サイバー攻撃は「会社経営」化――米フォーティネットのジー氏が指摘：攻撃者の費用対効果を低いものに

6月に来日した米フォーティネットの創業者でプレジデント兼CTOのマイケル・ジー氏に、近年の脅威の変化、そして今後の対策の方向性について聞いた。

[高橋睦美，＠IT]

　「先日、『アンチウイルスは死んだ』という発言が話題を呼んだが、それはちょっと刺激的すぎる言い方かもしれない。より正確には、『アンチウイルスは成熟した』と表現すべきではないか」――6月に来日した米フォーティネットの創業者でプレジデント兼CTOのマイケル・ジー氏は、このように語った。

　ジー氏は、APT（Advanced Persistant Threat）のような新しい形の脅威が登場したこと自体が、シグネチャベースのアンチウイルスソフトが進化を重ね、成熟してきたことの裏返しだと指摘。そして、サンドボックス技術などを活用した新しいセキュリティ対策は、既存のアンチウイルスを補完し、APTに対してより効果的で効率的な防御を可能にするものだと述べた。

対策の進化が攻撃の進化に

　ジー氏は長年にわたってセキュリティ業界に携わってきたが、特に最近の変化として、攻撃を仕掛けてくる主体が大きく変化したことを挙げたいという。

米フォーティネット創業者、プレジデント兼CTOのマイケル・ジー氏

　「10年前は学生などが楽しみのために作っていた。つまり彼らは本当の意味では“悪人”ではなかった。しかし最近は国際的犯罪組織やマフィアなどが、クレジットカード情報やユーザー名、パスワードなど、お金になる情報を盗み取り、金銭をかせぐために攻撃をしている」（ジー氏）。

　特筆すべきは、「まるで会社経営と同じような形で攻撃を運営していることだ。マルウェアを作成するプログラマーを雇い、リンクを記したスパムメールを送り付けるためにマーケティング担当を雇い、文面を工夫している」（ジー氏）。

　こうした攻撃者らは長年、「金銭を手に入れる」という目的を達成するために、従来型のウイルスを用いてきた。しかし、ウイルス対策ソフトの進化に伴って、従来型ウイルスでは目的達成がより困難になってきた。その結果が、APTをはじめとする、より高度な攻撃手法の出現だ。皮肉なことではあるが「ウイルス対策ソフトの進化が、悪意ある攻撃者にAPTを作成させている」（ジー氏）という。

攻撃のコストを高いものに

　ジー氏は、近年の脅威の傾向として、APTとモバイルマルウェアの増加を挙げた。これは同氏が、Interop Tokyo 2014の基調講演の中でも主張したことだ。

　「当初、APTというものは作成するのが大変だった。しかし今ではツールキットやトレーニングなども用意されており、比較的に簡単に作成できる。『高度（Advanced）』というよりは、『ありふれた（Common）』継続的な脅威、という方が適切かもしれない」（ジー氏）。

　そして「こうした脅威に対応するには、複数の技術を組み合わせることが大事だ」と同氏は述べた。

　「レイヤ2〜4のファイアウォールでは不十分で、コンテンツまで確認できるUTMや次世代ファイアウォールが必要だ。またファイルの検査についても、アンチウイルスエンジンによってまずスキャンした上で、サンドボックス上でその振る舞いをモニターするといった具合に、この手のマルウェア対策においては、『どれか1つだけの対策』では不十分で、複数の技術を組み合わせることが有効だ」（ジー氏）。

　また、経済的観点からの考察も大事だという。つまり「守るべき資産は何で、それにはどのくらいの価値があるか」を認識した上で対処すべきということだ。

　「相手は会社経営と同じようにして攻撃を行っている。つまり、大きなコスト（投資）がかからず、簡単に取れるところから取っていこうとする。同じ1000万ドルの価値を持つ会社AとBがあったとしよう。一方はセキュリティ対策を講じており、盗み出すのに犯罪者側に1000万ドルの投資が必要だとすれば、費用対効果の観点から見合わない。逆に、もう一方は何も対策をしておらず、ほとんど投資せずに盗み出せるとすれば、犯罪集団にとって魅力的なターゲットになる。適切に保護を講じて、犯罪者にとって攻撃をより困難でコストのかかるものにすることが大事だ」（ジー氏）。

モバイル、そしてIoT……広がる脅威

　ジー氏は今後の傾向として、モバイルマルウェア、特にAndroid OSを狙うマルウェアの増加に注意すべきだとした。「Android OSは、攻撃者にとって新たなWindowsのようなものになっている」という。

　「Android OSはオープンで、しかも普及している。その上、決済機能の統合によって簡単に支払いなどが行えてしまうことから、これを狙うマルウェアの数は2013年の1年間で10倍に増えている」（ジー氏）

　ジー氏は、こうしたモバイルの脅威に対しては、サービスプロバイダー側とエンドポイント／端末側、両方からのアプローチが必要だと述べた。「まず大手サービスプロバイダーとともに、ソース側でマルウェアをフィルタしていくことが必要だ。同時に、エンドポイントには、アンチウイルスやファイアウォールソフトをインストールするよう啓発していく必要がある」（ジー氏）

　モバイル環境におけるマルウェアに続き、Internet of Things（IoT）を狙う攻撃も増えてくるだろうと同氏は見ている。

　ただ、IoTにおけるセキュリティ対策にはいくつか課題がある。

　まず、IoTはIT機器とは異なり、屋外など多様な環境で使われる可能性がある。「時には50度、逆にマイナス40度といった環境にも対応しなくてはならない」（ジー氏）。2つめは経済性の観点だ。「例えば、ホームルーターの価格は数十ドル程度。そのデバイスを守るのに、果たして100ドルもするファイアウォールを入れるかというと、おそらく導入しないだろう。ローエンドにおいては経済的な観点も考慮しなくてはならない」（ジー氏）。もう1つはプロトコルだ。IoTでは、これまでなじんできたHTTPなどのプロトコルではなく、独自のプロトコルが使われるケースもある。そうしたプロトコルを理解した上で保護を考えていかなければならない。

　このように説明した上でジー氏は、IoTを狙うマルウェアや攻撃が増加していくことも確実であり、こうした課題に取り組んでいかなければならないと述べた。