怪しいファイルは開かない、怪しいサイトにアクセスしない、パターンファイルは最新に……は通用しない
発表会は、シマンテックが提供するクライアントPC向けのセキュリティ製品に関連して開催されたもの。近年では、特定の人物を対象にメールを送信する「スピア型フィッシング」や、Webサイトを改竄し標的を待ち受ける「水飲み場型攻撃」といった標的型攻撃が目立つようになり、パターンファイル(シグネチャファイル)を使ったパターンマッチングなど、従来型のセキュリティ対策では対抗できないケースが増えた。
だが、実際には、従来型のウイルス対策ソフトでは防ぎきれないことが十分に周知されていなかったり、知っていても実効性のある対策をとるまでには至っていないことが多いという。
シマンテックのコマーシャル営業統括本部ビジネスディベロップメントマネージャーの広瀬努氏によると、パターンファイルとは、「指名手配書」のようなものだという。指名手配書に犯人の特徴を押さえた顔が描かれていればよいが、特徴が変わってしまえば犯人だと気づかない。
「近年のマルウェア作成ツールは、異なる特徴を持った新しいカスタムマルウェアを簡単に作り出すことができる。セキュリティベンダーが用意した指名手配書では特定できないことも多い。また、特定の標的に向けてピンポイントでメール攻撃を行うため、サンプルを入手してパターンファイルを作成するまでに時間もかかる」(広瀬氏)
このため、ウイルス対策製品を最新版にアップデートしていても、場合によっては、そのパターンファイルだけではマルウェアとして検出できないケースがでてくるというわけだ。
また、脆弱性の問題もある。脆弱性というのは、ソフトウェに含まれるバグのようなもので、犯罪者はそのバグを悪用することで、マルウェアにこっそりと攻撃する相手のPCなどに送り込むことができるようになる。
ウイルス対策ソフトは、マルウェアを検知すればアラートを発したり、活動を止めたりできる。しかし、ブラウザやOSなどの脆弱性を悪用して、そうしたアラートがでないようにしたり、ウイルス対策ソフトの検知や駆除をすり抜けるようにしてしまえば、ユーザーはマルウェアに感染したことにまったく気づかないというわけだ。
脅威になるのは、これまでに知られていなかった脆弱性が見つかる「未知の脆弱性」だけではない。未知の脆弱性が見つかると、その脆弱性を修正するパッチを適用する前に攻撃される「ゼロデイ攻撃」が問題になる。しかし、近年では、修正するパッチの配布が開始され「既知の脆弱性」になったあとに攻撃が広がる傾向がある。
辻氏によると、「最近は脆弱性や攻撃方法が公表されてから、その脆弱性が実際の攻撃に使われるまでの時間がどんどん短縮している。既知の脆弱性ですら1日かからない場合もある」という。
「たとえば、ある有名企業では、脆弱性が公表されてから攻撃にあうまでの時間は24時間を切っていた。バックドアが設置され、情報が盗まれていたことが後から判明したが、仮にそのことに気づいたとしても、それだけ時間が短いと修正パッチをあてる作業すらできない」(辻氏)
こうした背景には、ウイルス作成ツールが新しい脆弱性を"サポート"するまでの時間が速くなっていることがあるようだ。未知の脆弱性が見つかり、ツールがそれを"攻撃メニュー"に取り込むまでに数日しかかからなかったケースも報告されている。
そのうえで辻氏は、「マルウェア対策では、基本を徹底することが推奨される。具体的には、怪しいファイルは開かない、怪しいサイトにアクセスしない、パターンファイルは最新になどだ。しかし、実際には、これは通用しない。パターンファイルを最新にしていても攻撃されるし、そもそもファイルやサイトが怪しいかどうかは、僕らプロでも判断できなくなっている」と指摘した。
