このページの本文へ

セキュリティの専門家が語る最新の脅威と対策 第4回

パターンファイルの限界を脆弱性の観点から考える

“脆弱性”ってなに?NTTデータ先端技術のリサーチャーが解説

2013年12月09日 14時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

12月6日、シマンテックは脆弱性を突くWeb攻撃に関する記者説明会を開催した。NTTデータ先端技術の辻伸弘氏をゲストに迎え、そもそも脆弱性とはなにか? なぜパターンマッチングでは限界なのか? などの素朴な疑問が解説された。

脆弱性を突かれるとなにが起こるのか?

 現在、セキュリティの脅威や実際の事件が語られる際には、必ずといってもいいほど「脆弱性(Vulnerbility)」という用語が頻出する。元侵入テスターで現在はセキュリティリサーチをメインに手がけるNTTデータ先端技術のntsujiこと辻伸弘氏は、シマンテック主催の記者説明会でこの脆弱性について説明した。辻氏は、「コンピューターやネットワークなどの情報システムにおいて、第三者が保安上の脅威となる行為に利用できる可能性のあるシステム上の欠陥や仕様上の問題点」というe-wordsでの脆弱性の解説を引きながら、「いわゆるコンピューターの弱点。秘孔を突かれたら、ダウンしてしまうイメージ」と説明する。

NTTデータ先端技術 辻伸弘氏

 こうした脆弱性は、現在はWebブラウザやJava、Acrobatなどのアプリケーションに見られるという。セキュリティ的に脆弱とみなされることの多いWindows OSだが、「2008年、Confickerで脆弱性を突かれて以降、実はこちらからアクティブに攻撃できるものがない」(辻氏)とのこと。OSのセキュリティレベルが上がったことで、攻撃対象はアプリケーションに移行。また、アクティブな攻撃よりも、Webサイト等に誘いだして、コードを実行させる「水飲み場型攻撃」が増えているという。

 脆弱性を突いた攻撃が行なわれると、なにが起こるか? よく「任意コードが実行されます」というわかりにくい表現をされるが、辻氏によると「好き放題にされちゃいますということ」とのこと。要はPCのユーザーと同じ権限で、ファイルを削除する、シャットダウンする、遠隔操作する、などがなんでも行なえるわけだが、こんな目立つことは行なわれない。「実際は制御の奪取やドライブバイダウンロード、バックドア(RAT)の設置などが行なわれる。裏で動いているので、ユーザーは気がつかない」(辻氏)。

マシンのデスクトップを奪うことも可能だが……

実際の攻撃では目立つことは行なわれない

 こうした脆弱性に関しては、「システムを把握する」「最新の状態にする」「Fix itなどの緩和策」などが重要になるが、実際は脆弱性のリリースから攻撃までの時間が短縮されており、限界があるという。既知のモノですら約1日で、まさにゼロデイ化が進んでいるのが現状だ。さらに2004年以降、マルウェアのソースコードが開示され、感染させたマルウェアの管理を容易に行なうツールキットなども増えており、マルウェアと脆弱性とは切っても切り離せない関係になるという。

 では、どのように対策するか? 従来は「怪しいファイルは開かない」「怪しいサイトはアクセスしない」「パターンファイルは最新に」といった対策が喧伝されるが、これらは最新の攻撃には通用しないという。「そもそも怪しいファイルや怪しいサイトはわからない。怪しいサイトではない、普段アクセスしているサイトから攻撃される」(辻氏)。

既存の対策は最新の攻撃に通用しない

 では、これからのセキュリティはどうあるべきか? これについて辻氏は「見た目で怪しい人を探す方法はすでに限界。金庫の前で待ちかまえて、現行犯逮捕するしかない」と語る。脆弱性を利用した攻撃でシステムに侵入し、情報詐取などの目的を達成するというサイクルのいずれかを断ち切るべく、膨大な量のマルウェアを検出するのではなく、量的に少ない脆弱性を狙った攻撃を侵入防止(IPS)等で確実に防ぐべきというのが、専門家としての意見だ。辻氏は、最新のセキュリティ対策ソフトについて「メッセージもユーザーフレンドリーになり、新しい機能も使いやすくなっている。個人的には、パターンマッチ以外の検出精度も確実に上がっていると思う」と述べ、乗り換える価値があると私見を述べた。

SEPのMac OS版にもIPSを搭載

 こうした脆弱性を突く攻撃に対するセキュリティ対策を展開するシマンテックも、パターンファイルの限界を指摘する。シマンテック コマーシャル営業統括本部 ビジネス ディベロップメント マネージャーの広瀬努氏は、「標的型攻撃はカスタムのマルウェアなので、セキュリティベンダーがコピーを入手できない。指名手配書にあたるパターンファイルを作れない」と語る。特に、最新の水飲み場型攻撃には高い技術力を持った組織が背後におり、カスタム仕様のトロイの木馬を使ったり、ゼロデイ・既知の脆弱性を駆使するため、なかなか対抗できないのが実情だ。

シマンテック コマーシャル営業統括本部 ビジネス ディベロップメント マネージャー 広瀬努氏

 これに対して、シマンテックはエンドポイント対策製品に脆弱性対策となる侵入防止(IPS)を2003年から導入しているという。さらに、2005年のリアルタイム挙動分析の「SONAR」、2011年のアプリケーションの安全性評価「Insight」などを追加し、パターンファイルに頼らないセキュリティ対策を実現しているとアピールした。2013年11月からはSymantec Endpoint ProtectionのMac OS版にもIPSを搭載し、標的型攻撃に十分な対策を提供するという。

■関連サイト

カテゴリートップへ

この連載の記事
この記事の編集者は以下の記事をオススメしています