パターンファイルの限界を脆弱性の観点から考える
“脆弱性”ってなに?NTTデータ先端技術のリサーチャーが解説
2013年12月09日 14時00分更新
12月6日、シマンテックは脆弱性を突くWeb攻撃に関する記者説明会を開催した。NTTデータ先端技術の辻伸弘氏をゲストに迎え、そもそも脆弱性とはなにか? なぜパターンマッチングでは限界なのか? などの素朴な疑問が解説された。
脆弱性を突かれるとなにが起こるのか?
現在、セキュリティの脅威や実際の事件が語られる際には、必ずといってもいいほど「脆弱性(Vulnerbility)」という用語が頻出する。元侵入テスターで現在はセキュリティリサーチをメインに手がけるNTTデータ先端技術のntsujiこと辻伸弘氏は、シマンテック主催の記者説明会でこの脆弱性について説明した。辻氏は、「コンピューターやネットワークなどの情報システムにおいて、第三者が保安上の脅威となる行為に利用できる可能性のあるシステム上の欠陥や仕様上の問題点」というe-wordsでの脆弱性の解説を引きながら、「いわゆるコンピューターの弱点。秘孔を突かれたら、ダウンしてしまうイメージ」と説明する。
こうした脆弱性は、現在はWebブラウザやJava、Acrobatなどのアプリケーションに見られるという。セキュリティ的に脆弱とみなされることの多いWindows OSだが、「2008年、Confickerで脆弱性を突かれて以降、実はこちらからアクティブに攻撃できるものがない」(辻氏)とのこと。OSのセキュリティレベルが上がったことで、攻撃対象はアプリケーションに移行。また、アクティブな攻撃よりも、Webサイト等に誘いだして、コードを実行させる「水飲み場型攻撃」が増えているという。
脆弱性を突いた攻撃が行なわれると、なにが起こるか? よく「任意コードが実行されます」というわかりにくい表現をされるが、辻氏によると「好き放題にされちゃいますということ」とのこと。要はPCのユーザーと同じ権限で、ファイルを削除する、シャットダウンする、遠隔操作する、などがなんでも行なえるわけだが、こんな目立つことは行なわれない。「実際は制御の奪取やドライブバイダウンロード、バックドア(RAT)の設置などが行なわれる。裏で動いているので、ユーザーは気がつかない」(辻氏)。
こうした脆弱性に関しては、「システムを把握する」「最新の状態にする」「Fix itなどの緩和策」などが重要になるが、実際は脆弱性のリリースから攻撃までの時間が短縮されており、限界があるという。既知のモノですら約1日で、まさにゼロデイ化が進んでいるのが現状だ。さらに2004年以降、マルウェアのソースコードが開示され、感染させたマルウェアの管理を容易に行なうツールキットなども増えており、マルウェアと脆弱性とは切っても切り離せない関係になるという。
では、どのように対策するか? 従来は「怪しいファイルは開かない」「怪しいサイトはアクセスしない」「パターンファイルは最新に」といった対策が喧伝されるが、これらは最新の攻撃には通用しないという。「そもそも怪しいファイルや怪しいサイトはわからない。怪しいサイトではない、普段アクセスしているサイトから攻撃される」(辻氏)。
では、これからのセキュリティはどうあるべきか? これについて辻氏は「見た目で怪しい人を探す方法はすでに限界。金庫の前で待ちかまえて、現行犯逮捕するしかない」と語る。脆弱性を利用した攻撃でシステムに侵入し、情報詐取などの目的を達成するというサイクルのいずれかを断ち切るべく、膨大な量のマルウェアを検出するのではなく、量的に少ない脆弱性を狙った攻撃を侵入防止(IPS)等で確実に防ぐべきというのが、専門家としての意見だ。辻氏は、最新のセキュリティ対策ソフトについて「メッセージもユーザーフレンドリーになり、新しい機能も使いやすくなっている。個人的には、パターンマッチ以外の検出精度も確実に上がっていると思う」と述べ、乗り換える価値があると私見を述べた。
SEPのMac OS版にもIPSを搭載
こうした脆弱性を突く攻撃に対するセキュリティ対策を展開するシマンテックも、パターンファイルの限界を指摘する。シマンテック コマーシャル営業統括本部 ビジネス ディベロップメント マネージャーの広瀬努氏は、「標的型攻撃はカスタムのマルウェアなので、セキュリティベンダーがコピーを入手できない。指名手配書にあたるパターンファイルを作れない」と語る。特に、最新の水飲み場型攻撃には高い技術力を持った組織が背後におり、カスタム仕様のトロイの木馬を使ったり、ゼロデイ・既知の脆弱性を駆使するため、なかなか対抗できないのが実情だ。
これに対して、シマンテックはエンドポイント対策製品に脆弱性対策となる侵入防止(IPS)を2003年から導入しているという。さらに、2005年のリアルタイム挙動分析の「SONAR」、2011年のアプリケーションの安全性評価「Insight」などを追加し、パターンファイルに頼らないセキュリティ対策を実現しているとアピールした。2013年11月からはSymantec Endpoint ProtectionのMac OS版にもIPSを搭載し、標的型攻撃に十分な対策を提供するという。
この連載の記事
-
第9回
TECH
MDM連携は仕掛けの一部?ジュニパーのセキュリティ戦略 -
第8回
TECH
インパーバのセキュリティ対策はデータ活用まで促進する -
第7回
TECH
大規模DDoS攻撃から考える、DNSサーバー管理の重要性 -
第6回
TECH
「セキュリティはユーザーの邪魔をするな」一徹なESETの25年 -
第5回
TECH
ファイア・アイの三輪CTO、感染と攻撃の実態を披露 -
第3回
TECH
サイバー犯罪者をリアル逮捕で法廷に引きずり出す -
第2回
TECH
社内規定に違反しても使うのはクラウド?デバイス? -
第1回
TECH
パスワード使い回し、管理者と従業員の意識に“温度差” -
TECH
セキュリティの専門家が語る最新の脅威と対策 - この連載の一覧へ