セキュリティ防御手段としてのクラウドの活用法

ウイルスはもはや"悪戯"ではない

当初のコンピュータウイルスは、作成者の技術力誇示が主な目的であり、いわば「いささかやり過ぎてしまったジョーク・プログラム」とでも言うべきものが大半だった。「罪のない悪戯」というには少々タチの悪いものもあったが、被害の内容は最悪でも「PCが起動できない」や「ディスク上のデータが消される」といった程度で、要は「PCの被害」にとどまるものだった。

しかし、現在のセキュリティソフトが対象としている攻撃者は、悪戯者などではなく、サイバー犯罪者である。

現在の攻撃は昔とまったく様変わりしており、経済的利益を目的としている。「未知の攻撃手法を実行することで名前を売る」といった間接的な話ではないのだ。

メールアドレスやクレジットカード番号といったID情報や各種パスワード情報など、「金銭に換えられる個人情報」の盗み出しや、オンライン詐欺サイトへのユーザーの誘導など、手法はさまざまだが、最近の攻撃は不当な利益獲得を目的としている。

そしてこの種の攻撃を受けたら、被害はPCにとどまらず、社会的/経済的な不利益を被ることになる。現在では、PCにダメージが生じるケースのほうが例外的と言ってよい状況だ。

というのも、ユーザーに被害に遭っていることすら気づかせないため、ファイルを消すなどPCの動作に影響を与えるような被害を発生させず、ひそかに情報を盗み出すといった手法が目立つようになってきているのだ。

こうなると、コンピュータ・セキュリティはもはや「サイバー・ワールドの問題」ではなく、「自宅に空き巣が入って財産を盗まれた」という窃盗事件と何も違わない。漏れた個人情報に住所が含まれていれば、招かれざる来訪者があり得るかもしれず、「オンライン・セキュリティは現実とは無縁のもの」と考えてしまうわけにはいかないことは明らかだ。

従来型セキュリティ対策の限界

セキュリティ・ソフトウェアは長らく、「PC単体での保護」に注力してきた。基本的な発想は、「外部からPCに入り込む不正なコード(マルウェア)を阻止する」というものだ。具体的には、ウイルスの感染源の主流だったフロッピーディスクやUSBメモリキーなどからのコピー、電子メールの添付ファイルなどが主な監視対象だった。

その後、インターネットに常時接続されているPCが増加したことを受け、パーソナル・ファイアウォール機能などが追加されたが、いずれも「PCを狙った脅威が"外部"からやってくる」ことを前提とした防御である。

防御の対象は不正な処理を実行してしまうコードであり、それを見分けるために使われてきたのが「パターンファイル/シグネチャ」といった形で実装される「マルウェアのデータベース」だ。

パターンファイル/シグネチャは、マルウェアを見分けるには有効な技術であり、だからこそ現在まで活用されている。しかし、ユーザーが直面するあらゆる脅威に万全の防御を提供できるわけではなく、当然ながら、向き不向きがある。

パターンファイル/シグネチャの最大の問題は作成過程にある。パターンファイル/シグネチャは、サンプルとなるマルウェアをまず入手し、その特徴を抽出することで作成される。セキュリティベンダーはそれらを「検体」と呼ぶが、マルウェアそのものを調べて他のコードとの識別に役立つ特徴的なパターンを発見しないと作成できない。したがって、マルウェアが発見されてからパターンファイル/シグネチャが完成するまでには一定のタイムラグが生じる。

「マルウェアの作成に高度な技術が必要で、簡単には新種のマルウェアが出現しない」という状況なら、このアプローチは効果的だ。しかし「マルウェア開発キット」のようなものが売買されている現在、マルウェアの新種/変種は日々次々と出現している。これでは、パターンファイル/シグネチャの開発負担は大きく、間に合わない場合もある。

さらに深刻なことに、検体の入手が以前より難しくなっている。「技術力誇示」が目的だった頃のマルウェアは感染規模が大きいほど注目されるため、誰もが感染するように工夫を凝らしていた。しかし、大規模感染はここ数年途絶えている。というのも、不特定多数を狙った大規模感染ワームは結局のところ大規模な悪戯にすぎず、経済的な利益を狙うサイバー犯罪とは異なる性格のものだからだ。

現在のマルウェアは、ユーザーの範囲を絞り、盗み出す機密情報や個人情報の精度を高める方向で工夫を凝らしている。例えば、特定のオンライン・サイトのユーザーを狙って、そのサイトからの連絡を装ったメールを送る、といった攻撃がそうだ。

こうした絞り込みは、セキュリティ・ソフトウェア・ベンダーにとって「検体が入手しにくくなる」ことを意味する。大規模感染を狙ったマルウェアなら、インターネット上にマルウェア収集用のPCを接続しておけば向こうから勝手に飛び込んできてくれることが期待できる。実際には「ハニーポット」と呼ばれる囮を仕掛けて攻撃を誘うなど、もう少し高度な手法が用いられるが、いずれにしても、「インターネット上で情報収集を行うことで検体を入手」というのが従来の手法だった。

現在のマルウェア作成者/配布者にとって、"無差別絨毯爆撃的な攻撃"は防御側の迅速な対応を招くだけでメリットがない。逆に、現実の窃盗犯のように、被害者に気づかせないよう隠密行動をとるほうが利益に繋がる可能性が高い。

よって、ターゲットを絞り込んでピンポイントで攻撃を仕掛ける例が増えているのだが、これはベンダーが仕掛けたハニーポットやインターネット上の各種の「センサー」が攻撃対象とならず、新たな攻撃の発生を検知しにくく、検体も得られないという結果を生む。

パターンファイル/シグネチャに基づく防御が完全に無効になったわけではないが、それだけでは十分に防御できなくなっており、何らかの追加の対策が必要となってきているのである。

防御の新たな手法としてのクラウド

このように、マルウェアが「悪質な悪戯」から「不当利益を狙ったサイバー犯罪」へと変質するなか、セキュリティソフトの側も発想の転換を迫られている。

従来は、「感染力が強く、大規模感染を引き起こす可能性が高いマルウェア」を「深刻度・高」と判定して最優先で対策するというのがセキュリティソフトの基本だった。しかし現在では、感染力の強さと被害の深刻度の関連は薄くなっている。

むしろ、技術的見地からするとテキスト・メッセージにすぎなくても、ユーザーがそこに張られたリンクをついクリックしたくなるような魅力的な文面のスパム・メールなど、現実世界の詐欺と同様のソーシャル・エンジニアリング的な手法を採り入れた攻撃にこそ注意しなくてはならない状況になっている。

しかも、深刻な被害をもたらす攻撃ほど、周到に準備され、あらかじめ対象を絞り込んだうえで仕掛けられる傾向が出てきているので、防御のノウハウを備えたセキュリティソフトベンダーの警戒をすり抜けるケースも増えている。

こうした状況で有用と考えられている対策の1つが、セキュリティソフトのユーザーから収集した情報を活用する手法だ。攻撃対象となりそうなユーザーのプロファイルを想定し、ハニーポットを「攻撃者にとって魅力的に見えるように」偽装する手もあるが、手間が掛かるうえに網羅性にも疑問がある。

むしろ、守るべきユーザーのところで攻撃が仕掛けられるのを監視し、怪しい挙動を察知したら従来のように「単に防御して終わり」にするのではなく、攻撃に関する情報を収集して他のユーザーの防御に生かすという手法のほうが有効だろう。

こうした方法を突き詰めていくと、最終的には「個別のPCにインストールされたセキュリティソフトが独力でPCを保護する」というやり方から、「インターネット上に用意されたクラウドを活用して防御する」というクラウド型セキュリティ対策への道筋が見えてくる。

クラウド型セキュリティはユーザーの負担を減らせるというメリットも見逃せない。セキュリティソフトは常に最新のパターンファイル/シグネチャを適用している必要があるが、そのアップデートをユーザーが負担に感じるようでは困る。その点でも、常に最新の情報を参照して防御ができるクラウド型のセキュリティ対策に優位性があるだろう。

クラウド型セキュリティといっても、セキュリティソフトが完全にインターネット上で動作することにはならないだろうが、何らかの形でクラウドの発想を採り入れていかないと十分な防御が実現できないという状況になりつつあるのは確実ではないだろうか。