このページの本文へ

2012年、日本のITはどうなる?第5回

標的型マルウェアの爆発的な増大に対する技術革新は?

標的型攻撃には敗北宣言?「出口対策」がキーワードに

2012年01月17日 06時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

セキュリティという分野で見ると、2011年は相変わらず激しい攻撃にさらされた状況であった。攻撃対象を明確にしたAPT(Advanced Persistent Threat)や標的型と呼ばれる攻撃に大企業や官公庁が襲われた。また、最近流行するSNSやスマートフォンをターゲットにした攻撃も増加した。こうした攻撃は既存の技術で防げるものなのだろうか?

2011年「も」手を変え、品を変えの攻撃

 2011年もソニーや三菱重工などをターゲットにした、さまざまなサイバー攻撃事件が新聞を賑わせた。4月にソニーグループのオンラインサービスにおいて史上最大規模の情報漏えい事件が発表され、9月には国防や発電など基盤産業を担う三菱重工へのサイバー攻撃が大きな話題となった。

 こうした攻撃のインパクトは、やはりセキュリティ対策に投資しているはずの大企業や官公庁が大きな被害を受けたことだ。セキュリティ対策に予算と人を割けない中小企業の情報システム部の担当者は、「明日は我が社」という恐怖を通り越し、すでに「あきらめの境地」に達しているかもしれない。

2011年はスマートフォンにもセキュリティソフトが搭載されるようになった

 また、TwitterやFacebookなどのSNSを狙った攻撃も増加した。個人情報の宝庫とも呼べるSNSの情報を使ったフィッシングや短縮URLを悪用したマルウェア感染などは、SNSを日常的に利用するユーザーにとって大きな脅威となりつつある。さらに爆発的な普及を続けているスマートフォンへの攻撃も2011年のトピックだ。スマートフォンもSNSと同じく、数多くの個人情報が格納されており、最近はビジネス利用も本格化しつつある。こうした情報を狙ったフィッシングやマルウェアは、うなぎ登りに増えてくるはずだ。

 とはいえ、攻撃対象や手法は変わりつつも、ブロードバンド普及移行の「愉快犯から犯罪へ」という流れは変わらない。インターネットが生活に密接に関わるようになった段階で、情報に金銭的な価値が認められ、犯罪者がそれを狙うという状況だ。さらに、ネットワークが社会インフラとなりつつある昨今、攻撃対象も個人や企業の情報から、原子力発電や送電線などより重要度の高いものにシフトし、犯罪がより国家的な規模で行なわれるようになってきたのが現状といえる。米国がサイバー攻撃を「戦争行為」と見なすようになったのも、無理からぬ事態だ。

「被害を最小限にする」アプローチへの移行?

 こうした攻撃にどのように対応するのか? 2010年はクラウドとの連携という切り口が見られた。つまり、シグネチャやパターンファイルを定期的にダウンロードするのではなく、フローやコンテンツごとにクラウド上のデータベースに問い合わせるというやり方である。ここまでリアルタイム性を高くしないと、最新の攻撃や不正サイトなどをキャッチアップできないという事態にまで至っているわけだ。

 しかし、2011年は各分野でのセキュリティ製品の技術革新が低調だったように思える。つまり、シグネチャやヒューリスティックなどの既存の攻撃・マルウェア検知技法とクラウド連携という既存の手法で攻撃を乗り切るという方向性だ。唯一、注目すべきは2011年夏に4年ぶりにバージョンアップを果たしたSymantec Endpoint Protection 12で導入された「Insight」くらいであろうか。

Symantec Endpoint Protection 12で導入されたInsightでは、ユーザーの少なく、登場の日にちの浅いものの評価を下げる

 製品に関しても、たとえばファイアウォールを置き換えるゲートウェイセキュリティの要である「UTM(Unified Threat Management)」は、新製品も少なくなっており、特徴も検知技術よりもパフォーマンスにフォーカスされているような印象。エンドポイント関連製品に関しても、SNSやスマートフォン対応やGUI強化が進んだくらいで、検出技術が従来に比べて大きく変わったという印象はない。

 この背景には、もはや「攻撃を防ぐ」のではなく、「被害を最小限にする」という方向性に移ってきた点が挙げられる。2011年によく聞いたのが、情報漏えいや不正なマルウェアの拡散を防ぐ「出口対策」という表現である。ここには、情報漏えい対策の重要性を表現するだけではなく、「入り口で防ぐのはもう難しいので、せめて出口は固めようよ」的なニュアンスが見え隠れする。既存の技術でOKと考えているベンダーもいるのかもしれないが、マルウェアに家のマシン(もちろん、大手ベンダーのエンドポイント製品導入済み)を蹂躙された担当にしてみると、本当に大丈夫か、きわめて懐疑的だ。

 こうして見てみると、セキュリティベンダーは爆発する標的型マルウェアに敗北宣言を出したようにも見える。もちろん、そうではないと反論してもらいたいが……。2012年は、セキュリティベンダーの技術的な奮起を期待したいところだ。

カテゴリートップへ

この連載の記事
ピックアップ