WinNukeの撃ち合いも昔――

世の中、脆弱性といえば0-dayばかりだった頃がある。10年ほど前のことだ。脆弱性といっても、今のようにネットやニュースで脆弱性についての情報が流れることはまれで、その情報を知った人間のみ自由に利用していた。WebやIRCのチャットルームで会話していると、WinNukeの撃ち合いが始まるという殺伐とした風景が、まだ日常茶飯事だった頃である。

時は過ぎ、今やネットを通じて自動更新を行うことや、多くの脆弱性関連情報にリーチすることができるようになった。その反面、貴重となった未知の脆弱性情報には金銭的価値が生まれるようになった。象徴的だったのは、昨年12月にMicrosoftのExcelの0-dayが、ネットオークションで競売にかけられた事件。このとき、情報を知っている人間がそこに金銭的価値を見出していることを、筆者は感じ取った。同じように、標的型攻撃もまた、盗み出す情報の価値というものがモチベーションのひとつになっているのではないだろうか。でなければ、脆弱性を発見するというコストをペイできないはずである。

こうした背景については、さまざまな推察が可能であろう。そして、筆者の説もまた、適切ではないかもしれない。つまり標的型攻撃は「現在進行形の脅威」であり、不得要領な面がたくさんあるのだ。

防げない脅威ではない標的型攻撃

この脅威に立ち向かっていくにはどうしたらよいのか――無論、黙って指をくわえたまま見守るわけにもいくまい。技術的な対策として思い浮かぶのは、以下の事項である。

• 日頃からS/MIME等の技術を使用して、電子メールのなりすましや改ざんを防ぐ
• バッファオーバーフローを防ぐハードウェアとOSを使用する
• ウイルス対策ソフトは必ず使用する
• メールフィルタリングソフトを使い、必要以上にメールや添付ファイルを受け取らないようにする
• ビヘイビア(振る舞い)解析技術の併用

最初に注意したい点は、電子メールのなりすましについて、自らが「なりすまされる対象」になる恐れもあるということ。これを防ぐために、S/MIME等の技術を日頃から利用し、なりすましや改ざんを防止するように対処しておくことが重要であろう。

また、技術的な対策として言及しておきたい点のひとつに、バッファオーバーフローを防ぐハードウェアとOSの使用があげられる。こうした技術の使用は、バッファオーバーフローだけでなくメモリの上書きに起因する複数の問題の防御となりうる。そして本シリーズの「(5) - 脆弱性発見手法の進化(中編)」で紹介したように、昨今頻出している0-dayは、ほとんどがバッファオーバーフロー脆弱性なのである。

加えて、「ビヘイビア解析技術」という聞きなれない言葉があるだろう。これは、例えば

1. 電子メールのアドレス帳を開き
2. ネットワーク機能を利用して自己複製を電子メールで送信し
3. 感染したPCのレジストリを書き換えて常駐化を設定
4. ウイルス対策ソフトウェアを停止させる

といった、悪性プログラムで特徴的にみられる動作を検出することである。これにより、パターンファイルの更新なしで新たなウイルスに対応していくことができるという。この技術の代表例は米Internet Security SystemsのVPS(Virus Prevention System)があるだろう。

とはいえ、新たなウイルスに対応していくといっても、ウイルス対策ソフトウェアとの併用が望まれることは言うまでもないだろう。多層防御の考え方に沿っていえば、単一の技術に依存した場合、その回避策が見つかった時には無防備な状態を生み出すことになるのだ。これを避けるために、上記の技術を複数取り入れることが望ましいといえるだろう。そして取り入れることができれば、防げない脅威ではないのである。

これも標的型攻撃だけに限った話ではないが、最後に教育という対策について触れておきたい。いくら技術が発達しても、実社会と同程度のリスクはインターネットに残るだろう。標的型攻撃は、その残り続けるリスクの最たるものであるかもしれない。そして情報セキュリティを自分自身の問題であると認識してもらうためには、なぜそれが危険で、どうしたら回避できるのか、ということについて、継続的な教育を施すことも重要な項目になるだろう(加えて、法という観点も無論重要であるが、筆者は法律家ではないため、この点に関してはご専門の方のご意見をいただくほうが適切だろう。よって、ここでは言及を避けたい)。

長いシリーズとして標的型攻撃を本稿で扱ってきたが、読者諸兄に「この脅威は自分自身の問題である」とご認識いただけることを切に願う。