シマンテックは5月29日、グローバルインテリジェンスネットワーク セキュリティレスポンス ディレクターのディーン・ターナー氏による説明会を開催した。

グローバルインテリジェンスネットワーク セキュリティレスポンス ディレクターのディーン・ターナー氏

同氏はグローバルインテリジェンスネットワーク(Global Intelligence Network、GIN)の活動状況を包括的に説明し、さらにGINから得られた現在のインターネットの脅威の状況を明らかにした。ターナー氏は同社が年二回発行しているインターネットセキュリティ脅威レポート(ISTR:Internet Security Threat Report)のエグゼクティブエディターでもあり、5名のスタッフと共にISTRの執筆を行なっている。ISTRは、GINで得られた脅威の状況を示すデータに説明や分析を加えて無償公開されるレポートで、執筆には毎号3.5カ月を費やしているそうだ。

GINは「セキュリティ分析情報データの集合体」と位置づけられ、「攻撃の分析情報」「マルウェアの分析情報」「脆弱性の分析情報」「なりすましの分析情報」の4種類のセキュリティ分析データを中核とする。データの収集は世界中に分散配置されたセンサー群が活用される。センサーには、インターネット上に設置された、サーバ仮想化技術を利用して構築されたハニーポッドから、同社のセキュリティ・ソフトウェア製品や他社のソフトウェアやネットワーク・ハードウェアのログ情報、アナリストや研究者からの報告などが含まれるという。同氏は、「4種類の分析情報全てをカバーしている点がシマンテックの強み」だとし、たとえばソフトウェアの脆弱性に関するデータベースとしてもGINは世界最大級だとしている。情報を包括的に収集していることで、複数の手法を組み合わせるような複合的な脅威に関しても適切な分析ができる点もGINの強みだという。

犯罪者がサイバー犯罪の技術力を身につけた

同氏は、最近の脅威の状況について、「初期の好奇心に基づくウイルス作成などとは異なり、現在の脅威は犯罪者による金銭目的の犯罪行為だ」とした。これは、「匿名性が高く捕まりにくく、実行が簡単」というインターネットの特徴が犯罪者にとって魅力的であるためで、高度な技術力を持ったクラッカーが犯罪者になったというよりも、犯罪者がサイバー犯罪に必要な技術力を身につけたと見るべきだという。技術力を誇示するかのような、世界レベルで大規模な感染騒ぎを引き起こすような強力なワームによる被害は、実は2004年を最後に影を潜めており、その代わりに現在深刻な問題になっているのは、特定個人やごく小規模なグループをターゲットとし、技術力のみではなくソーシャルエンジニアリングの手法も活用しながら金銭的な利益を得ようとする攻撃だという。

また同氏は、現在の脅威はWebを舞台としたものが主流となっているという。フィッシングサイトなどが典型的な例だが、このほかにもSNSのアカウントを悪用してユーザーの誘導を試みたり、クロスサイトスクリプティングの利用、リダイレクトなど、さまざまな手法を駆使して自分たちのWebサイトにユーザーを誘導し、そこで有用な情報の入力を促したりするパターンが目立つという。見るからに怪しげなサイトではなく、著名な企業が運営する、信頼されているサイトに不正コードを埋め込むなどの手口も目立つようになっている。このため、従来のような特定のOSやアプリケーション・ソフトウェアの脆弱性に対して積極的に攻撃を仕掛けるのではなく、Webサイトを待ちかまえてユーザーがやってくるのを待ち、あるいはユーザーを誘導するのが主流となってきており、「システムをターゲットにした攻撃ではなく、人をターゲットにした攻撃」へとシフトする傾向が顕著だという。

「悪質な悪戯」から「純然たる犯罪」に

同氏はまた、インターネットからダウンロードできるコードなどでは、有益なものよりもむしろ有害なもののほうが多くなっているような状況だと指摘。こうした状況を踏まえるなら、従来の有害なものを検出してブロックする、というブラックリスト的なアプローチだけではなく、大丈夫だと確認できているものだけを通過させるホワイトリストのアプローチも重要になってくると語り、今後シマンテック製品でホワイトリスト機能が実装される可能性を示唆した。さらに、GINなどで発する警告も、グローバルに共通な警告を出す形から、たとえばある金融機関を狙ったフィッシングサイトが見つかった場合に、その金融機関に口座を持っているユーザーに対してのみ警告するような、「警告のパーソナライズ」についても今後検討していくとしている。

インターネットの脅威は、かつてのような「悪質な悪戯」から「純然たる犯罪」に変わっていることと、システムの脆弱性よりも人を対象としたソーシャルエンジニアリング的な手法に移っているという状況は、日本においても真剣に対策を考えるべきだろうと思われる。幸か不幸か言語の壁で守られている面があり、欧米で行なわれているフィッシング等は日本国内での大きな被害には繋がっていないように思われる。だが、「オレオレ詐欺」が大きな被害を出したこと、PCやインターネットの利用層が格段に広がっていることを考えれば、有効な対策の導入を急ぐ必要があることは間違いなさそうだ。