もはやセキュリティ対策はシートベルトやエアバック
2006/2/24
ラックは2月23日、報道関係者向けに「ネット犯罪とその手口 ネットセキュリティ対策最新事情」と題した説明会を開催した。ラック 取締役 執行役員 SNS事業部本部長 西本逸郎氏やマイクロソフト セキュリティレスポンスチーム セキュリティレスポンス マネージャ 奥天陽司氏が現在のネット犯罪の実情や今後の動向などを説明した。
ラック 取締役 執行役員 SNS事業部本部長 西本逸郎氏 |
次に同氏は昨今話題になった事件を挙げ、Winnyに感染するウイルス「Antinny」やボットネット、フィッシング詐欺、スパイウェアなどが急増し、金銭的な被害が出ている点を指摘。しかし、2005年に最も増加し、実害が出ている攻撃手法は「SQLインジェクション」だという。
SQLインジェクションは、インターネット商店やアンケートフォームなど、Webサイト上で書き込んだりクリックしたデータがデータベースに送信する仕組みのページにおいて、書き込みデータなどの代わりに悪質なプログラムやデータベース操作コマンド(SQLコマンド)をインジェクション(注入)することで、データベースからデータを抜き出したり、改ざんしたりする攻撃手法の1つ。現在、この攻撃はかなり複雑化している上にツールが出回り、さらに発見が非常に難しいことから被害が急増しているという。「当社が昨年緊急対応した二十数件のうち、52%がSQLインジェクションによるものだった。気が付かないケースもかなり多く、実際にはこの数倍の被害が出ているだろう。当社自身もこれほどSQLインジェクションが広がるとは想定していなかった」(西本氏)と説明した。
SQLインジェクションをツールで実践するデモ。ほとんど自動で攻撃が完了し、データベース上のデータを抜き出せた |
さらに西本氏は、2006年にはSQLインジェクションやボットネット、フィッシングといった複数の攻撃手法が組み合わさって複合化した攻撃が登場すると予測。その背景として、メールアドレスやクレジットカード番号、バーチャル出稼ぎなどを売買・支援するブラックマーケットの存在が挙げられるとした。
これらの事態を受けて、西本氏は「もはやITやネットは企業の重要な経営資源であり、BoIT(Business on IT)だ。車が最低限の安全を守るためにシートベルトやエアバックを搭載しているように、ITセキュリティも同じような予算を割いて適用する必要がある。現在のセキュリティ対策は、大企業などのお金に余裕がある企業しか充実した対応はできておらず、本当に必要な中小企業に行き渡っていないのが現状だ。今後は中小企業を中心に啓蒙活動を行っていきたい」と語った。
マイクロソフト セキュリティレスポンスチーム セキュリティレスポンス マネージャ 奥天陽司氏。前日も子育てに奔走し、ほとんど寝れなかったという |
しかし、情報は物理的な質量を持たないために直感的に理解することが難しい点が問題だとし、「新聞や本などから得る知識よりも知り合いに教えてもらうのが一番身に付く。少し分かる人が教えて回ることが有効だ」(奥天氏)と説明した。
さらに昨今では、ウイルスやスパイウェア、ボットネットなどの脅威が急増している。この点について、奥天氏は「例えば、Internet Explorerの異常終了した場合、その半分はスパイウェアによって引き起こされた可能性があるのだが、多くの人がそれを知らないだろう。ボットネットも、大きいグループでは3000台〜17万台を操っているケースもあった」と指摘。マイクロソフトでは、これらに技術で対応するために、今後リリースする「Windows Vista」や「Internet Explorer 7」などで数々の対策を行っているとした。
最後に、奥天氏は「昔は『httpsで始まるサイトは安全だ』といわれていたが、いまではhttpsで始まるフィッシングサイトが存在している。また、『画像は実行形式ではないので安心』という常識も、いまでは画像内に悪意のあるプログラムを埋め込んでいるケースもある。つまり、ITでは“常識が常に変化する”のだ。これらのことを一般ユーザーに分かってもらうためにも、少し分かっている人が周りの子供や老人など、多くの人に教えていってあげてほしい」と語った。
(@IT 大津心)
[関連リンク]
ラック
[関連記事]
ラック西本氏が教えるWebサイトセキュリティ3つのポイント (@ITNews)
「危険なのは無線LANを使う人」、ラック三輪氏がセキュリティ対策指南 (@ITNews)
情報をお寄せください:
最新記事
|
|