新年度に入って発生した大規模な情報漏洩事件の影響から、自社のセキュリティ対策について見直す企業が増えている。二の舞を踏まないためには、今、インターネット/Webの世界にどんな脅威があるのかを把握しておく必要があるだろう。

そこで本誌は、KDDIの情報セキュリティフェローや日本ネットワークセキュリティ協会の副会長などの肩書きを持ち、数々の国際会議で議長を務める中尾康二氏に、セキュリティ脅威の最新事情を聞いた。

プロフィール

中尾康二 (NAKAO Koji)


1979年早稲田大学卒業後、国際電信電に入社。KDD研究所を経て、現在KDDI 情報セキュリティフェロー、及び独立法人情報通信研究機構(NICT)ネットワークセキュリティ研究所 主管研究員兼務。ネットワーク及びシステムを中心とした情報セキュリティ技術に関わる技術開発に従事。

早稲田大学、及び名古屋大学非常勤講師。

6月22日に開催される「2011 Webセキュリティセミナー」にて講演予定。

日に日に増す、Webセキュリティへの脅威

情報セキュリティ対策は、次々と新たな手法で攻撃を仕掛けて来るハッカーやクラッカー達との終わることのない戦いであると言っても過言ではない。なかでも不特定多数の利用者に対するサービスを前提とするWebのセキュリティ対策では、世界でいままさにどのような攻撃が行われているのかといった最新の情報を得ることが何よりも重要なのである。

KDDI情報セキュリティフェローを務める中尾康二氏は、「Webセキュリティにおいてマルウェアの脅威はますます増大している」と警告する。同氏によると、現在のマルウェアは完全にロボット化されており、自律的に活動しながら次々と新しい機能を自身にアドオンしていくのだという。そのため、アンチウイルスソフトのシグネチャによる検知にも引っかかりにくくなってしまっているのだ。

こうしたマルウェアの活動を、中尾氏は独自の方法でモニターしている。それは、同氏が参画する情報通信研究機構で開発した「nicter」というシステムを用いたダークネット観測である。ダークネットとは、実際にPCやサーバーなどが使用しているIPアドレス空間であるライブネットに対し、IPv4のIPアドレスは割り当てられているものの実ホストが存在しない未使用のアドレス空間のことを呼ぶ。nicterは、日本国内に存在する実に14万にも及ぶアドレス空間を常時センシングしているのだという。

では実際にどのようにnicterによってマルウェアの活動状況を捉えることができるのかを簡単に紹介しよう。例えばPCがマルウェアに感染した場合、スキャン攻撃やDoS攻撃などの挙動によって無作為のIPアドレスに対して膨大なパケットが飛ばされる。そのため、nicterが監視するIPアドレスでもこうしたパケットを受け取ることになる。その内容を解析することで攻撃の内容が把握できるのである。

最近発生した世界的に有名な国内企業による大規模な情報漏えい事故についても中尾氏は、「我々もnicterでその攻撃の様子を観測していた。その結果、初めの攻撃はDoS攻撃だったと分析している」と興味深い事実を明かす。

また、ボットネットを用いたDoS攻撃の場合には何万というボット感染端末のIPアドレスから攻撃が発生するが、その多くは送信者のIPアドレスを詐称して別のIPアドレスになりすますIPスプーフィングが行われている。そのなりすましたIPアドレスの一部が本来ダークネットに割り振られたものであった場合には、ボットネットの攻撃対象からダークネット側にパケットが戻ってくるために攻撃状況(バックスキャッターと呼ぶ)を観測することができるのである。

「大規模な攻撃になると、ダークネットで受け取るパケットの量も膨大なものになる。その場合、いまどこの国を中心にボットネットが構成されて、どの程度の攻撃が行われているのかといったことを知ることができる」(中尾氏)

セキュリティ対策は国際間の連携が必須の時代に

このように、現在のセキュリティ攻撃は国をまたがって行われるようになっている。そのため、「日本だけで独自に対策を立てていても通用しない」(中尾氏)のだという。

「現在起きているセキュリティ侵害の大元を潰さないとダメだ。それには国際間の連携が絶対に必要となる。いまはその連携をどのようなルールで行うかを各国で議論している最中」(同氏)

中尾氏によると、例えばアメリカはセキュリティに関する新技術の開発力がとても高いのに対して、イギリスの場合はISMS(情報セキュリティマネジメントシステム)で知られるようなマネジメントのためのスキームづくりが得意であるといったように、国ごとの役割分担も自然発生的に存在しているのだという。

「日本の場合は、マネジメントの専門家は多いのだが、そういう人たちは得てしてテクノロジーを詳しくは知らない傾向にある。つまりはマネジメントとテクノロジーの間にギャップが存在するため、そこを埋めなければいけない。なぜならば、こういったミスマッチから放置される企業システムの弱点をハッカー達は見逃さずに突いてくるからだ」と同氏。

そして、ハッカーの意識も時代とともに大きく変わっていることも忘れてはならない。例えばあるシステムにハッカーが不正に侵入した場合、以前であればまるで侵入したことをひけらかすかのように大々的に痕跡を残していたのが、最近は侵入した事実がまったくわからないように振る舞う傾向にあるという。

「これは、かつてのハッカーが、侵入すること自体を目的としていたのに対して、現在ではクレジットカード番号など付加価値の高い個人情報を盗みだして金銭に変えることを目的とするようになったからだ。いわば、ハッカーが愉快犯型から金銭目的型へと変わったと言えよう」と中尾氏は強調する。

それでは、自社の情報システムのセキュリティホールを虎視眈々と狙うハッカーから身を守るためには、何を学び、どのような対策を施すことが有効なのだろうか。6月22日に開催される『2011 Webセキュリティセミナー』では、そのためのヒントとなる様々なトピックを中尾氏が提供してくれる。

本稿で少しだけ取り上げたWebセキュリティ対策のより具体的な内容や世界のセキュリティ最新事情はもちろんのこと、先の大規模情報漏えい事故にまつわる真相や原因分析などにも触れる予定だ。中尾氏の講演を聞くことで、Webセキュリティ対策において最も大切な最新情報の掌握をぜひとも実現していただきたい。