号化する製品などを導入する。
監視では,ネットワークの状態を常に見張り,危険な兆候がないか,全体のセキュリティ・レベルが均一になっているか,をチェックする。また,監視担当者は最新のセキュリティ情報に目を光らせ,もし,新しい情報が入ってくれば,すぐさま自社のシステムに影響がないかを評価する。
持てるものと持たざるものに溝が深まる
ここまでの対策となると,導入できる企業や組織は限定されてくる。政府機関や大手企業など,セキュリティにコストをかけられる組織なら,こうした対策は可能だろう。しかし,ネットワーク・セキュリティの世界では,成功した攻撃は手順が自動化され,広く使われるようになる。こうした狙い撃ち攻撃も,攻撃対象の裾野が拡大していくことになるだろう。もしかしたら,既に攻撃を受けているのに表面化していないということもあり得る。
世間では毎日のように所得の格差問題が議論されているが,こうした格差は企業のネットワーク・セキュリティでも生じようとしている――。最近,そんなことを記者は感じるのだ。
