2015年2月18日日本オラクル赤坂オフィスにて「ソフォス・日本オラクル共同セミナー~管理者必見!DBを狙った標的型攻撃の実態とその対策~」が開催された。

1985年の設立以来、30年にわたり法人向けのセキュリティソリューションを提供し続けてきたソフォス。当日はキーノートとして、英国本社より来日したセキュリティエキスパートであるJames Lyne氏による「2014年のセキュリティ事件簿と2015年の予測」が行われた。

James Lyne氏 / Head of Global Security Research, Sophos

2014年は標的型攻撃に大きな関心が集中

Lyne氏は2014年の大きなトピックスとして標的型攻撃、特にスパムメールなどのように自動的に攻撃を行うタイプのものを挙げた。

「標的型攻撃と聞くと、非常に高度で洗練されたイメージを持つかもしれませんが、実は単純でスタンダードな攻撃であるケースが多いのです」(Lyne氏)

たとえば、以下の画像を見比べてほしい。これは世界有数のビジネス型SNSである「LinkedIn」から送られてきたパスワードの変更を求めるメールと、それを模したスパムメールである。見ての通り、どちらがスパムかを一見しただけでは判断がつかないほどにそっくりである。なおLyne氏によると、本物よりもスパムメールの方が、スペルも文法も正確だったという事例もあったという。

「ユーザーは、スパムメールに対し稚拙で雑なものだという思い込みがあるようです。しかしご覧の通り、現在ではスパムメールの方が本物らしいと言えるくらいに巧妙になっています。今後のユーザーは、このようなスパムがあることを知っておく必要があります。ですが、われわれのようなセキュリティ担当者たちは、ユーザーがこの事実を理解するためには、それなりの時間が必要だということも知っておかなくてはなりません」(Lyne氏)

Lyne氏が紹介したスパムメールの例。左が正式なもので右がスパム。一見しただけで違いを見抜くことは難しい。

毎日25万個の悪質なコードが生み出され、3万件のサイトが感染する

ソフォスの英国本社には、サイバー攻撃に関する研究を行うためのラボが存在する。その調査によると、全世界では悪質なコードが毎日25万個ずつ生み出され、それらに感染するサイトは3万件にも上るとのことである。

「これらのコードは自動化ツールを使って生成されています。そしてそのツールは700~2000ドルほどで簡単に入手できてしまいます。コードを書いたことがない人たちが、ツールを使って悪質なコードを作成して拡散する。これが、現在のトレンドなのです」(Lyne氏)

このようなサイバー犯罪者に向けたツールは、一つの市場を形成するほどに広がっている。その中では価格競争と技術競争が進み活発なイノベーションが起こっているとLyne氏は警告する。ただし、それはあくまでもツールとしてのイノベーションであって、攻撃手段は昔ながらのマルウェアを使ったものが大半である。

かつてLyne氏は、会社のトイレにワザとUSBメモリを置き、それを見つけた人がどんな行動をとるかという実験を行った。その結果、なんとそのUSBを発見した者は、ほぼ例外なく自分のデスクに戻った後、PCに接続してしまったとのことだ。

「このように一般的なセキュリティ意識が低い現状では、使い古されたスタンダードな方法は、今でも効果的な攻撃手段として利用されているのです」(Lyne氏)

悪質なコードを生み出すツールとして有名な「Blackhole Exploit Kit」の概要。なお、同ツールの作者はすでに逮捕されているとのこと。

マルウェアに感染したマシンからクレジットカード情報を抜き取る実演を行うLyne氏

その後Lyne氏は、マルウェアに感染したマシンから、どのようにして重要な情報を抜き出すのか、その具体的なデモの実演を行った。ここでは、その具体的な方法についての紹介は割愛するが、ものの数分で、個人情報からクレジット情報まで簡単に抜き出されていく光景に会場から驚きの声があがった。

これからのターゲットはIoTに

これまで、多くのサイバー攻撃はWindowsを標的にしていた。だが、スマートフォンやタブレットなど、多種多様なデバイスが登場している昨今、WindowsなどのPC以外についても、十分なセキュリティ対策を備えていかなくてはならない。その中でも、今後特に注意すべきものとしてLyne氏が挙げたものがIoT(Internet of Things)、いわゆる「モノのインターネット」である。

ソフォスは、その中のいくつかを取り寄せて同社のラボで調査した結果、ほぼ全ての製品がセキュリティ面に問題を抱えていることをつきとめた。それは、「2015年にもなって、これで本当に大丈夫なのだろうか?」とLyne氏が嘆くほどの酷い状況だったという。

たとえば、パスワードが設定できるシステムは、一見するとセキュリティに配慮されているように思えるかもしれない。だが、何回間違えてもロックされないのであれば、総当たりで簡単に突破されてしまう。オンラインのシステムであっても、パスワードロックが掛からないシステムは数多く存在している。そのようなシステムの侵入に最先端の技術は必要ない。使い古された、スタンダードな手法で十分なのである。

Lyne氏による、監視カメラ(CCTV)のシステムに侵入された状況のデモ。左には居眠りしている警備員の姿が、右は店員の手の動きでパスワードがわかってしまう。

2015年に向けた、Lyne氏からのメッセージ

多彩なデモとデータによって2014年を振り返ったLyne氏は、まとめとして2015年以降のセキュリティについて、2つのメッセージを残した。

「1つ目は、何よりスタンダードな攻撃をしっかり防ぐことです。確かに先端的な攻撃は増えています。ですが、単純な攻撃でも備えがなければ簡単に破られてしまいます。だからこそ、まずはきちんと基礎を固めることが大切なのです。そして2つ目は、PC以外のさまざまなデバイスにも注意を払うことです。そうしなければ、15年くらい前のセキュリティレベルに後戻りしてしまい、サイバー犯罪者のやりたい放題になってしまいます」(Lyne氏)

なお、ソフォスのホームページでは、最新のスパムやマルウェアなどの情報が随時紹介されている。その他にも、さまざまなセキュリティ情報が公開されているので、セキュリティ担当者は参考にしてみてはいかがだろうか。