自覚なく「加害者」にならないために－未知の脅威に対抗するための手段

2012年の注目すべきネットワークセキュリティ関連の話題といえば、いまだ記憶に新しい「遠隔操作ウイルス事件」だろう。犯行予告の書き込みが行われたPCの所有者が誤認逮捕されたこともあり、一つの社会問題となった事件といえる。

事件は、2012年10月、インターネット掲示板から無償ファイルをダウンロードしたことによって、ダウンロードを行ったPCが「iesys.exe」というマルウェアに感染し、そのPCから犯人によって犯行予告の書き込みなどが行われたというもの。

その犯行には「Tor(The Onion Router)」という暗号化ソフトが使われ、犯人の身元特定をより難しくしていた。

「Torが引き起こすリスクには、「URLフィルタが効かない」「管理者が知らない間に違法コンテンツをダウンロードされてしまう」「従業員の端末が踏み台にされる」など、到底、一個人では背負いきれない危険性が内包されています」。

こう語るのは、パロアルトネットワークス マーケティング部長の菅原継顕氏だ。菅原氏によると、Torによって自分のPCを"踏み台"とされて、自覚がなくとも、他人に被害を与える「加害者」になってしまう危険性もあるという。

IT管理者でさえ把握できない危険性

どのように、被害者ひいては「加害者」になる可能性があるのか。その前に、「遠隔操作ウイルス事件」の犯行に使われたTorがどのようなものなのか説明しよう。

TorはTCP/IPの接続経路を匿名化するアプリケーションで、オニオンルータと呼ばれるネットワークノードを介して、パケットが転送される。暗号化パケットが何層ものカプセルに入ったような状態で送信される構造により、Torの最初の発信者が誰かはもちろん、経由してきた経路を探るのも困難になるという仕組みだ。Torは遠隔操作ウイルス事件において、マルウェアを含んだソフトをアップロードする際に、その送信元を隠ぺいするために用いられた。

「当社でTorの危険性を実証するために検証を行った結果、やはりアクセス制御や脅威検出ができず、通信ログも残らないため、機密情報を外部に流出させてしまった場合も、その行為自体を発見できないことがわかりました。IT管理者でさえ把握できないケースがほとんどであるため、危険性は非常に高いです」。

未知のマルウェアに対抗する「WildFire」

では、実際に「加害者」にならないためにはどうすればいいのか。その対策の一つが、IT管理者でさえ把握できないマルウェアや、未知のウイルスの脅威を防ぐ「WildFire」だ。

「WildFire」は、未知の脅威に対抗するためにパロアルトネットワークスが開発した最新のテクノロジー。未知のファイルを検出すると、分析・識別処理をクラウドベースで行い、その結果ファイルがマルウェアであると判断された場合には、対抗するためのシグネチャを自動的に生成する。そして、生成されたシグネチャは、世界各地のパロアルトネットワークスのユーザーが利用しているセキュリティ製品に配信されるという仕組みだ。

「これまで、未知のマルウェアや、ターゲットを絞り込んで展開される「標的型攻撃」に対して対策をとることは、非常に難しいことでした。しかし、『WildFire』を利用し、シグネチャを世界各地へ配布することによって、脅威を大幅に減少させることができるようになったのです」。

菅原氏によると、「WildFire」の2011年の実績は、ファイルスキャン数が約211万件、そのうち、マルウェアの検出数が約17万件、さらにそのなかでも、メジャーなアンチウイルスベンダーがまだ発見していない未知のマルウェア「ゼロデイマルウェア」の検出数は、約7万件だったという。

「遠隔操作ウイルス事件」は、Torを用いてアップロードされたソフトを、被害者がDropboxからダウンロードし、マルウェアに感染した。「オンラインストレージやクラウドは、データ共有はもちろん、自宅で仕事を行う場合など、利便性は高いですが、"クラウドにデータを預ける危険性"があることも忘れないでほしい」と菅原氏はいう。

クラウドをはじめ、"便利"の幅が広がっている昨今だが、それに比例して危険性が増し、どこにあるかわからない"落とし穴"も増えてきている。まだ見たことがない未知の脅威だけでなく、足元に潜む脅威をどのように抑えることができるのかについては、3月12日(火)に開催されるセミナー『マイナビニュースITサミット2013 従来型では通用しない新たな脅威にどう対処すべきか? ～急増する未知なる脅威への対策と処方箋～』で明らかにされる。今回、お話を伺った菅原氏も登壇されるので、セキュリティ対策に確実な一手を打ちたいと考えている方にとって、必聴のセミナーとなるだろう。