EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

  ファイルやサイトが怪しいかどうかは、僕らプロでも判断できなくなっている―NTTデータ先端技術 辻伸弘氏

  2013/12/09 11:30

 シマンテックは12月6日、脆弱性を突くWeb攻撃に関する記者説明会を開催した。説明会には、元ペンテスタ(侵入テストを実施する専門家)で、脆弱性の検証レポートやアノニマスらの行動分析といったセキュリティの啓発活動で知られるNTTデータ先端技術の辻伸弘氏が参加。脆弱性を悪用した攻撃のデモを示しながら、従来型のパターンマッチングに頼ったセキュリティ対策では、近年の攻撃に対応できなくなっていることにあらためて注意をうながした。

怪しいファイルは開かない、怪しいサイトにアクセスしない、パターンファイルは最新に……は通用しない

   シマンテック コマーシャル営業統括本部 ビジネスディベロップメントマネージャー 広瀬努氏
シマンテック コマーシャル営業統括本部 
ビジネスディベロップメント マネージャー 
広瀬 努氏

  発表会は、シマンテックが提供するクライアントPC向けのセキュリティ製品に関連して開催されたもの。近年では、特定の人物を対象にメールを送信する「スピア型フィッシング」や、Webサイトを改竄し標的を待ち受ける「水飲み場型攻撃」といった標的型攻撃が目立つようになり、パターンファイル(シグネチャファイル)を使ったパターンマッチングなど、従来型のセキュリティ対策では対抗できないケースが増えた。

 だが、実際には、従来型のウイルス対策ソフトでは防ぎきれないことが十分に周知されていなかったり、知っていても実効性のある対策をとるまでには至っていないことが多いという。

 シマンテックのコマーシャル営業統括本部ビジネスディベロップメントマネージャーの広瀬努氏によると、パターンファイルとは、「指名手配書」のようなものだという。指名手配書に犯人の特徴を押さえた顔が描かれていればよいが、特徴が変わってしまえば犯人だと気づかない。

 「近年のマルウェア作成ツールは、異なる特徴を持った新しいカスタムマルウェアを簡単に作り出すことができる。セキュリティベンダーが用意した指名手配書では特定できないことも多い。また、特定の標的に向けてピンポイントでメール攻撃を行うため、サンプルを入手してパターンファイルを作成するまでに時間もかかる」(広瀬氏)

 このため、ウイルス対策製品を最新版にアップデートしていても、場合によっては、そのパターンファイルだけではマルウェアとして検出できないケースがでてくるというわけだ。

 パターンファイルによるマルウェア対策の問題点
パターンファイルによるマルウェア対策の問題点

 また、脆弱性の問題もある。脆弱性というのは、ソフトウェに含まれるバグのようなもので、犯罪者はそのバグを悪用することで、マルウェアにこっそりと攻撃する相手のPCなどに送り込むことができるようになる。

 ウイルス対策ソフトは、マルウェアを検知すればアラートを発したり、活動を止めたりできる。しかし、ブラウザやOSなどの脆弱性を悪用して、そうしたアラートがでないようにしたり、ウイルス対策ソフトの検知や駆除をすり抜けるようにしてしまえば、ユーザーはマルウェアに感染したことにまったく気づかないというわけだ。

 脅威になるのは、これまでに知られていなかった脆弱性が見つかる「未知の脆弱性」だけではない。未知の脆弱性が見つかると、その脆弱性を修正するパッチを適用する前に攻撃される「ゼロデイ攻撃」が問題になる。しかし、近年では、修正するパッチの配布が開始され「既知の脆弱性」になったあとに攻撃が広がる傾向がある。

   NTTデータ先端技術 辻 伸弘氏
NTTデータ先端技術 辻 伸弘氏

 辻氏によると、「最近は脆弱性や攻撃方法が公表されてから、その脆弱性が実際の攻撃に使われるまでの時間がどんどん短縮している。既知の脆弱性ですら1日かからない場合もある」という。

 「たとえば、ある有名企業では、脆弱性が公表されてから攻撃にあうまでの時間は24時間を切っていた。バックドアが設置され、情報が盗まれていたことが後から判明したが、仮にそのことに気づいたとしても、それだけ時間が短いと修正パッチをあてる作業すらできない」(辻氏)

 こうした背景には、ウイルス作成ツールが新しい脆弱性を"サポート"するまでの時間が速くなっていることがあるようだ。未知の脆弱性が見つかり、ツールがそれを"攻撃メニュー"に取り込むまでに数日しかかからなかったケースも報告されている。

 そのうえで辻氏は、「マルウェア対策では、基本を徹底することが推奨される。具体的には、怪しいファイルは開かない、怪しいサイトにアクセスしない、パターンファイルは最新になどだ。しかし、実際には、これは通用しない。パターンファイルを最新にしていても攻撃されるし、そもそもファイルやサイトが怪しいかどうかは、僕らプロでも判断できなくなっている」と指摘した。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 齋藤公二(サイトウコウジ)

    インサイト合同会社 「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

バックナンバー

連載:EZ Press

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5