実態がつかみにくい「ガンブラー」と対策の難しさ
ガンプラーとは何か。もともと概念が曖昧であることもあり、この問いに対して正確に答えられる人は少ない。仕組みとしては、サイトに不正に仕掛けられたjava scriptによって強制的にあるサイトへと飛ばされ、そこでスパイウェアやウイルスなどをダウンロードさせられるというものだ。2009年の前半に「GENOウィルス」として流行し、その後も勢力は衰える様相を見せず、次々と亜種が登場し、いまやその全体像を把握することすら困難になっている。
三輪氏は「ガンブラーを正しく理解していないために、誤解が生じ、対症療法になってしまっている。そのために被害がなかなか縮小しない」と分析する。たとえば、ウイルスチェッカー導入やFlashなどの最新版を進める”通達”だけで対策を行なったつもりでも十分とはいえず、FTPのパスワードを変えればいいのか、ウイルスワクチンが入ってるから大丈夫といった聞きかじりの対策で満足している人も多い。さらに、ガンブラー被害を受けたサイトを復旧しただけで復旧したつもりになっても、あらゆるキャッシュがまだ残っていて被害を拡大させてしまう可能性を残す。こうした対策の難しさにも関わらず、対症療法的な対策を行なうサービスが氾濫し、ますます人々を混乱に巻き込んでいる。
なお、ガンブラーの対策としては2点が必要となる。すなわち1つは「ガンブラー被害から自分のサイトを守ること」というサイト運営者としての防御、そして、もう1つはガンブラー被害を受けないよう、クライアントとして自分のパソコンを守ることである。しかし、いずれについても、ガンブラー対策としては、過去のものに対して対症療法的に行なうことしかできない。三輪氏が「そのうち“保険”や"お守り"なんてものも登場するかもしれません」などと揶揄するほど、ガンブラーの対策は難しいというわけだ。
ガンブラー対策の理想と現実解の乖離
とはいえ、対策をしないわけにはいかないというのもまた事実であり、一般的なガンブラー対策としては、Windows Updateの実行やAdobe ReaderやFlash Playerを最新版にする、Adobe ReaderのJava Scriptを無効にする、ウイルスワクチンのパターンファイルを最新にするなどの対応が基本であり、JREやQuickTimeのパッチも必須である。しかし、毎日最新の状況にできるわけでなく、いずれも数日間のタイムラグがあることから必ずしも万全とはいえない。さらに、できればJava ScriptやActiveXを無効とし、FTPを行なわないことがガンブラー対策としては望ましいが、そうすることによって業務に支障を来すこともあり、現実的とはいえない。
この「現実的でない」ということは、「Flash Playerのバージョンアップ」という対策1つとってもいえることである。たとえば「自動更新を全社で全員に確実に行なう」という目標を立てたとしても、設定マネージャの自動更新では変更するとIEもFirefoxも同時に変更されるのはよいが、デフォルトは30日間、最短に設定し直しても7日間である。設定ファイルをつくるのが推奨されているが、誰もが知るわけではないし、ブラウザごとに起動して更新することが求められる。このように対策はあっても徹底するのが難しい。
他にも、Windows Updateは業務と密接に連携しているため、支障がないか確認してから行なわれる。そのため、実際には対応は最短1週間後で、業務アプリに支障が生じるとなると、緊急や重要であっても適用しないという判断が行なわれがちだ。他にも「通達」するだけで対応は個人に任されていたり、使用状況が把握されていないから対応しないなど、結果として、実際には対策が後手にまわっているのが実情だろう。
つかみ所がないガンブラー対策を、三輪氏は新型インフルエンザの対策になぞらえて説明する。マスクは他者への感染予防にすぎず、完全な予防をすると厳重すぎて水を飲むのにも一苦労。マスクや殺菌ジェルが対策としては現実的かもしれないが、それでできていると誤解するのは危険である。
三輪氏は「聞きかじりの対策で『これでいい』と考える、心のすき間が狙われている」と警鐘を鳴らし、対応側のさまざまな「すき間」への注意を喚起した。たとえば、業務アプリ優先で対応が遅れること、業務委託先へは「注意喚起」で終わっていること。そして、昨今の不況によってコスト削減の号令のもとネットセキュリティへの予算がとられていないこともあげられるだろう。
仮想化でセキュリティの時代へ
それではこれからのガンブラー対策はどのようになっていくのか。三輪氏は「対策はある程度進むが、徹底されることはない」とし、「Adobe製品の脆弱性を突いた攻撃が続く」と分析した。その理由として、利用者が多く、脆弱性に対して利便性の方が高いと評価される傾向にあること、発見しやすいことなどが挙げられる。できるだけ早い段階で、セキュリティパッチの更新機能の改善が求められる。
対応側の問題が置き去りにされる中で、攻撃する側の活動は活発化することが予想されるという。特に金銭目的のものが増加し、クラウドの悪用も進むと思われる。そうしたなかで、対応側の弱い部分が狙われ、個人技に依存しているサーバー管理やデータセンターのサーバーそのものが次に狙われ、クリティカルな部分こそターゲットになるという。もはや技術的にはできても、現実的にJava Scriptの無効化ができず、短縮URLのクリック禁止が無視されるなかで、ますますの被害拡大が予想される。
次の脅威としてあげられたのが「クリックジャッキング」だ。透明なボタンを配置して本物の画面にかぶせるなどして、ユーザーの操作を行なわせる方法だであり、ほとんど現実的な対策がなく、悪用される可能性が高いという。他にもパッチを装ったり、USBウイルスや無料カウンターなどの部品にウイルスが仕掛けられていたり、ついクリックしてしまうようなメールなどの本文や表題といったソフト面での巧妙化も進むと考えられる。そして、パスワードを保存する特定のソフトウェアが狙われるようになれば、被害は一気に拡大する。
そこで、今後は業務委託先の対策の強化をしっかりと行ない、デスクトップの仮想化を進めていくことが必要と思われる。しかし、それでもゼロデイアタックなどを考慮すると万全ではないことを意識しなければならない。そして、そろそろWindows7やIE8、Firefoxに切り替えるためにも、業務アプリの大幅改修に掛かることが必要だろう。
三輪氏は「犯行のためのプログラミングも情報が氾濫している。そのなかで、現在のままで防衛することはもはや不可能」と指摘し、「個別アプリを狙った攻撃は始まりつつある。仮想化などの技術によって、新しいPCセキュリティを考える時代になっている」と強調した。
