【レポート】
「攻撃のターゲットはWeb」 - 2007年のセキュリティトレンド
1 情報漏えい問題と攻撃キットの存在
シマンテックは、2007年におけるインターネットセキュリティに関するトレンドトップ10を発表した。その中でも特にシマンテックでは、相次ぐ情報漏えい、プロ用の攻撃キット、ボット、Webプラグインの脆弱性といった問題を重視。SymantecのSecurity Response Operations部門のディレクターKevin Hogan氏は、「攻撃のターゲットはWebになっている」と指摘する。
|
シマンテックによるセキュリティトレンドトップ10 |
止まらない情報漏えいと世界を覆う攻撃ツール
シマンテックのセキュリティトレンドトップ10で1番目に挙げられている情報漏えいでは、ここ数年にわたって企業や官公庁、学校など、さまざまな組織から大量の情報漏えいが続いている。Hogan氏は、11月20日にはイギリスで歳入関税局が英国民の約半数に当たる2,500万人分の個人情報を収めたディスクを紛失するという事態が起きた例を挙げ、こうした情報漏えい・紛失が大きな問題になっていると指摘する。Hogan氏によれば、情報漏えい事案の46%がUSBメモリやポータブルHDDなどの物理メディアの紛失・盗難だったが、漏えいした情報の件数では73%がハッキングやマルウェアなどの攻撃によって盗まれたものだという(今回のイギリスの事案は数に含まれていない)。
日本では逆に、Winnyなどのファイル共有ソフト経由での漏えいや物理メディアの紛失・盗難が多いということだが、いずれにしても国内、海外ともに毎日のように情報漏えいが起きている。シマンテック セキュリティレスポンスの浜田譲治シニア セキュリティレスポンス マネージャは、「情報というもののを慎重に考え、対策を取らなくてはいけない」と話す。
プロ用攻撃キット「MPack」が問題に
情報漏えいと同様に、現在大きな問題とされているのがプロ用の攻撃キットの存在だ。よく知られているのが「MPack」と呼ばれる攻撃ツールで、闇市場では「1,000ドルで売られている」(Hogan氏)という。MPackなどの攻撃ツールは、これをWebサーバにインストールすると、アクセスしたユーザーのWebブラウザのプラグインの脆弱性を悪用するコードを自動的に生成し、ユーザーのローカルに何らかのマルウェアをダウンロードする、というものだ。知識がない攻撃者でも簡単に攻撃が行えるようになるのが特徴だ。
MPackは「徐々にグレードアップされており、秋葉原で売られているパッケージ製品と同じレベルの品質」(同)に高められているそうで、購入者は1年間の間、さまざまなアップデートが提供されるという、まさに市販製品並みのツールとなっている。
こうしたツールは、Webブラウザのプラグインの脆弱性を狙ったものが多い。たとえば「Adobe Reader」「QuickTime」「RealPlayer」など20数個の脆弱性情報を保持し、アクセスしたユーザーが、たとえばAdobe Readerの脆弱性がなく、QuickTimeの脆弱性があればそれに対応した悪用コードを生成する、といった具合に、攻撃手法を自動的に切り替えることができるのだという。
そうしたMPackのような攻撃ツールを使った攻撃の例としてHogan氏は、イタリアで発生した複数のWebサイトクラッキング事件を挙げる。この事件では、イタリアの主要ISP2社を狙い、そのISPでホストされている数千というWebサイトのユーザーIDとパスワードを(おそらく闇市場で購入して)入手した攻撃者が、Webサイトに不可視のiFrameタグを挿入し、アクセスしたユーザーを自身のWebサイトに誘導。誘導されたユーザーに対して攻撃ツールを使って攻撃した、というものだったという。
米国でスーパーボール開催スタジアムのサイトがハッキングされた事件でも、アクセスしたユーザーは別のサイトに転送され、そこでキーロガーがダウンロードされた上で、特定のゲームを行おうとすると、そのユーザーIDとパスワードを収集する、というものだったそうだ。
技術がなくても使える攻撃ツール
こうした攻撃ツールの存在が、アプリケーションの脆弱性をつく攻撃をより簡単にしており、技術がなくても犯罪が行える点で大きな問題となっている。特に昨今では、従来のような愉快犯のいたずら目的の攻撃は減り、犯罪組織が攻撃を行う例が急増。しかも、関与する犯罪者が世界中に散らばっており、たとえば先述のイタリアの例では、MPackはロシア製、サイトからダウンロードされたマルウェアは中国から、それをホストしていたのはウクライナ、そしてターゲットはイタリア、といったように、「全世界を覆っている」(Hogan氏)というのが問題を複雑にしている。
そもそもMPack自体には研究目的のツールで、悪用した場合は責任を持たないといった説明がされているおり、開発者が捕まえにくいこともあって、攻撃者を追跡するのが難しくなっているというわけだ。ちなみに、闇市場ではMPackのクラック版が、正式版の1,000ドルに対して150ドルで出回っているという。
新着記事
| 理研、脳・脊髄形成に必要な神経板湾曲の仕組みを解明 [20:16 5/25] |
| 京大、「慢性閉塞性肺疾患」患者の労作時呼吸困難は鍼治療が有効と実証 [20:08 5/25] |
| 120Hz SHVカメラ用イメージセンサーを使った撮像装置 - SHVフルスペック化へ [18:10 5/25] |
| 京大、視覚による物体認知は前頭前野からのトップダウン信号が重要と確認 [17:45 5/25] |
| 製品数の拡大だけでなくBCPの展開なども含めた総合力で事業の強化を図るTI [17:25 5/25] |
特設サイトの情報
求人情報
人気記事
一覧イチオシ記事
新着記事
|
【連載】鉄道トリビア 第152回 N700系普通車の座席は、同じ料金でも狭かったり広かったりする [08:00 5/26] ライフ |
|
【連載】発音も聞けちゃう、知って得するidiom情報 第13回 hear out [08:00 5/26] ライフ |
|
【連載】Japanglish、正しく言うならこうでしょう 第56回 concent(コンセント) [07:00 5/26] キャリア |
|
【連載】これだけは要チェック! TOEIC(R)単語帳 第101回 今回のお題は…「out of date」 [07:00 5/26] キャリア |
|
【連載】出社前に。日常生活ですぐに使える! 英語クイズ 第223回 「触らぬ神にたたりなし」ってなんて言う? [07:00 5/26] キャリア |
特別企画
転職ノウハウ
4つの診断で、自分の適性を見つめなおそう!
働くこと・挑戦し続けることへの思いを綴ったインタビュー
あなたにピッタリのアドバイスを読むことができます。
転職に必要な情報が収集できます
企業からアプローチのメッセージが届きます。
サービス一覧
