(株)シマンテックは6日、東京・渋谷の同社オフィスにプレス関係者を集め、2006年から2007年にかけてのセキュリティー動向と予測を発表した。会場には米シマンテック(Symantec)社のセキュリティレスポンスオペレーションディレクターのケビン・ホーガン氏、および日本でセキュリティーに関する問い合わせに直接対応するセキュリティレスポンスマネージャー、チーフエンジニアの2名が出席し、世界的なトレンドと日本での傾向などについて説明した。
 |
|---|
| 最近のセキュリティートレンドについて説明する、米シマンテックのセキュリティレスポンスオペレーションディレクターのケビン・ホーガン氏 |
ホーガン氏は、「セキュリティーに関することは、カレンダー通りに1月から新たに始まって12月に終わる、となってはくれません。東京とダブリン(アイルランド)、サンタモニカ(米国西海岸)の3ヵ所で8時間ごとに交代しながら、担当地域が責任をもって全世界を監視し、即時対応する体制を整っている。これはクリスマスや正月も休みなく行なっている」と同社のセキュリティーネットワークの体制を説明した。その上で、現在の世界的なセキュリティートレンドを以下の5つにポイントにまとめて紹介した。
- OSからアプリケーションの脆弱性を突く脅威に変化
- Web 2.0によって、新たな脅威が露呈する危険がある。悪用されるのも時間の問題
- 旧来の感染型ウイルスが復活の兆し
- 特定地域型の脅威が増えており、同時に従来と異なる方法で拡散する危険も
- ウイルス/ワームの作成が売名行為からビジネスに変貌
最初のアプリケーションの脆弱性については、Microsoft OfficeやInternet Explorer、Firefox、日本では一太郎などを例に挙げ、「昔からアプリケーションの脆弱性は存在していたが、従来の脅威は(感染したパソコンの)遠隔操作を目的としていたため、アプリケーションの脆弱性はさほど問題視されなかった。今は感染したアプリケーションデータをユーザーが実行するとバックドアを設置したり、トロイの木馬をダウンロードさせる、セキュリティー対策プログラムを停止させるといった行為が報告されている」と脅威が変化しつつあることを例示して警告した。
Web 2.0による新たな脅威では、Ajax(JavaScriptとXHTMLを活用し、画面遷移のないユーザーインターフェースを実現するといった技術)などスクリプトを悪用した脅威が潜在的に出てきていることを指摘。具体的には米国でYahoo!の電子メールにスクリプトを埋め込んで、ローカル(ユーザーのHDD内)にあるクッキーをメール送信させ、受け取った側がそのユーザーになりすますことができる、といった悪用行為の可能性を指摘するページが一時露出していた(現在は削除されている)ことを例に挙げ、従来のプログラム型だけでなく悪意あるスクリプトによる脅威が近い将来には猛威をふるう危険を指摘した。
感染型ウイルスの復活は、実際に顧客からの指摘としてレポートされているという。もちろん、DOS時代とは異なりフロッピーディスクのやりとりで感染するわけではなく、Win32型プログラムがメールやP2P(個人間ファイル交換)によって伝播するもの。ワームとは違って特定ファイルが新たに作られるのではなく、既存のプログラムやデータに付与する形で存在し、自分の存在や感染経路を隠そうと行動するため、ユーザーが気づきにくいという。こうしたプログラムは、自分自身で悪意のある行動(画面を書き換えたりファイルを削除するなど)を起こすのではなく、ほかの悪意あるアプリケーションやファイル(マルウェア)をダウンロードさせるなどして、自分自身は秘匿し続けようとするのでたちが悪い。従来のダウンロード/インストール型のスパイウェアやアドウェアは減る傾向にあり、代わってこうしたマルウェア(ワームやウイルスなど)に変貌してきていると現在の傾向を分析した。
脅威の地域化と分散の手段は、具体的にiPodに感染するワームや、日本マクドナルド(株)がノベルティーグッズとして配布したMP3プレーヤーに感染したウイルスなどを例に挙げて説明した。これらは中国で使われているIM(インスタントメッセンジャー)のIDやパスワードを盗むワームプログラムだが、たまたま接続されているリムーバブルメディアにも感染する性質があったため、製造国の中国から本来ターゲットとはされていない地域へも広まってしまったもの。ユーザー自身もこうした脅威の感染経路があることを認識し、例えば無償配布されているようなデバイスを接続する前にはウイルスチェックする、といった習慣づけが必要であると警告した。
最後のマルウェア開発のビジネス化は、最近セキュリティーメーカー各社が口を揃えて警告していることだが、ホーガン氏は改めて、「従来の常識(に基づいたアドバイス)が通用しなくなっている。誰が信用できるか、どのサイトが信頼できるかを改めて確認する必要がある」と警告する。例えば、最近イタリアで発見されたダイヤラーを含むマスメーラー(特定ISPにダイアルアップ接続してメールを大量配信する悪意あるプログラム)では、VeriSignの証明書が添付されていたという。これは盗用したものではなく、VeriSignからある会社が実際に証明書を購入して、そのプログラムに添付しているもので、そうしたコストをかけてもマルウェアの配布がビジネスになる(利益を上げる)と判断した上での行動と思われる、と説明する。今後、同様の認識のマルウェアが増えてくれば、電子証明書があれば安心といった常識が通用しなくなるわけだ。
そこで同社が今月1日に発表した『ノートン・コンフィデンシャル』では、例えば信頼できるウェブサイトのツリー構造を把握しておき、ホワイトリスト的なセキュリティー判断を行なう機能を搭載したという。従来のブラックリスト(確実に悪意あるサイトと分かっているURLリスト)と照合してアクセスを禁止・制限するだけでは不十分で、従来とは異なる手法でのセキュリティー対策を検討・実装する必要性を改めて強調した。
