@ITセミナー、再び大阪へ!
生粋のハッカーに学ぶ、メールの攻め方守り方
宮田 健
@IT編集部
2009/1/5
見れば分かる――つまり、見ないと分からない
辻氏は続けて、これらの迷惑メールを排除するために登場した技術について解説した。
迷惑メールを排除するためには、従来通りスパムフィルタが有効である。スパムフィルタの実装方法としてはテキストフィルタ、ブラックリストフィルタ、ホワイトリストフィルタ、ベイジアン(ベイズ)フィルタなどがあり、特定の単語が含まれている、含まれていないなどの判断で回避する方法が取られている。
しかし、このような「防御側」の手段は、当然ながら攻撃者も内容を熟知している。例えばブラックリストとして「直メール」「大人の出会い」「viagra」などを指定されたら文面を「直┃メ┃ー┃ル┃大┃人┃の┃出┃会┃い」というように区切り文字を入れたり、「viagla」など一部のスペルを変更したりと、フィルタを回避するための手段を取る。さらにはテキストではなく画像やPDF、はてはHTMLのテーブルで「ドット絵」による文字を送信するなど、手法が日々進化しているのが実情である。
 |
| 図2 HTMLのテーブルで表現された「出会い」の文字 ただしこのようなメールは非常にサイズが大きくなることから、巨大なメールはスパムである、というフィルタがあれば回避できる。 |
スパムフィルタとして活用されるベイズ手法では、文章に登場する言葉、特定単語の登場頻度、メールの長さなどを基にして、スパムかそうでないかを判定する。辻氏はアメリカ最高裁判所の裁判官ポーター・スチュアート氏が、「ポルノというのは言葉で定義するのは大変難しい。しかし、見れば分かるのです」と述べたことを引用し、スパムメールを判断するためには「メールを見ればスパムかどうかが分かる、そしてそれは逆説的に『メールを見なければスパムかどうか判断できない』とも言える」とし、迷惑メール対策のアプローチの基本が各種スパムメールの“認識”であることを述べた。
攻撃側が有利、だからこそ彼らの手法を知るべし
1999年にメリッサが登場して以来、攻撃者はメールをコンピュータウイルス攻撃の媒介ツールとしても活用している。IPA(情報処理推進機構)の発表によるコンピュータウイルス・不正アクセスの届出状況を見ても、全体の約半数がメールを利用した拡散によるものであり、この観点でのメールセキュリティ対策も怠ることはできない。
| 【関連記事】 |
「メールによる攻撃に注意せよ」といわれ始めてからどのくらいの時間が過ぎただろうか。しかし、現状はいまも変わらない。この理由はなんだろうか。辻氏はこの現状について、防御側は常に「後手」となってしまい、起点となる攻撃側は必ず「先手有利」であるためだと述べる。
そしてもう1つの原因として、防御側に「コンピュータウイルス対策ソフトがある」という安心感があるためではないかと述べた。これはコンピュータウイルス対策ソフトの不備というよりは、攻撃側が「コンピュータウイルス対策ソフト対策」に注力しているためだという。
コンピュータウイルス対策ソフトも先の迷惑メール対策と同じく、基本的にはウイルスのパターンマッチにより、そのプログラムが悪意のあるものなのかを判定する。攻撃者はこの特徴を利用し、「既存のパターンチェックをすり抜けるための手法」を編み出し、実際に亜種としてネットに放っているのだ。
辻氏は個人的に運営しているハニーポットで捕獲したコンピュータウイルスを基に、コードを一部変更したり、コードを圧縮するなどして改変、そのファイルが各ベンダの提供するパターンに一致するかどうかのテストを行ったところ、改変前は93%の対策ソフトで検知できていた個体が、改変を施すことにより1つも検知できなくなるという事例を紹介した。
 |
| 図3 ウイルスのコードを一部改変する「ウイルス対策ソフト対策」 ウイルスコードの圧縮や暗号化を行うことで、ウイルス対策ソフトは検出できなくなってしまう |
| 【関連記事】 セキュリティ対策の「ある視点」(13) プレイバックPart.II:シフトした脅威の中で http://www.atmarkit.co.jp/fsecurity/rensai/view13/view01.html |
さらに攻撃側はソーシャルエンジニアリング手法も利用する。例えば災害や大統領選挙の結果、芸能人のゴシップなど、多くの人が興味を持つタイトルでメールを送信したり、知人のパーティ動画をYouTubeなどの動画共有サイトで公開したという内容のメールを送り、URLを偽装することで「信頼するサイトそっくりの偽サイト」へと誘導、動画閲覧プラグインを装う悪意あるプログラムをインストールさせるという手法が使われる。これら1つ1つは既知のパターンだが、それを組み合わせることで感染の成功率を上げているのだ。
人+技術の力で「めっちゃ気をつける」
このような現状で、私たちは何ができるだろうか。これに対し関西出身の辻氏は一言、「めっちゃ気をつける」と述べた。これは個人の注意力に依存せよ、ということではなく、技術だけに頼るな、という意味が込められている。
辻氏は「いままでは攻撃側、防御側ともに『技術vs.技術』であったが、いまは単に技術だけではなく『人+技術』で対応すべき」と述べ、その人+技術を「欺術」と定義し、これを身に付けるべきだと説明した。
攻撃者が人を欺くための欺術による攻撃を仕掛けているいま、防御側も「攻撃側を欺く」ための努力をしなくてはならない。技術は手間や費用を軽減するために存在しており、人と技術は不可分で「どちらか一方のみでの解決策はない」と説明した。
 |
2/2 |
| Index | |
| 生粋のハッカーに学ぶ、メールの攻め方守り方 | |
| Page1 メールを突破口にする攻撃者たちとの攻防戦 本当は恐ろしいオープンリダイレクタ脆弱性 |
|
 |
Page2 見れば分かる――つまり、見ないと分からない 攻撃側が有利、だからこそ彼らの手法を知るべし 人+技術の力で「めっちゃ気をつける」 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
