最近,セキュリティの専門家がよく口にする言葉が気になっている。「ウイルスをはじめとするマルウエアが潜行するようになってきた」「目的が愉快犯から金銭に変わってきている」「特定の相手を狙うスピア型攻撃が増えてきた」――。アンチウイルス・ソフトや統合セキュリティ・ソフトを搭載していても,その効果が及ばないウイルスやスパイウエアなどの不正なソフト(マルウエア)が増えているということだ。
IPA(情報処理推進機構)が集計,発表しているウイルス感染の届け出件数は,このところ減り続けている(図1)。セキュリティへの意識が高まり,アンチウイルス・ソフトをインストールしたり,プロバイダのセキュリティ・サービスを利用したりするユーザーが増えたことも一因であろう。しかし,本当にそうなのだろうか。セキュリティ専門化が言うように,感染していることに気がついてない可能性はないのだろうか。
 |
| 図1●IPAへのウイルス感染届け出件数 |
シマンテックの「インターネット セキュリティ脅威レポート」によると,マルウエアの種類は増え続けている(図2)。それも最近の増え方は急激である。もっとも,マルウエアが増えていると把握しているということは,セキュリティ・ソフトが検出可能ということである。問題は,セキュリティ・ベンダーでさえ,認識していないマルウエアが増えているのではないかということである。
 |
| 図2●新しいマルウエアの件数 (出展:シマンテック インターネットセキュリティ脅威レポート) |
愉快犯ではなく,金銭目的となると感染が表面化しにくい。むしろ表面化しないように工夫している。もちろん,ファイルを削除されたりパソコンを使用不能にされたりするのは困るが,それよりも知らないうちにID/パスワードなどの情報を盗まれ,機を見て悪用されるのではという不安のほうが大きい。スパイウエアは,やみくもにファイルやデータを集めるのではなく,重要と思われるファイルなどを探して盗み出す。それもユーザーに気づかれないように活動する。
スピア型攻撃がさらに問題を深刻にする。従来,ウイルスなどは自動的に感染を広がるように作ってある。感染が広がる速さが,そのウイルスの“評価”にさえなっている。ところが,特定の相手を狙い撃ちするスピア型攻撃は,感染を広げようとしない。
通常,セキュリティ・ソフトがマルウエアかを検出できるようにするには,そのマルウエア(検体)を入手する必要がある。検体を分析して,セキュリティ・ソフトが検出できるようにパターン・ファイルを更新するわけだ。ユーザーが気づきにくい,感染が広がらないマルウエアは,セキュリティ・ベンダーは検体を入手しにくい。結果,セキュリティ・ソフトが検出できないマルウエアが増えている。
こうなると,セキュリティ・パッチをなるべく早く適用し,セキュリティ・ソフトのパターン・ファイルを毎日更新して,怪しいファイルを開かないなどと,“品行方正”に行動していても,すでにマルウエアが侵入しているかもしれない。
スピア型攻撃をされたら回避できるか自信はない。普段のメールをやりとりする相手になりすましてメールが届く。内容もごく自然。そこにリンクが記述されていたらクリックしてしまう可能性が高い。添付ファイルを開くかもしれない。
事後対策に期待するものの
ときどき思い立ってパソコンをセキュリティ・ソフトで手動スキャンするが,未知のマルウエアが侵入していても検出できるわけがない。今後,“あらゆるマルウエアを検出できる”セキュリティ・ソフトが登場するとは思えない。
となると,事後対策に走るしかない。「データを転送」「ファイルやデータを削除」といった危なそうな動作があればアラートを上げる(Vistaみたいな・・・)。たとえば,「McAfee Data Loss Prevention」(関連記事)のようなセキュリティ・ソフトに期待する。あらかじめ指定したファイルなどを,外部に送信しようとするとブロックするソフトである。このソフトに少し手を加えれば,ユーザー自身が知らないうちに情報が流出するのを防げるのでは。
しかし,ソフトでブロックとなると,そのソフトを回避するマルウエアも登場する可能性がある。となると,LANポートに外付けをしてデータをチェック・・・。これは現実的ではない。
いまさらネットワークとの付き合いはやめられない。あとは盗まれる可能性を想定して,パソコンに保存するファイルやデータ,それから入力する情報に気をつけるしかない。
無駄とわかっていても,ブロードバンド・ルーターのデータ通信ランプやトラフィック測定ソフトを見て,不審な通信はないかを気にする瞬間は今後もなくならないだろう。
