シマンテックは、2007年におけるインターネットセキュリティに関するトレンドトップ10を発表した。その中でも特にシマンテックでは、相次ぐ情報漏えい、プロ用の攻撃キット、ボット、Webプラグインの脆弱性といった問題を重視。SymantecのSecurity Response Operations部門のディレクターKevin Hogan氏は、「攻撃のターゲットはWebになっている」と指摘する。

シマンテックによるセキュリティトレンドトップ10

止まらない情報漏えいと世界を覆う攻撃ツール

シマンテックのセキュリティトレンドトップ10で1番目に挙げられている情報漏えいでは、ここ数年にわたって企業や官公庁、学校など、さまざまな組織から大量の情報漏えいが続いている。Hogan氏は、11月20日にはイギリスで歳入関税局が英国民の約半数に当たる2,500万人分の個人情報を収めたディスクを紛失するという事態が起きた例を挙げ、こうした情報漏えい・紛失が大きな問題になっていると指摘する。Hogan氏によれば、情報漏えい事案の46%がUSBメモリやポータブルHDDなどの物理メディアの紛失・盗難だったが、漏えいした情報の件数では73%がハッキングやマルウェアなどの攻撃によって盗まれたものだという(今回のイギリスの事案は数に含まれていない)。

日本では逆に、Winnyなどのファイル共有ソフト経由での漏えいや物理メディアの紛失・盗難が多いということだが、いずれにしても国内、海外ともに毎日のように情報漏えいが起きている。シマンテック セキュリティレスポンスの浜田譲治シニア セキュリティレスポンス マネージャは、「情報というもののを慎重に考え、対策を取らなくてはいけない」と話す。

プロ用攻撃キット「MPack」が問題に

情報漏えいと同様に、現在大きな問題とされているのがプロ用の攻撃キットの存在だ。よく知られているのが「MPack」と呼ばれる攻撃ツールで、闇市場では「1,000ドルで売られている」(Hogan氏)という。MPackなどの攻撃ツールは、これをWebサーバにインストールすると、アクセスしたユーザーのWebブラウザのプラグインの脆弱性を悪用するコードを自動的に生成し、ユーザーのローカルに何らかのマルウェアをダウンロードする、というものだ。知識がない攻撃者でも簡単に攻撃が行えるようになるのが特徴だ。

MPackは「徐々にグレードアップされており、秋葉原で売られているパッケージ製品と同じレベルの品質」(同)に高められているそうで、購入者は1年間の間、さまざまなアップデートが提供されるという、まさに市販製品並みのツールとなっている。

こうしたツールは、Webブラウザのプラグインの脆弱性を狙ったものが多い。たとえば「Adobe Reader」「QuickTime」「RealPlayer」など20数個の脆弱性情報を保持し、アクセスしたユーザーが、たとえばAdobe Readerの脆弱性がなく、QuickTimeの脆弱性があればそれに対応した悪用コードを生成する、といった具合に、攻撃手法を自動的に切り替えることができるのだという。

そうしたMPackのような攻撃ツールを使った攻撃の例としてHogan氏は、イタリアで発生した複数のWebサイトクラッキング事件を挙げる。この事件では、イタリアの主要ISP2社を狙い、そのISPでホストされている数千というWebサイトのユーザーIDとパスワードを(おそらく闇市場で購入して)入手した攻撃者が、Webサイトに不可視のiFrameタグを挿入し、アクセスしたユーザーを自身のWebサイトに誘導。誘導されたユーザーに対して攻撃ツールを使って攻撃した、というものだったという。

米国でスーパーボール開催スタジアムのサイトがハッキングされた事件でも、アクセスしたユーザーは別のサイトに転送され、そこでキーロガーがダウンロードされた上で、特定のゲームを行おうとすると、そのユーザーIDとパスワードを収集する、というものだったそうだ。

技術がなくても使える攻撃ツール

こうした攻撃ツールの存在が、アプリケーションの脆弱性をつく攻撃をより簡単にしており、技術がなくても犯罪が行える点で大きな問題となっている。特に昨今では、従来のような愉快犯のいたずら目的の攻撃は減り、犯罪組織が攻撃を行う例が急増。しかも、関与する犯罪者が世界中に散らばっており、たとえば先述のイタリアの例では、MPackはロシア製、サイトからダウンロードされたマルウェアは中国から、それをホストしていたのはウクライナ、そしてターゲットはイタリア、といったように、「全世界を覆っている」(Hogan氏)というのが問題を複雑にしている。

そもそもMPack自体には研究目的のツールで、悪用した場合は責任を持たないといった説明がされているおり、開発者が捕まえにくいこともあって、攻撃者を追跡するのが難しくなっているというわけだ。ちなみに、闇市場ではMPackのクラック版が、正式版の1,000ドルに対して150ドルで出回っているという。