ショックだった一太郎への攻撃

最後に、ISSの最高技術責任者でエグゼクティブセキュリティアナリストの高橋正和氏が、セキュリティベンダー側からの10年間を説明。同社の前身は、WWWやPGPが生まれた1991年からスタートし、94年に設立された。そのころ、93年にはホワイトハウスや国連がインターネットに接続し、94年にはショッピングモールやピザの宅配などのサービスがインターネット上に出現、最初のスパムが問題になったのもこの年だという。

高橋氏が興味を持ったものは99年当時のDDoSツールで、このツールは現在のボットの動きに近いそうだ。このころはMelissaウイルスやクラッキングツール「Back Orifice 2000」が登場したころでもある。

99年からセキュリティ業界ではDDoSツールが注目されていたにもかかわらず、2000年には米Yahoo!やeBayで大規模なDDoS攻撃が行われ、国内でも官公庁のWebサイト書き換えが発生した。この書き換えで、「国内でもセキュリティベンダーが知られるようになった」と高橋氏。

2001年はCodeRedやNimdaが登場した年だが、「非常に小型のボット」という「Kaiten」が話題になったという。2002年にはAgobot、SDbotが発見され、「このころから一部の人(ウイルス作者)はボットに移っていった」らしい。

2005年には標的型攻撃が話題になり、イントラネット内への攻撃手法が増えてきた。これまで、シグネチャベースのセキュリティ対策だったが、そうした方式では対応できなくなってきていると話す。

「ショックだったのは一太郎が狙われたこと」と高橋氏は今年になって明らかになった、国産ワープロソフトのゼロデイ攻撃に触れる。一太郎はほぼ日本国内にのみ流通しているソフトであり、幅広い攻撃ではなく、明らかに個別のターゲットを狙った攻撃だからだ。「実際に一太郎に攻撃が行われた背景に何があるのか、それを考えるとぞっとする」。Windowsを使っているから、Internet Explorerを使っているから、といった「どのアプリケーションだから危ない、という時代ではなくなっている」という。

業界で連携し、予防をしていく

今後のJPCERT/CCに望む点としては、宮地氏と小山氏は連携の重要性を強調。宮地氏は2002年のSNNPプロトコルの脆弱性発見時、電源安定装置などほとんどの機器にインプリメントされていたこのプロトコルの脆弱性の対応に苦慮した点を話し、「セキュリティ対策は人にお願いすることばかりだった。お互いの連鎖をいかにうまく作るかが一番難しい問題」と指摘。

小山氏は、国産ファイル共有ソフトWinnyを介して蔓延するAntinnyウイルスに触れ、海外の情報に頼っていると対策が進まない点を再度強調し、「日本の中でしっかりとした技術を持って情報共有することが必要」とした。この点に関しては、「2005年末からまったく進歩していないので推し進めたい」。

高橋氏は、ボットに関する調査をした際に、それから半年も過ぎると状況が変わるスピードの速さを指摘して、「事件を振り返るのも大事だが、攻撃側が予測したとおりに動かない」と話す。現在、大規模なインシデントは攻撃側が意図的に起こさないようになってきているので、「インシデントレスポンス」ではなく「インシデントプリベント(予防)」が必要との見解を示した。