Enterprise Watch
最新ニュース

セキュリティ専門家3氏、フィッシング詐欺の国内上陸本格化を警告

~WPC EXPO フォーラム 2004 コンピュータ・ネットワークトラック

 10月20日から23日まで東京ビッグサイトで開催されている「WPC EXPO 2004」において、「パソコンに迫る危機と対策~不正アクセスやウイルスの最新手口からパッチ適用やツールによる対策まで~」をテーマに、元Symantec Security Response 日本担当マネージャーで、株式会社セキュアブレイン プリンシパルセキュリティアナリストの星澤裕二氏、マイクロソフト株式会社 Japan Security Response Teamマネージャー 奥天陽司氏、株式会社ラック コンピュータセキュリティ研究所グループリーダー 新井悠氏の参加したパネルディスカッションが行われた。


今後脅威となるフィッシング詐欺、スパイウェア、Botネットワーク

株式会社セキュアブレイン プリンシパルセキュリティアナリスト 星澤裕二氏

マイクロソフト株式会社 Japan Security Response Teamマネージャー 奥天陽司氏
 フィッシング詐欺は、CitibankやeBayなどの金融、Eコマース提供元からの送信を装ったメールに記載された偽サイトにアクセスすることで、クレジットカード番号などの個人情報を不正に入手するものだ。星澤氏によれば、アメリカでの被害は、この1~2年で24億ドルにも達するという。そして「いまのところ国内での被害は聞いてないが、今後は国内でも、海外と同様に流行するだろう」との見方を示し、「現時点ではフィッシング詐欺への有効な対策となるソリューションはアンチスパム程度で、ウイルスと比べ少ない」とした。

 送信者認証技術についても「独自ドメインからの正常なメールには効果がない。似たドメイン、例えば“Citibank-Japan.com”などを取得してのフィッシング詐欺は可能。このため完全な対策ソリューションになっていない」とした。「フィッシング詐欺は、本物のサイトが本物であることをユーザーが確認できる技術があれば起きないが、詐欺の手口が巧妙化していて、不審なメールの判断が難しい」とした。そして「ウイルスでも添付ファイルをを開かなければ9割以上はブロックできるが、100%安全な状況にはなっていない。個人の意識の問題は大きい」とした。

 奥天氏は「メールソリューションにも本人確認が行える技術として、すでにPDPやS/MIMEがあるものの、安全性と利便性の兼ね合いで導入が広まっていない」とし、「ネットワークインフラからも防げる部分があるが、ソーシャルエンジニアリングな手法に対しては、技術での対策は難しい」と述べた。そして「運用面と技術、ユーザーの意識、このすべてでの対策が必要になる」とした。

 新井氏は「フィッシングメールを集めてアクセスを試みてもサイトは消えている。ライフサイクルは3日から長くとも1週間程度と見られ、ISP側でも防ぎようがないのが現状」とした。

 星澤氏は「フィッシングはまさにこれから日本に上陸するところで、携帯電話でも起きる可能性がある。携帯電話の小さいディスプレイでは、本物か偽者かを判断する材料が少なく、専用OSも世界標準のLinuxやSymbianへ移行しているため、今後は世界規模になる可能性がある」と注意を促した。


株式会社ラック コンピュータセキュリティ研究所 グループリーダー 新井悠氏
 今後の脅威としてはスパイウェアも取り上げられた。「基本的に個人情報を盗むもので、キーロガー、HDD内ファイルの送信も行うが、はっきりとした定義はなく、範囲が広い」とした星澤氏。新井氏は「5年前なら、攻撃者の興味本位がウイルス作成の動機として大きかった。ここ1年のトレンドとしては、例えばクリック広告のアクセス数を稼ぐなど、特定業者の金儲けに利用される傾向にあり、スパイウェアはその手段として利用されている」と述べ、「Download.Jectの攻撃もスパイウェア埋め込みが目的だった」とした。

 さらに奥天氏が取り上げたのがBotネットワーク。これはインテリジェントなバックドアとも言えるもので、ウイルス、スパイウェアによりPCに仕掛けられる。標準的には3000~1万台が攻撃用ネットワークを構築し、これを1台のサーバーからコントロールできるという。「DoS攻撃に似ているが、攻撃者が完全にコントロールできるところが、投げるとコントロールできないワームとの違い」になる。プロセスをOSから隠すことも可能なため、発見するのは難しいという。

 新井氏によれば「特定企業のホストからスパムが大量送信されているとの知らせを受け、調べてみるとBotが埋め込まれていた」例があるとのことだ。「日本でも埋め込みは始まっており、ルートも追跡できない」ため注意が必要とした。また星澤氏によれば、SpyBot、GaoBotなどのBotを埋め込むトロイの木馬には大量の亜種が存在するという。「数時間で1つのスピードで亜種が出ており、時間がかかりすぎることからひとまとめで定義してアルファベットは3桁(10月22日現在のシマンテックの情報ではSpyBot.FCD)に達している。このため数千種類になるだろう」とのことだ。


Windows XP SP2の新機能と問題点

 セキュリティ対策が強化されたWindows XP SP2。ネットワーク保護の向上、安全なインターネットへのアクセス、ハードソフト両面でのメモリ保護機能などが修正点として挙げられる。奥天氏は、「OSとしての挙動も変更されており、その影響は出てきているのは事実」と語った。公開時期延期が続いた理由としても、こうした互換性の問題への対処があったという。

 個別に開発された業務アプリケーションに対する影響を懸念してか、会場のユーザーも約半数が導入しておらず、システム担当部署から導入を禁止されている企業も一部存在している。「企業ではファイアウォールなど別の対策がある程度とられているが、家庭ではユーザー自身が対策する必要がある。アンチウイルスでもパターンファイルが一瞬で作成できるわけでなく、SP2はその前の防御線になり得る」とした。そして「10月には10件ものセキュリティ更新プログラムを出したが、SP2ではそもそも機能が使えなくなっているため、影響を受けないものも含まれている。これに伴って今後は対策の重要度が下がることも、今後は起きるだろう」とした。さらに奥天氏は、SP2から追加されたコンポーネントの管理機能にも触れ、「コンポーネントとして入り込み、対策ソフトでも、レジストリからも見つけられないスパイウェアを確認できる」と、そのメリットを挙げた。

 SP2には、対応CPU環境のみで有効となるメモリ保護技術と、ソフトウェアによるメモリ保護の2つが追加されている。これを解析した新井氏によれば「ソフトウェアでの保護では、バッファオーバーフローそのものを抑止する。Windowsにはメモリを上書きするポイントが4~5カ所あるが、このすべてに対する保護機能は備わっていた。ワーム対策として有効になる」とのこと。一方のCPUと連携して動作するハードウェア保護では「メモリの上書きそのものは起こるが、CPUが命令を読み出せなくなる。データの実行が禁止されるもの」だという。そして「こうしたメモリ保護機能により、2003年に提供された修正プログラムのほぼ40%が、ワームを生まない状態に移行でき、脅威が削減される」とした。

 新井氏はIE 6.0 SP2に搭載されたポップアップ抑止の機能にも言及。「IEの脆弱性のほとんどは、ポップアップから生まれているため、実は非常に重要」とした。またセキュリティゾーンの変更にも触れ「デスクトップにも使われているマイコンピュータゾーンの悪用を抑止できるようになっている。SP2では、もしセキュリティホールが見つかっても、ある程度までは大丈夫だろう」との見解を示した。星澤氏も「OSだけでは100%ではなく、アンチウイルスの導入も必要。しかし強化されたこれらの機能とあわせれば、かなりの攻撃を防御できる」とした。

 奥天氏は「問題は、機能を有効にすると、動かないソフトウェアが出る点」とし、「これまで表面化しなかったソフトウェアでのメモリ管理の失敗で、動かなくなる場合がある」とした。そして「ソフトウェア品質というのは際限がない」とし、「サービスパックやセキュリティ更新プログラムについては、必ずアンインストールできるように作りこもうとしている。一般ユーザーには難しいかもしれないが、企業ユーザーは適用前に確認して欲しい」とした。



URL
  WPC EXPO フォーラム 2004
  http://expo.nikkeibp.co.jp/wpc/forum/
  株式会社セキュアブレイン
  http://www.securebrain.co.jp/
  マイクロソフト株式会社
  http://www.microsoft.com/japan/
  株式会社ラック
  http://www.lac.co.jp/


( 岩崎 宰守 )
2004/10/25 00:00

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.