「対抗するのは疲れるからノーガード戦法で十分だ」……。
現代の情報セキュリティの脅威は多様化・複雑化が進み、ユーザーに気付かれないよう潜在的に活動する傾向が強まっている。システムを脅威から守るにはウイルス対策などさまざまな技術的方法の導入が必須とされるが、すでにこうした予防的対策の効果が無くなりつつあるというのが、セキュリティ研究者らの見解である。
情報通信研究機構(NICT)がこのほど開催したシンポジウムでは、研究者らが脅威の現状を紹介しつつ、今後の情報セキュリティ対策に求められる方向性について数々の意見を交えた。
●脅威を仕掛けるのが簡単に
慶応義塾大学大学院政策・メディア研究科の武田圭史教授は、情報セキュリティ事件を取り上げた報道件数から、従来はWinnyなどのファイル交換ソフトウェア(P2P)による情報漏えいが最多だったものの、2008年は不正アクセスが最多になったと説明した。
SQLインジェクション攻撃によるWebサイトの改ざんで多数の閲覧者がマルウェアに感染するというのが最近の主な特徴だ。2008年後半は、USBメモリなどで感染するマルウェアの脅威が拍車を掛けた。「わたしの周囲でも驚くほど感染PCが見つかったが、特に学校や医療機関の関係者に多い。施設の限定されたネットワークの対策に慣れてしまい、インターネット経由で来る脅威への対策が十分ではない」(武田氏)
攻撃者が不正アクセスする目的は、金銭の獲得やほかの攻撃などに悪用しやすい情報、データを盗み出すことだと武田氏は指摘する。攻撃者側の分業化が進み、ボットなどの操作やマルウェアの開発、情報の売買などを別の人間が担当していることで、原因の特定や犯人の捜査が困難になっている。コードを書かずに簡単にマルウェアを作成できるツールが流通するなど、サイバー攻撃へ容易に加担できる環境が整いつつある。
Webサイトの改ざん以外にも、電子メールなどで実在の組織や人物の名称をかたり、ユーザーをだます方法も一般化している。攻撃によってマルウェアに感染すれば、ユーザー個人の情報が盗まれたり、ボットとして外部の攻撃者にマシンを悪用されたりする。
「セキュリティ業界は“最新の脅威に備えよ”というが、ユーザーがいくら努力しても不可能だというのが現状。セキュリティ精神論を唱えるのをやめるべきだ」(武田氏)
●ワームを忘れた報い
NICT情報通信セキュリティ研究センターインシデント対策グループの井上大介主任研究員は、Webを媒介にした攻撃やP2P、USBメモリなどによる脅威の台頭で、かつて世界的なコンピュータ被害を巻き起こした「Nimda」や「CodeRed」などのワームを過去の脅威とする認識が広まりつつあると警鐘を鳴らす。
「リモートエクスプロイト(ネットワーク経由で脆弱性を突く攻撃)型攻撃が過去のものだというのは誤り。現在流行中の“Conficker”(別名Downadup)によってワームの脅威が終わっていないことが明らかになった」(井上氏)
NICTのセキュリティインシデント分析システム「nicter」で観測したところ、Confickerの挙動とみられる国内のシステムを対象にした445番ポートスキャンの検知数が9月1日ごろから目立ち始めた。米Microsoftが脆弱性を公表したのは10月23日。「明らかになる1カ月半前から実際には攻撃が起きていたようだ」(井上氏)
nicterの観測では9月1日以降、日によって増減するものの、445番ポートスキャンの検知数が増加していった。送信ホスト数が1日で300万ホストになる日もあったという。ホスト先の地域は大部分が欧米であった。
井上氏が解析を進めたところ、nicterの観測したConfickerの挙動から送信ホスト数が少ないながら大量のパケットを送信する「Type A」と、送信ホスト数が多数で少量のパケットを送信する「Type B」の2種類が存在することが分かった。Type Bのように、1ホスト当たりの送信パケット数が少ない場合、ユーザーが感染を発見するのが難しい。
nicterは、ダークネットワークと呼ばれるセンサネットワークで、NICTが国内の大学や企業にセンサの設置を委託している。センサは実在しないホストのIPアドレスが存在するように擬似化されて外部からのパケットを観測し、NICTでリアルタイムに相関関係を分析する。ダークネットワークに監視は、NICT以外にも国内外の研究機関や企業などで行われ、独自にセキュリティインシデントの兆候を監視している。
井上氏は、「ダークネットワークは脅威の動きを面として把握できる。しかし、各ダークネットワークは独立しており、1つのダークネットワークが観測した脅威の兆候を全体的な動きだと結論付けるのは難しい」と課題を挙げる。
ダークネットワークを活用すれば、未修正の脆弱性などを突く攻撃へ迅速に対処できる可能性が高まるものの、そのために必要なデータの収集体制や分析する人的なリソースが不足しているというのが現状であるという。
●しっぺ返しを食らう
京都大学学術情報メディアセンターの高倉弘喜准教授は、「できる限りの対策技術でボットウイルスの駆除を試みているが、完全に排除するのは不可能だ」と話した。ボットの挙動を研究する同氏によれば、最近のボットは巧妙に活動する仕組みが多数備わっているという。
ある種類のボットは5分に1回のペースで起動し、外部にある指令サーバに命令の有無などがないか絶えず確認をしていた。3日に1度のペースでまったく異なる実行ファイルが指令サーバから提供され、アップデートを繰り返すという。また、研究室に設置する16台の研究用サーバが一斉にボットの指令サーバと通信を始めた。「何百分の1秒というペースで瞬時に通信するサーバが入れ替わるので、どのサーバが通信をしているか特定できない」(高倉氏)
また、別の種類のボットは手動でウイルススキャンを実行すると外部の指令サーバに救援を求めることも分かった。高倉氏が駆除した直後に京大のネットワークへDDoS(大規模なサービス妨害)攻撃が仕掛けられ、そのトラフィックは1Gbpsにもなった。現在は最大10Gbpsに対応するが昨年では1Gbpsだったといい、タイミングによっては深刻な被害を受ける可能性があった。
高倉氏が研究に使うシステムでは、最も多い時に170システムでボットに感染したが、駆除を徹底しても10システムに抑えるのが限界だという。「学内ネットワークを保護しても、モバイルPCのような学外のネットワークへ頻繁に接続する端末が再接続することで脅威が繰り返させる構図だ」(同氏)
このほかにも同大関係者を狙ったとみられる標的型攻撃もあった。ある政党の人事情報と銘打った電子メールが学内のメーリングリストに出回り、Excelデータを装った複数のマルウェアが添付されていた。メーリングリストは非公開であり、何らかの方法でアドレス情報を入手した攻撃者が学校関係者に標的をしぼった可能性がある。
この攻撃から数日して、別の政党の人事情報とする不振な電子メールが大企業や政府機関に出回った。このメールには京大で見つかったものと同様な偽装ファイルが添付されていた。
高倉氏によれば、攻撃者たちは最新のセキュリティ製品を自ら購入して機能や性能を解析し、対策の裏を突く手法を開発して攻撃しているという。「最近はインターネットばかりではなくデジタルカメラやポータブルメディアプレーヤーなども格好の感染媒体になる。一旦感染すれば、Webを使ってなるべく密かに行動しようとしている」(高倉氏)
●やりがいのある対策をするには?
3氏による説明の後、NICT情報通信セキュリティ研究センタートレーサブルネットワークグループの門林雄基プロジェクトリーダーがモデレーターとして加わり、セキュリティの脅威の変化によって浮き彫りになった現在のセキュリティ対策の課題を提起した。
「セキュリティ対策を推進する中心的な役割が不足している。企業などでは予防的対策に偏り、被害経験や解決への取り組みなどの事後対策を生かす環境が整っていないのではないか」(門林氏)
これに対して武田氏は、「エンドユーザーの利益となる存在が乏しい。初動対応に必要な情報とリソースを存分に投入すれば被害を最小化できるが、その反動で企業では事業に必要な生産性や情報流通が損なわれる。多額の投資をして対策を講じても被害がなければ、投資が無駄になるという意見や、“セキュリティ自体が面倒だ”という意見も多数あり、それらの点を解決しなければ難しい」と述べた。
井上氏は、「NICTのリソースにも限界はあり、世界中で起きている脅威に対処するには各国の機関が連携を密にし、共同でデータの収集や分析、対策情報の提供を行える仕組みが欠かせない。ダークネットワークによって脅威の兆候を知ることができるが、一部の企業担当者にセンサ設置を断られた経験もあり、セキュリティ対策がなぜ必要なのかを理解してもらう活動も十分ではないと感じた。今後はセキュリティをより良いものとしていくコミュニティーの醸成や人材育成に注力したい」と話した。
高倉氏は、「全員が協力できる仕組みが理想だが、現実には利害関係など複雑な事情が絡んでセキュリティに協力を得られないことがあり、被害に遭って初めてセキュリティの重要性を理解する人もいる。また、今の技術的な対策はどれも高度なものばかりで、利用する側が追いつけない。本当に必要な対策を無理なく実現できるためには、提供者と利用者がより相互理解を深めていくべきだろう」と指摘した。
門林氏はまた、セキュリティ分野における人材の不足も課題として提起。井上氏と武田氏は、「学生には、セキュリティ対策に必要なデータを分析環境がすべて手に入るといった理想的な場所を提供できるようにしたい」(井上氏)、「資格や技能認定などがあるが、セキュリティ従事者がより広く社会から評価されるためのキャリアパスを若い人材に提示していくべきだろう」(武田氏)と、提案した。
最後に門林氏は、「情報セキュリティの脅威への対策に社会全体が参加していく環境作りと、それを支える人材育成が必要になっている」と締めくくった。
(nifty)
“脳トレ”で知られる東北大学の加齢医学研究所・川島隆太研究室とヤマハ発動機は3月4日、オートバイの運転が脳に与える効果を調べる共同研究の結果を発表した。日常的にオートバイに乗ると、脳の認知機能向上やストレス軽減など、脳と心の健康にポジティブな影響を与えるという。