もはやセキュリティ対策はシートベルトやエアバック

2006/2/24

 ラックは2月23日、報道関係者向けに「ネット犯罪とその手口 ネットセキュリティ対策最新事情」と題した説明会を開催した。ラック 取締役 執行役員 SNS事業部本部長 西本逸郎氏やマイクロソフト セキュリティレスポンスチーム セキュリティレスポンス マネージャ 奥天陽司氏が現在のネット犯罪の実情や今後の動向などを説明した。

ラック 取締役 執行役員 SNS事業部本部長 西本逸郎氏
  西本氏は冒頭、「いまの日本でブレーキの効かない車を販売することは法律で禁止されているが、ネット社会では同じような不具合のあるソフトウェアの販売ができる状態といえる。まだまだ未成熟な世界だ」と説明し、「そもそも電子メールは信用できない仕組みだが、昨今話題になっている電子メールのケース(国会でも取り上げられた電子メールの真がん問題のこと)など、専門家から見たら論外としかいいようがない論争がされているのが実情だ」と論評した。

 次に同氏は昨今話題になった事件を挙げ、Winnyに感染するウイルス「Antinny」やボットネット、フィッシング詐欺、スパイウェアなどが急増し、金銭的な被害が出ている点を指摘。しかし、2005年に最も増加し、実害が出ている攻撃手法は「SQLインジェクション」だという。

 SQLインジェクションは、インターネット商店やアンケートフォームなど、Webサイト上で書き込んだりクリックしたデータがデータベースに送信する仕組みのページにおいて、書き込みデータなどの代わりに悪質なプログラムやデータベース操作コマンド(SQLコマンド)をインジェクション(注入)することで、データベースからデータを抜き出したり、改ざんしたりする攻撃手法の1つ。現在、この攻撃はかなり複雑化している上にツールが出回り、さらに発見が非常に難しいことから被害が急増しているという。「当社が昨年緊急対応した二十数件のうち、52%がSQLインジェクションによるものだった。気が付かないケースもかなり多く、実際にはこの数倍の被害が出ているだろう。当社自身もこれほどSQLインジェクションが広がるとは想定していなかった」(西本氏)と説明した。

SQLインジェクションをツールで実践するデモ。ほとんど自動で攻撃が完了し、データベース上のデータを抜き出せた
 実際にSQLインジェクションの攻撃ツールを使ったデモでは、ターゲットのWebサイトにアクセスし、自動的に悪質なプログラムを送りつけてデータベースに進入し、データを抜き取っていた。このようなことが、ほぼ全自動で行えるツールが出回っているという。

 さらに西本氏は、2006年にはSQLインジェクションやボットネット、フィッシングといった複数の攻撃手法が組み合わさって複合化した攻撃が登場すると予測。その背景として、メールアドレスやクレジットカード番号、バーチャル出稼ぎなどを売買・支援するブラックマーケットの存在が挙げられるとした。

 これらの事態を受けて、西本氏は「もはやITやネットは企業の重要な経営資源であり、BoIT(Business on IT)だ。車が最低限の安全を守るためにシートベルトやエアバックを搭載しているように、ITセキュリティも同じような予算を割いて適用する必要がある。現在のセキュリティ対策は、大企業などのお金に余裕がある企業しか充実した対応はできておらず、本当に必要な中小企業に行き渡っていないのが現状だ。今後は中小企業を中心に啓蒙活動を行っていきたい」と語った。

マイクロソフト セキュリティレスポンスチーム セキュリティレスポンス マネージャ 奥天陽司氏。前日も子育てに奔走し、ほとんど寝れなかったという
 奥天氏は、自分の子供を育てている過程で子育てと情報セキュリティは同じであることに気付いたという。例えば、同氏は子育て中に「常に子供の行動に目を配る」「子供には危険なものを持たせない」「命と物の大切さを繰り返し教える」といったさまざまなことを行っているが、これは情報セキュリティでもまったく同じだという。

 しかし、情報は物理的な質量を持たないために直感的に理解することが難しい点が問題だとし、「新聞や本などから得る知識よりも知り合いに教えてもらうのが一番身に付く。少し分かる人が教えて回ることが有効だ」(奥天氏)と説明した。

 さらに昨今では、ウイルスやスパイウェア、ボットネットなどの脅威が急増している。この点について、奥天氏は「例えば、Internet Explorerの異常終了した場合、その半分はスパイウェアによって引き起こされた可能性があるのだが、多くの人がそれを知らないだろう。ボットネットも、大きいグループでは3000台〜17万台を操っているケースもあった」と指摘。マイクロソフトでは、これらに技術で対応するために、今後リリースする「Windows Vista」や「Internet Explorer 7」などで数々の対策を行っているとした。

 最後に、奥天氏は「昔は『httpsで始まるサイトは安全だ』といわれていたが、いまではhttpsで始まるフィッシングサイトが存在している。また、『画像は実行形式ではないので安心』という常識も、いまでは画像内に悪意のあるプログラムを埋め込んでいるケースもある。つまり、ITでは“常識が常に変化する”のだ。これらのことを一般ユーザーに分かってもらうためにも、少し分かっている人が周りの子供や老人など、多くの人に教えていってあげてほしい」と語った。

(@IT 大津心)

[関連リンク]
ラック

[関連記事]
ラック西本氏が教えるWebサイトセキュリティ3つのポイント (@ITNews)
「危険なのは無線LANを使う人」、ラック三輪氏がセキュリティ対策指南 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)