シマンテック、個人向けセキュリティーソフト
『Norton Confidential』の記者説明会を開催
米シマンテックのアジアパシフィック担当プロダクトマーケティングマネージャのフィリップ・ヒッキー氏 |
(株)シマンテックは13日、東京・渋谷の同社オフィス内会議室にプレス関係者を集め、6月27日に開発発表を行なった個人向けセキュリティーソフト『Norton Confidential(ノートン コンフィデンシャル)』の記者説明会を開催した。Norton Confidentialは、インターネットで悪意のあるウェブサイトに接続するなどして、個人情報が流出することを防ぐという、トランザクションに特化したセキュリティーソフト。今年第4四半期(10~12月)に発売予定で、今夏β版を一般公開するとしている。価格は未定。
脅威の質が“悪名を上げる”ことから
“金銭目的”へと変わってきた
説明会には、米シマンテック(Symantec)社のアジアパシフィック担当プロダクトマーケティングマネージャのフィリップ・ヒッキー(Phil Hickey)氏が出席し、最近のトランザクションにおける脅威の変化、およびそれに対応するNorton Confidentialの機能や特徴などを説明した。
ヒッキー氏がシンガポールの新聞を取り出して、同国の2つの銀行がフィッシングサイトに狙われたことを報じている記事を紹介 |
ヒッキー氏によると、オンライン犯罪の傾向が従来のクラッカー(悪意のあるハッカー)が自分の名を広めるために行なう行動から金銭目的へと変貌していると説明。具体的な違いとして、
- 従来の脅威
- 感染・発症した場合、ユーザーの目に見える症状が出る
無差別に攻撃を行ない、目立つ行動をとる - 最近の脅威
- 目に見えない形でユーザーの個人情報(ID/パスワードや個人識別のための各種情報)を盗み出す
金銭目的で、特定銀行の顧客をターゲットにするなど的を絞った攻撃を行なう
などを上げ、“従来の脅威”は減少傾向にあり、“最近の脅威”が増えてきたことを説明した。
金銭目的のクラッカーによる具体例。これはクラッカーが開発したID/パスワードを盗み出すクライムウェアを1000ドル(約11万5000円)で販売していることを宣伝する画面 | 同じくクラッカーが盗み出した米国のID(個人識別番号)が1万ドル(約115万円)で販売されていることを警告したFTC(the Federal Trade Commission)の警告画面 |
具体的に攻撃者が使うツールとしては、“キーロガー”(キーボードからの入力を記録する)と“トロイの木馬”(ユーザーの意図とは無関係に情報を第三者に送出する)を組み合わせ、さらに“なりすまし(フィッシングサイト)”や“ファーミング”(URLと接続するIPアドレスの関係を記述したhostsファイルを書き換えて、ユーザーを悪意のあるサイトに誘導する)といった手段が多く使われていることを指摘した。特にフィッシングサイトは年々増えており、1~5日程度の短期間に新しいフィッシングサイトが立ち上がっているのが現状だという。キーロガーやトロイの木馬のような犯罪につながる悪意のあるソフト(クライムウェア)も、新しいものが日々10件ずつ登場し、そのうち97%は危険度が高いと言われている。
Norton Confidentialでは、
- 詐欺サイトからの保護
- ウェブサイトの認証
- クライムウェアからの保護
- パスワードセキュリティー
- 秘密情報ブロック
という5つの機能で、個人ユーザーが不用意に悪意のあるサイトに個人情報を入力してしまったり、例え正しいサイトであっても入力した個人情報が知らないうちに第三者に流出している、といった事態を防ぐという。
Norton Confidentialの画面例。緑のアイコンとステータスバーは、接続しているサイトが正常なものであり、クライムウェアも存在しないことを示す | クライムウェアが見つかった場合の警告画面。赤いステータスバーに変わっているのが分かる |
具体的には、まずウェブサイトに接続する際にそのサイトがURLを偽装(I→1など紛らわしいものに置き換えたものなど)していないか、コンテンツをどこか有名なサイトから引用して、ユーザーを誤解させるために構築されたサイトではないか、など110のテスト項目を元に分析・検証して、その結果“危険”と見なされるサイトの場合には、接続時にユーザーに警告を表示する。
さらにサイトに接続しようとするとメモリー上に展開されているプロセスをチェックして、既知・未知のクライムウェアが動作していないかを確認。未知のクライムウェアについてもビヘイビア分析(ふるまい、行動パターンの解析)によって怪しいプログラムを検出できるという。
怪しい振る舞いをするサイトが見つかった場合。ステータスバーが赤くなると同時に、ユーザーに「直ちに接続を中断して、ウェブブラウザーを終了」するように警告の文章が表示される | すでに不正サイトであることが確認されているサイトに接続しようとした場合の画面。不正サイトに接続しようとしていることを強く警告する |
もしユーザーの環境にクライムウェアがある状態でウェブサイトに接続したり、明らかに不正サイトと確認されているウェブサイトに接続しようとすると、ウェブブラウザーに目立つ形で警告を発し、ユーザーが誤って個人情報を入力しないように止めるという。対応するウェブブラウザーは当初はInternet Explorer 6.xで、その後Mac版のFirefox、Safariなどにも対応を進める。また、未知のURLで怪しいサイト(上記110のテスト項目に当たる項目が多いサイト)があった場合には、ユーザーに警告を出すと同時に、シマンテックのセキュリティーレスポンスラボに通報し、サイトの確認を行なって、必要であればシグネチャーファイルを更新するとのこと。
なお、同社ではNorton Confidentialの開発に合わせて、トランザクションの脅威を紹介する専用サイト(http://www.symantec.com/transactsafely)を立ち上げて、ユーザーへの啓蒙を図るとしている。
フィリップ・ヒッキー氏単独インタビュー
説明会の後で、ヒッキー氏に個別インタビューを行なった。ここではその一問一答を紹介する。
ちなみに、Norton Internet Securityの最新版(2006)にはNorton Confidentialの機能はほとんど含まれていません。しかし、現在開発中の2007年版では機能のリフレッシュ(全面的な変更)が予定されています。機会があったら開発者に質問してみると面白いでしょう。また、両者に共通する“クライムウェアの検出”はNorton Internet Securityが常時検査・検出するのに対して、Norton Confidentialではインターネットのウェブサイトに接続するときに初めて検出する、という違いがあります。
こうしたユーザーの行動の変化に合わせて、犯罪の内容も変わってきました。フィッシングサイトが過去1年で300%と急増しているほか、クライムウェアの増加率も100%と増えています。