企業ユーザーもスパイウェア対策が
当たり前の時代
岡田大助2006/3/16
ウイルス対策ソフトと同様にスパイウェア対策ソフトの導入が一般的になってきた。2005年にはいくつかのスパイウェア対策専用ソフトが発売され、また多くのウイルス対策ソフトがスパイウェア対応をうたった。
スパイウェア対策ソフトはコンシューマを中心に普及しているが、ウイルス対策ソフトの普及と同様に企業でもスパイウェアに備えておくべきだろう。専門家によれば、ウイルスやボット、あるいはフィッシング詐欺が特定企業を狙い撃ちにするスピア(やり)型の攻撃を行っているのと同様に、スパイウェアの一種に分類されるキーロガーも特定の企業を狙い撃ちにしているという。
米Webrootからスパイウェアの動向報告書「State of Spyware(SoS)」2005年第4四半期版が公開されたので、それを基にスパイウェアのトレンドを見てみよう。同社は米国や欧州を中心にスパイウェア対策専業のベンダとして広く認知されている。なお、日本法人によれば、SoS最新版の日本語版は現在翻訳作業が行われているとのことだ。
2005年のスパイウェア事件を振り返る
スパイウェアは日々、増殖しており、その全体を完全に把握するのは難しいかもしれない。2005年に大きな話題となったのは、何といってもSony BMGのrootkit事件であろう。SoSでも2005年第4四半期のニュースのトップとして取り上げられている。
Sony BMGは、音楽CDの不正コピーを防ぐ目的で、英First4Internetが開発したデジタル著作権管理(DRM)ソフトを導入した。ところが、このDRMソフトのふるまいが極めてrootkit的に作られており、消費者の猛反発を受け集団訴訟に発展した。ユーザーの同意なしにソフトウェアが組み込まれてしまうだけでなく、このソフトウェアが原因となってクラッキングやウイルスに感染する可能性があるとされる。訴訟では、Sony BMGが秘密裏にCDの中にスパイウェアを仕込んだと申し立てられている。
日本のスパイウェア事件も報告されている。警視庁は2005年11月に、宝石会社の銀行口座から21万円を盗み出した容疑で34歳の男性を逮捕した。報告書によれば、警視庁は同容疑者が少なくともジャパンネット銀行やイーバンク銀行、みずほ銀行、大川信用金庫など少なくとも10行から同容疑者の持つ口座へ1400万円の送金処理が行われていたことを確認している。手口は、キーロガーをインストールするためトロイの木馬をメールで送りつけるものだった。
このほかには、2005年3月に発覚した住友三井銀行の詐欺未遂も報告されている。これは、同銀行のロンドンにある拠点から、クラッキング集団が仕掛けたキーロガーによって4億2300万ドルが盗まれかけたというもの。当局は、キーロガーを仕掛けようとした人物は清掃員だったと報告している。
| 【参考記事】 rootkitやトロイの木馬については連載「インシデントレスポンスはじめの一歩」を参照していただきたい |
中国がスパイウェアのホスト大国になりつつある
2005年の目立ったスパイウェア事件の手口は、音楽CDへのバンドルやキーロガーであり、Webサイト巡回中に勝手にインストールされるような、いわゆるスパイウェアとは趣を異にしている。しかし、手口が多様化しただけであって、Webサイト経由のスパイウェアが減ったわけではないようだ。
Webrootのスパイウェア自動検出ロボット「Phileas」によれば、スパイウェアの配布サイトは40万件以上に達した。2005年第4四半期のスパイウェアホスト国第1位は依然として米国(30.54%)であるものの、中国が30.31%を記録し第2位になっている(必ずしもホスト国=生産国ではないので注意が必要だ)。
スパイウェア作者はスパイウェア対策ソフトの検知や除去をいかに回避するかに注力していると報告されている。例えば、自身のインストール時あるいは実行時にコードを変更して、パターンマッチによる検出を回避しようとするポリモーフィック型スパイウェアも登場している。日本語によるスパイウェア配布サイト、日本語によるスパイウェアも登場しており、スパイウェア対策ソフトが進化するのと歩調を合わせるようにスパイウェアも洗練されているようだ。
今後の傾向としては、スパイウェア侵入の手口はWebブラウザの脆弱性を突くようなものから、言葉巧みにユーザーに自身をインストールさせるようなソーシャルエンジニア的手法へと変わっていくものと予測される。例えば、「PSGurad」や「SpywareStrike」といった「スパイウェア対策ソフトを装ったスパイウェア」が出現している(SoSで名前を挙げられた上記以外にも、日本語化されたスパイウェア対策ソフトを装ったスパイウェア「WinFixer」などが有名だ)。
また、広義のスパイウェアとして混同されていたアドウェアは、迷惑度を減らす傾向にあるが、トロイの木馬やシステムモニタによるセキュリティリスクは高まっていると報告されている。しかし、依然として悪質なアドウェア(「180 Search Assistant」や「CoolWebSearch」など)はスパイウェアトップ10に名前を連ねている。
| 【参考記事】 スパイウェアの手口の多様化については特集「急速に広がるスパイウェアの脅威」を参照していただきたい |
企業におけるスパイウェア感染は増加傾向
2005年第4四半期の企業におけるスパイウェアの感染そのものは少ないものの増加の傾向にある。例えば、トロイの木馬の感染率は2005年第1四半期の8%から12%に増加した。システムモニタの感染率は6%、アドウェアの感染率は51%と報告されており、いずれも増加傾向にあるようだ。
Webrootの日本法人であるウェブルート・ソフトウェアでテクニカルサポートディレクターを務める野々下幸治氏に、企業のスパイウェアに対する心構えを聞いた。
「スパイウェア対策は個人ユーザー同様に企業でも行うべきことです。しかし、スパイウェアを含むマルウェア対策を1つのソフトウェアのみに頼るのは非常に危険です」(野々下氏)
かつてウイルス対策ベンダは、同一のウイルスでも呼称が異なったり、対応の早い・遅いがあったりしたものの、同じように対策を提供していた。ところが今日においては、ベンダによってウイルスとして対策したり、それ以外のものとして処理したりという状況になり、横並びのサービスが期待できなくなった。スパイウェアへの対策についても同様の枠組みがあるという。
野々下氏が推奨する対策は、ウイルス対策ソフトとスパイウェア対策ソフトを両方導入して2重の防御網を構築することだ。さらに、「2重の防御は個人ユーザーや企業ユーザーの差異はありません。あえて企業ユーザーに特化するとすれば、クライアントPCにおけるスパイウェア対策ソフトだけでなく、ゲートウェイでのスパイウェアチェックもするといいのではないでしょうか」とも語る。例えば、ブルーコートシステムズの「ProxySG」や、バラクーダネットワークスの「Spyware Firewall」などだ。
また、ユーザー教育の重要性も語る。「IEそのものが対策を取ったことにより、ActiveXを利用したスパイウェアの不正インストールは少なくなりました。その結果、手口がソーシャルエンジニアリング的手法にシフトしてきています。ユーザーがスパイウェア配布者にだまされないように、セキュリティの基本を徹底することが一層求められます」(野々下氏)
また、会社が設定したセキュリティポリシーを徹底することも重要だ。「スパイウェア対策ソフトを入れたとしても、それを勝手に終了したり、スパイウェアの侵入をブロックするための機能をオフにされたりすれば、スパイウェア対策の意味がありません」(野々下氏)
企業版ウイルス対策ソフトと同様に、企業版スパイウェア対策ソフトも存在している。定義ファイルの自動アップデートや管理者によるクライアントソフトの一元管理など、企業版ウイルス対策ソフトとほとんど同じ仕組みが採用されているのだ。企業におけるスパイウェア対策も、ウイルス対策同様に「当然のこと」として認知される日が来るのも近いだろう。
最後に野々下氏は「ウイルス対策もスパイウェア対策もよく似ていますが、唯一異なる点があるとすれば、ウイルス対策ソフトが感染予防に注力しているのに対して、スパイウェア対策ソフトは感染駆除に力を入れている点だと思います」と語る。ウイルスの場合、「感染してしまえば、それで終わり(致命的)」というケースが多く、対策ソフトはウイルスの検知に全力を挙げている。万が一、大規模感染が発生した場合、ウイルス対策ベンダは専用のウイルス駆除ツールを別途配布することが多い。
一方、スパイウェアの場合、侵入したあとに多少の被害(PCのパフォーマンスダウンなど)をもたらすもののスパイ活動を継続することを目的にしている。そこで、スパイウェア対策ソフトの場合、すでに侵入しているスパイウェアをいかに安全、かつ確実に駆除できるか、という部分に各社の特徴が表れるという。
スパイウェア対策ソフトによって、スパイウェアの検知数が大きく異なっているのは有名だ。スパイウェアの種類ごとに1つのスパイウェアとしてカウントしているベンダもあれば、1つのスパイウェアが改ざんする部分を数えるベンダもある。それ故、スパイウェア対策ソフトを導入する目安として、検知数を比較するのではなく、駆除機能の差異を目安にすべきだというのが野々下氏の意見だ。
英国の独立系セキュリティ製品研究機関であるWest Coast Labsは、最近、スパイウェアの検知技術の認定に加えて、スパイウェアの駆除技術の認定を始めた。このような第三者機関による評価も参考にしたい。
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
