対策は境界防御から検知へ

購入したての製品にウイルス? SANSが警告する新たな攻撃

2009/08/11

 内部に侵入されないように境界の防御を固める方向から、監視し、侵入されたことを速やかに検知できる体制整備へと、セキュリティ投資の力点は変わっていくだろう――。7月に開催されたカンファレンス「SANS Future Visions 2009 Tokyo」に合わせ、米国のセキュリティ機関、SANS Institute 調査研究部門 ディレクターを務めるアラン・パーラー氏が来日し、最新のセキュリティ脅威の動向と対策について説明した。

SANS Institute 調査研究部門 ディレクター アラン・パーラー氏

 パーラー氏によると、最近のセキュリティ脅威には注意すべきトレンドが3つある。1つは、ソーシャルエンジニアリングの手法を用い、組織内の特定の人物を狙ってくるターゲット型攻撃やフィッシングメールだ。名指しで送られてくるメールを不用意に開くと、バックドアなどをインストールされてしまう。「大半の攻撃が、ターゲットを絞ったフィッシング攻撃を使ってまず個人のPCを乗っ取り、そこから重要なサーバに侵入を試みる」(パーラー氏)。この手法は、民間企業だけでなく政府を狙った攻撃にも用いられているという。

 2つ目の手口は、SQLインジェクション攻撃などによって正当なWebサイトを改ざんし、それと知らずにアクセスしてきたユーザーに感染を広めるというものだ。ユーザーは信頼できるWebサイトにアクセスしているつもりなのに、悪意あるサイトに誘導され、マルウェアをインストールされたり情報を抜き取られるというもので、国内外で多数のインシデントが発生している。

 3つ目は、日本ではあまり知られていない「サプライチェーンアタック」だという。これは、ハードウェアやソフトウェアが製造過程で悪意あるソフトウェアに感染し、そのままユーザーの手元に商品として届けられてしまうというものだ。そうした機器をPCに接続すれば、当然ながらPC本体も感染してしまう。すでに、デジタルフォトフレームやカーナビ、USBメモリなどにウイルスが混入した事例が報告されている。

 パーラー氏は、もっと危険な例として、本物そっくりで見分けの付かない偽のシスコルータが流通しているケースを紹介した。仮に、偽ルータのファームウェアに細工が施されていれば、「相手国の通信を遮断し、ITインフラを混乱させることもできてしまう」(同氏)という。

米政府で始まるプロアクティブな対策

 パーラー氏は、こうした脅威が登場したことによって「セキュリティ予算の割り当て対象が変化するだろう」と述べた。

 「従来は、ファイアウォールに代表される境界防御に使われてきた。しかしそれは完全ではない。うまくいかないのにいくら境界を守っていても意味はない。今後は、入ってきた攻撃をいかに発見し、防御するかに予算が投じられるようになるのではないか」(パーラー氏)。

 これに伴い、セキュリティ専門家に求められるスキルも変化するだろうと同氏は言う。従来は、ポリシーレベルの人材が求められることが多かったが、今後は、フォレンジクスや長期に渡る分析やパケット監視、マルウェアのリバースエンジニアリング、監査、セキュアなアプリケーション開発といった、より技術に特化したスキルを備えた人材が必要とされるだろうとした。

 同氏によると、米国政府のセキュリティ対策も、こうした知見を踏まえて変化しつつある。

 例えば米国農務省では、攻撃後に対策を取る代わりに、プロアクティブに対処しようというプログラムが進んでいる。

 SQLインジェクションをはじめ、攻撃の多くは、Webアプリケーションに存在する脆弱性を狙っている。そこで、はじめからこうした事態を招かぬよう「まず、正しいセキュアプログラミングについてのトレーニングを実施した」(パーラー氏)。また、開発を外部に委託する際には、検収時にセキュリティエラーがないかを確認するよう定めたという。このとき、実際に開発に携わるプログラマがセキュリティ認定を受けていることも契約書に盛り込むようにした。

 一方米国エネルギー省原子力研究所では「防御の網をすり抜けてしまった攻撃を見つけるため、システム管理者に対し、不正侵入検知能力を付けるためのトレーニングを実施している」(同氏)。

 さらに、米国国家安全保障局(NSA)やUS-CERT、米国防総省など、政府機関の担当者が集まり、攻撃を阻止するためのベストプラクティスを集約。20項目からなる「Consensus Audit Guidelines」としてまとめている。

 パーラー氏は最後に、政府機関ではこうした取り組みを通じて、セキュアコーディングの徹底に加え、調達の一元化によるコスト削減も実現できたことに触れた。さらに、システムの標準化を進めることによって、ユーザーの満足度も向上したという。「セキュリティを向上させ、コストを減らし、ユーザー満足度を上げる」という、一見両立が難しそうな取り組みも現実のものにできるとした。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間