毎日のようにウイルス(ワーム)の新種や亜種が発生し,被害は増える一方。ウイルスの最近の動向を中心に,セキュリティ・ベンダーである米Internet Security Systems(ISS)のChief Scientist,Robert Graham氏(写真)に話を聞いた。(聞き手は吉田 晃=日経システム構築)

---最近の不正アクセスの動向は

 ギリシャ神話の「ヒドラ」をご存知だろうか? 頭を一つ切り落としても,二つの頭が生えてくるという神話上の生き物だ。不正アクセスもこれと同じ。一つのワームを防いでも,新たに二つのワームが出てくる。

 このような状況の背景にあるのは,最近急増したハッカーの存在である。ぜい弱性を攻撃するコード(Exploit)を書けるハッカーは2年前には100人程度だった。今では自分でぜい弱性を見つけ,それに対するExploitを書けるハッカーが1000人以上に増えている。ぜい弱性を容易に発見できるツールが,より簡単に入手できるようになったからだ。

---ISSは,その状況にどう対処しているのか

 当社の研究機関「X-Force」では,アンダーグラウンドから収集した情報や公開された情報からぜい弱性を調べるほか,ぜい弱性が公開される前にも独自にぜい弱性の有無を調査している。これらの情報を基に,ぜい弱性の特徴(バッファで扱える容量やぜい弱性があるDLLのファンクション番号など)を見つけ出し,IDS(侵入検知システム)やIPS(侵入防御システム)で利用するシグネチャを作成している。

 当社が提供するシグネチャの特徴は,同一のぜい弱性に対する攻撃ならば,種類や方法が違っても1つのシグネチャで検知や遮断が可能なことだ。Exploitやワームに対し,1つずつシグネチャを作る典型的な方法とは異なる。例えば,SasserとKorgoはWindowsのLSASRV.DLLにある同じぜい弱性(MS04-011)を突くワームだが,これらを同一のシグネチャを使って検知・遮断できた。

 ヒドラの例で言えば,頭を切り落とすのではなく,本体を無効化するということだ。ハッカーはExploitやワームをいくら作っても無駄になる。この「ハッカーをいかに困らせるか」ということが,今後のIDS/IPSの進化で重要だと考えている。

---IPSの話が出たが,米国での導入状況を教えてほしい

 米国では,インターネットと企業の境界にIPSを設置し,通常時はIDSとして利用している企業がほとんどだ。そして,感染力の高いワームが登場するなど非常事態のときだけ,そのワームから企業内のシステムを守るためにIPSを機能させる。軍や金融系企業など,幅広い業種がIPSを利用している。

 企業や軍と全く異なる使い方をするのが大学だ。米国では,大学はオープンにすべきという考えから,ファイアウォールさえ設置できないところが少なくない。不正アクセスを受け放題である。これでは,PCがウイルスに感染したらインターネットに被害を広げてしまう。そこで大学は,インターネットに被害を及ぼさないためにIPSを利用している。想定しているIPSの使い方とは,正反対の利用法だがね(笑)。