NewsInsight

「アンチウイルスソフトに限界」説も飛び出した

ヒッポネン氏らセキュリティ専門家6人が斬るセキュリティ事情

2010/07/15

　「Windows OSだけでなく、サードパーティ製アプリケーションの脆弱性が攻撃に悪用されるようになっている」「クラウドにはリスクが含まれているが、『救世主』にもなりうる」――。

　去る6月8日、エフセキュアが主催した、国内外のセキュリティ専門家を招いてのパネルディスカッションではこのような意見が飛び出した。この座談会は、同社の日本語ブログ開設1周年を記念して行われたもので、その模様はUstreamとTwitterを介して生中継された。

　座談会には、エフセキュアのセキュリティ研究所主席研究員を務めるミッコ・ヒッポネン氏のほか、マイクロソフトの高橋正和氏（チーフセキュリティアドバイザー）、セキュアブレインの星澤裕二氏（先端技術研究所 チーフセキュリティアーキテクト）、サイバーディフェンス研究所の福森大喜氏（上級分析官）、エキサイトの片山昌憲氏（戦略ビジネス室室長）、フォティーンフォティ技術研究所の鵜飼裕司氏（CEO）が出席し、おのおのの視点から意見を述べた。

「Aurora」と「Gumblar」の共通点とは

　ディスカッションは、2010年前半の攻撃のトレンドを振り返ることから始まった。やはり、Googleをはじめとする多くのITベンダを標的とした「Aurora」、そして日本でも多くの被害が出た「Gumblar」への言及が目立った。

　ヒッポネン氏は、「まずAuroraを挙げたい。過去にも似たような攻撃はあったが、社内の情報を狙うターゲット型攻撃が公になったのはこれが初めてのケースだ。これにより、スパイ活動もまたオンラインで行われるようになっていることが明らかになった」と述べた。

　これを受けてマイクロソフトの高橋氏は、「Auroraは典型的なターゲット型攻撃。ただ、これまでならばInternet Explorerのパッチを当てることが対策となり得たが、最近はマイクロソフト製品以外の脆弱性が攻撃に使われることが多い。どのように包括的に対応するかが課題だ」とした。

　さらにフォティーンフォティ技術研究所の鵜飼氏は「AuroraとGumblar、この2つの事象に共通するキーワードは、いずれも脆弱性が悪用されていることだ。ターゲット型攻撃にゼロデイ脆弱性が悪用されていることは昔から話題になっていたが、2009年はその脅威が本当に顕在化した」と述べた。

　悩ましい問題として、「攻撃者は、IE本体ではなくIEのプラグインを利用して、ドライブバイダウンロード攻撃を仕掛けている」（ヒッポネン氏）ことが挙げられた。ユーザーのデスクトップでは「いろいろなサードパーティ製アプリケーションが使われており、いくつものアップデートが提供される状況なので、なかなか対応策がない」（鵜飼氏）という。

　ディスカッションの後半において鵜飼氏は、「確かに今の悩みの種は、Windows本体よりもむしろサードパーティ製のアプリケーションだ。Windows Vistaや7にはせっかくセキュリティの機能が備わっているのに、それがうまく活用されていないのは残念。サードパーティベンダも安全なソフトにしていくことに注力していくべき」とも述べた。

プラグインが標的に

　ヒッポネン氏は近年のトレンドとして、さらに2つの動きを挙げた。1つは、FacebookやTwitter、LinkedInといった、信頼の上に成り立っているソーシャルネットワークサービスに対する攻撃が顕在化していること。もう1つは、モバイルプラットフォームに対する攻撃だ。

　「モバイルデバイスがますます普及しているが、それにともない、PCを狙うよりモバイル機器を狙う方が簡単になってきた」（ヒッポネン氏）。実際エフセキュアでは、絶対数は少ないとはいえ、モバイルゲームを模してトロイの木馬を仕込んだ、モバイル向けのマルウェアを発見しているという。

　ヒッポネン氏はディスカッションの中でさらに、「Windowsは全体としてみれば市場シェアは大きいが、バージョンごとに見ると最も普及しているのはWindows XPで60％ほど。Vistaと7は10％程度に過ぎない。これは、脆弱性の多いOSが市場で多数派を占めているという、攻撃者にとってすばらしい状況だ。Windows 7が使われるようになれば、Windows 7を狙うマルウェアが現れるかもしれないが、一方で、モバイルやMac OS Xへの移行を考えるマルウェア作者も現れるかもしれない」と述べた。

　またエキサイトの片山氏は、「犯罪者が流行り物に飛びつく傾向が見られた。例えば『マイケル・ジャクソン死亡』などの時事ネタに便乗してウイルスをくっつけたり、クリックを誘う手口が多い」と指摘した。つまり、ソーシャルエンジニアリングの手法がますます高度化しているという。広告事業者は常に、いかにクリックレートを上げるかに知恵を絞っているが、片山氏は、犯罪者も同じように、いかにユーザーの好奇心を誘い、クリックさせて感染を広めるかに工夫を凝らしていると述べた。

　ただ、悪いニュースばかりではない。ヒッポネン氏は、セキュリティ業界と捜査機関との連携により、より多くのオンライン犯罪者を逮捕に追い込んだことに言及した。

　またセキュアブレインの星澤氏も「今年は、フィッシング詐欺やマルウェアを悪用したとして逮捕されるケースが国内でもあった。かなり前から、オンライン犯罪の目的は金儲けになっていると言われてきたが、逮捕例の被害額を見ると少ない額ではなく、そのことを実証する形になった」と述べ、引き続き捜査機関と協力して解明を進め、抑止力につなげるべきだとした。

アンチウイルスソフトに限界？

　ディスカッションの中で興味深かったのは、アンチウイルスソフトの限界を指摘する声が、当のセキュリティ専門家から上がったことだ。

　サイバーディフェンス研究所の福森氏は、Gumblar攻撃の広がりに注目し、検体収集にも当たっていたが、「ほとんどのアンチウイルスソフトで検知できない状況だった。優秀なパッカーを使って検出できないように工夫を凝らしており、ますます危険だと感じた」そうだ。この経験を踏まえ、マルウェアの「進化」に、アンチウイルスソフトがどのように対応するかが楽しみだという。

　1つの解が、クラウドの活用にあるといえそうだ。ヒッポネン氏は「クラウドはリスクをもたらす可能性もあるが、救世主にもなりうると思う」と述べて、次のように続けた。

　「過去、マルウェアを解析した結果を単体で格納してきたが、それには無理が生じてきた。しかしクラウドならば無尽蔵に保管できる。この仕組みをうまく使うことにより、レスポンスタイムを短縮して迅速に対処し、効率的に対策できる。いずれすべてのアンチウイルス製品が採用すると思う」（同氏）。事実、エフセキュアでもマルウェアの解析とその結果を格納したパターンファイルの配布にクラウド環境を利用しているという。

　ただ、クラウドはけっして万能薬ではないことに留意すべきという意見も上がった。高橋氏は「シンクライアントの導入によってセキュリティ問題が解決するというような議論があったけれど、それでもやはりエンドポイントは大事だし、データを格納するサーバ側も守らないといけない。銀の弾丸はない」と述べ、「たとえクラウドを使っても、自動的にセキュリティやプライバシーが保障されるということはあり得ない」と釘を刺した。

　またこれを受けて星澤氏は、「多くの企業にはまだ、クラウドを利用することを前提としたポリシーがないと思う。クラウドを利用するとなると、データを外に持っていくことになるわけだが、ポリシーとの齟齬はどうするのか、事故が起きたときの対処をどうするのかなど、今後、いろいろな問題が出てくるのではないか」と指摘した。

　ヒッポネン氏はこれに対し、「担当者は常に目を開け、新しいポリシー作りに備えていなければならない。15年前、モバイル機器が登場し始めたときもそうだったし、いまはソーシャルネットワークサービスに関して同じことが起こっている。もしかしたら従業員が、就業時間中にあなたの会社に関することをソーシャルネットワークに書き込んでいるかもしれない。だが、だからといって安易に禁止するというのも間違えている。これらをうまく使えば利益を得られるからだ。誰がどのように使うべきかというポリシーが必要だ」と述べた。

　最後にヒッポネン氏は、「インターネットのセキュリティに恐れを抱くのは簡単なことだ。いろんな情報を集めれば集めるほど、『もうオンラインでショッピングなんてしないぞ！』という気持ちになるかもしれない。だが、それは間違いだ。ネットは実社会を反映しているだけ。実社会に犯罪があるように、オンラインにも犯罪がある。実社会では、犯罪があるから買い物をしないなどということはない。現実社会と同じように、オンラインでも常識と注意が必要だ」と述べ、同時にセキュリティ業界が力を合わせて犯罪者と戦っていくべきだと述べた。