このページの本文へ

サイトとクライムウェアのWチェックで情報流出を防ぐ『Norton Confidential』

2006年07月13日 20時21分更新

文● 編集部 佐久間康仁

  • この記事をはてなブックマークに追加
  • 本文印刷

シマンテック、個人向けセキュリティーソフト
『Norton Confidential』の記者説明会を開催

新ロゴ
米シマンテックのアジアパシフィック担当プロダクトマーケティングマネージャのフィリップ・ヒッキー氏

(株)シマンテックは13日、東京・渋谷の同社オフィス内会議室にプレス関係者を集め、6月27日に開発発表を行なった個人向けセキュリティーソフト『Norton Confidential(ノートン コンフィデンシャル)』の記者説明会を開催した。Norton Confidentialは、インターネットで悪意のあるウェブサイトに接続するなどして、個人情報が流出することを防ぐという、トランザクションに特化したセキュリティーソフト。今年第4四半期(10~12月)に発売予定で、今夏β版を一般公開するとしている。価格は未定。



脅威の質が“悪名を上げる”ことから
“金銭目的”へと変わってきた

説明会には、米シマンテック(Symantec)社のアジアパシフィック担当プロダクトマーケティングマネージャのフィリップ・ヒッキー(Phil Hickey)氏が出席し、最近のトランザクションにおける脅威の変化、およびそれに対応するNorton Confidentialの機能や特徴などを説明した。

2つの銀行がフィッシングサイトに狙われたことを報じているシンガポールの新聞
ヒッキー氏がシンガポールの新聞を取り出して、同国の2つの銀行がフィッシングサイトに狙われたことを報じている記事を紹介

ヒッキー氏によると、オンライン犯罪の傾向が従来のクラッカー(悪意のあるハッカー)が自分の名を広めるために行なう行動から金銭目的へと変貌していると説明。具体的な違いとして、

従来の脅威
感染・発症した場合、ユーザーの目に見える症状が出る
無差別に攻撃を行ない、目立つ行動をとる
最近の脅威
目に見えない形でユーザーの個人情報(ID/パスワードや個人識別のための各種情報)を盗み出す
金銭目的で、特定銀行の顧客をターゲットにするなど的を絞った攻撃を行なう

などを上げ、“従来の脅威”は減少傾向にあり、“最近の脅威”が増えてきたことを説明した。

クラッカーが開発したID/パスワードを盗み出すクライムウェア クラッカーが盗み出した米国のIDが1万ドルで販売されていることを警告
金銭目的のクラッカーによる具体例。これはクラッカーが開発したID/パスワードを盗み出すクライムウェアを1000ドル(約11万5000円)で販売していることを宣伝する画面同じくクラッカーが盗み出した米国のID(個人識別番号)が1万ドル(約115万円)で販売されていることを警告したFTC(the Federal Trade Commission)の警告画面

具体的に攻撃者が使うツールとしては、“キーロガー”(キーボードからの入力を記録する)と“トロイの木馬”(ユーザーの意図とは無関係に情報を第三者に送出する)を組み合わせ、さらに“なりすまし(フィッシングサイト)”や“ファーミング”(URLと接続するIPアドレスの関係を記述したhostsファイルを書き換えて、ユーザーを悪意のあるサイトに誘導する)といった手段が多く使われていることを指摘した。特にフィッシングサイトは年々増えており、1~5日程度の短期間に新しいフィッシングサイトが立ち上がっているのが現状だという。キーロガーやトロイの木馬のような犯罪につながる悪意のあるソフト(クライムウェア)も、新しいものが日々10件ずつ登場し、そのうち97%は危険度が高いと言われている。

Norton Confidentialでは、

  • 詐欺サイトからの保護
  • ウェブサイトの認証
  • クライムウェアからの保護
  • パスワードセキュリティー
  • 秘密情報ブロック

という5つの機能で、個人ユーザーが不用意に悪意のあるサイトに個人情報を入力してしまったり、例え正しいサイトであっても入力した個人情報が知らないうちに第三者に流出している、といった事態を防ぐという。

Norton Confidentialの画面例、正常な場合 クライムウェアが見つかった場合の警告画面
Norton Confidentialの画面例。緑のアイコンとステータスバーは、接続しているサイトが正常なものであり、クライムウェアも存在しないことを示すクライムウェアが見つかった場合の警告画面。赤いステータスバーに変わっているのが分かる

具体的には、まずウェブサイトに接続する際にそのサイトがURLを偽装(I→1など紛らわしいものに置き換えたものなど)していないか、コンテンツをどこか有名なサイトから引用して、ユーザーを誤解させるために構築されたサイトではないか、など110のテスト項目を元に分析・検証して、その結果“危険”と見なされるサイトの場合には、接続時にユーザーに警告を表示する。

さらにサイトに接続しようとするとメモリー上に展開されているプロセスをチェックして、既知・未知のクライムウェアが動作していないかを確認。未知のクライムウェアについてもビヘイビア分析(ふるまい、行動パターンの解析)によって怪しいプログラムを検出できるという。

怪しい振る舞いをするサイトが見つかった場合 すでに不正サイトであることが確認されているサイトに接続しようとした場合の画面
怪しい振る舞いをするサイトが見つかった場合。ステータスバーが赤くなると同時に、ユーザーに「直ちに接続を中断して、ウェブブラウザーを終了」するように警告の文章が表示されるすでに不正サイトであることが確認されているサイトに接続しようとした場合の画面。不正サイトに接続しようとしていることを強く警告する

もしユーザーの環境にクライムウェアがある状態でウェブサイトに接続したり、明らかに不正サイトと確認されているウェブサイトに接続しようとすると、ウェブブラウザーに目立つ形で警告を発し、ユーザーが誤って個人情報を入力しないように止めるという。対応するウェブブラウザーは当初はInternet Explorer 6.xで、その後Mac版のFirefox、Safariなどにも対応を進める。また、未知のURLで怪しいサイト(上記110のテスト項目に当たる項目が多いサイト)があった場合には、ユーザーに警告を出すと同時に、シマンテックのセキュリティーレスポンスラボに通報し、サイトの確認を行なって、必要であればシグネチャーファイルを更新するとのこと。

シマンテックより情報の修正があり、ウェブブラウザーはInternet Explorer 6.x、Mac版Firefoxに加えて、Safariにも対応するとの連絡がありましたので、当該個所を修正しました。 (2006年7月14日)

なお、同社ではNorton Confidentialの開発に合わせて、トランザクションの脅威を紹介する専用サイト(http://www.symantec.com/transactsafely)を立ち上げて、ユーザーへの啓蒙を図るとしている。



フィリップ・ヒッキー氏単独インタビュー

説明会の後で、ヒッキー氏に個別インタビューを行なった。ここではその一問一答を紹介する。

[編集部] シマンテックにはすでにセキュリティー対策ソフトとして『Norton Internet Security』があり、また初心者向け統合製品として『Norton 360(コードネーム:Genesis)』も開発中と聞いています。これらと、今回発表されたNorton Confidentialの役割の違いは何でしょうか?
[ヒッキー氏] Norton 360は、すべてのNortonシリーズを集約したものではありません。パフォーマンスをほとんど落とさずに、しかもITスキルの低い人にも使いやすくしたセキュリティースイートがNorton 360であり、それより細かい設定ができる人向けにはNorton Internet Securityや『Norton System Works』(パソコンの設定最適化ツール)などが用意されています。Norton Confidentialとの関係も同様で、8割くらいの機能は共通しています。例えばウェブサイトの認証やクライムウェアのチェック機構は両方に含まれています。しかし、もっと高いセキュリティーを求める方にはNorton Confidentialが必要になります。例えばパスワードのセキュアーな管理であったり、秘密情報の出力を防止するといった機能がそれに当たります。

ちなみに、Norton Internet Securityの最新版(2006)にはNorton Confidentialの機能はほとんど含まれていません。しかし、現在開発中の2007年版では機能のリフレッシュ(全面的な変更)が予定されています。機会があったら開発者に質問してみると面白いでしょう。また、両者に共通する“クライムウェアの検出”はNorton Internet Securityが常時検査・検出するのに対して、Norton Confidentialではインターネットのウェブサイトに接続するときに初めて検出する、という違いがあります。
[編集部] そもそも、どうしてこのようなトランザクションに特化したセキュリティーソフトを開発することになったのか、背景を教えてください。
[ヒッキー氏] 背景としては、1年前から状況が大きく変わったことが挙げられます。1年前にはこうしたソフトを必要とする人がごく限られていた。株式の売買を自宅で行なうデイトレーダーや自宅からの送金が多いごく一部のユーザーなどです。でも今は違う。対象ユーザーの枠が広がっています。例えば銀行のトランザクションの半数がオンラインで行なわれていると言われており、対象とするユーザーも広がっていると考えられます。

こうしたユーザーの行動の変化に合わせて、犯罪の内容も変わってきました。フィッシングサイトが過去1年で300%と急増しているほか、クライムウェアの増加率も100%と増えています。
[編集部] 日本ではオンラインバンキングやトレーディングを携帯電話で行なう人が増えているようですが、こちらへの対策も必要ではないですか?
[ヒッキー氏] 統計で見ると、携帯電話の脅威1件に対して、パソコンにおける脅威は1万件という数字が出ています。携帯電話の脅威として数えられているのは、現在130件ほどですが、ここ6ヵ月で130%の増加率を記録しており、今後は“スマートフォン”と呼ばれる高機能な端末がハッカーの次のターゲットになることは十分考えられます。シマンテックとしても、今後アップグレードを図ろうとしています。ただ、携帯電話における脅威は、現在のパソコンのように特定の攻撃対象(銀行や証券会社など)に限定されるものではなく、従来のウイルス型がまだ多いようにみています。
[編集部] ヒューリスティック検索やビヘイビア分析といった振る舞いをチェックすることで、新しい脅威への対応が可能というのがNorton Confidentialの特徴と聞いています。しかし、新しい脅威に触れる機会があるのは、先進的なユーザーのほうが多いでしょうし、そうした先進的なユーザーほどInterenet Explorer 6.xを嫌って、FirefoxやOpera、さらにβ版が一般公開されているInternet Explorer 7を使っているのではないでしょうか。こうしたIE6以外のウェブブラウザーにもぜひ積極的に対応してほしいのですが。
[ヒッキー氏] Internet Explorer 7はすでに対象と考えています。FirefoxはMac版しか予定していません。Operaへの対応も予定はありません。Internet Explorer 7は正式版がリリースされ次第、Norton Confidentialも対応を表明するつもりです。
[編集部] なぜほかのウェブブラウザーには対応できないのですか?
[ヒッキー氏] Norton Confidentialには主に3つの機能があります。ブラウザーの挙動を監視すること、クライムウェアを検出すること、機密情報の暗号化や承認なしでの情報出力を阻止することです。この中にはウェブブラウザーと密接に連携することで実現できる機能があるためです。
[編集部] 怪しい振る舞いをするサイトに接続した場合、ユーザーに警告すると同時にSymantec側にも通報がいくとのことですが、個人情報を気にする人の中には通報されたくない、自分がどんなサイトを見ていたのか(善意であっても)第三者には知られたくない、と思う人もいるのではないでしょうか。通報するかどうか選択する機能はあるのですか?
[ヒッキー氏] 自動的に通報されます。通報を受けると、Symantecのスタッフがサイトをチェックし、悪意があるサイトかそうでないかを判断して、あいまいな答えではなくYES/NOをきっちり判別してNorton Confidentialのユーザーにフィードバックします。通報が増えれば増えるほど精度が増してユーザーにメリットがあるからです。
[編集部] ブログを立ち上げているユーザーの中には、最近明らかに迷惑サイトにつながるURLを書き込む“スパムコメント”や“スパムトラックバック”に困っている人もいます。こうしたURLは、表示してから通報されるのではなく、「明らかに怪しいサイトだから調べてほしい」という意図で、表示する前にURLを通報してSymantec側でチェックする仕組みが必要ではないでしょうか?
[ヒッキー氏] それについては現在メカニズムの検討を行なっています。

カテゴリートップへ

注目ニュース

ASCII倶楽部

プレミアムPC試用レポート

ピックアップ

ASCII.jp RSS2.0 配信中

ASCII.jpメール デジタルMac/iPodマガジン