Enterprise Watch
最新ニュース

「ホワイトリスト的保証もセキュリティの役割になる」-シマンテック


Symantec Security Responseのオペレーションディレクター、ケヴィン・ホーガン氏
 株式会社シマンテックは11月6日、記者向けのセミナーを開催。アイルランドSymantec Ltd.のSymantec Security Response オペレーションディレクター、ケヴィン・ホーガン氏が、昨今のセキュリティトレンドを説明した。

 ホーガン氏がまず傾向として挙げたのが、アプリケーションレベルの脆弱性を狙った攻撃が増えていること。従来はOS、もしくはOSに密接に絡むアプリケーションの脆弱性が狙われるケースが多かったものの、そうした脆弱性の発見が難しくなってきたため、マルウェア作者がアプリケーションの脆弱性に注目するようになったという。また、「ファイルファジングなどのテクニックを使って、半自動で脆弱性を発見できること」(ホーガン氏)も、よく狙われるようになった理由の1つという。

 攻撃の方法としては、リモートから操作可能な脆弱性が減っているため、メールなどで送りつけたファイルをダブルクリックして開かせるソーシャルエンジニアリングの方法を用いられることが多く、バックドアプログラムなどをユーザーに気付かれないようにPCに潜ませ、悪事をはたらくのが典型的なケース。アプリケーションとしては、Microsoft OfficeやWebブラウザを狙うケースが特に顕著で、ホーガン氏は、ゼロデイアタックが登場した「Internet ExplorerにおけるVMLの脆弱性(MS06-055)」を例として取り上げた。

 また、Web 2.0のように新しい概念が登場するにつれて、脅威も新しいものが登場してくるという。シマンテックがリリースした「インターネット脅威レポート」でも触れられていたが、ホーガン氏も、Ajaxを利用した攻撃が登場するのは時間の問題と見ている。「Ajaxにはローカルレベルでデータを保有する性質があるので、そこにセキュリティ上の問題が発生してくる」(同氏)。

 インターネット上でサービスが提供されるに従い、そのサービスをねらい打ちにしたマルウェアも登場するようになった。6月に発見されたYamannerもその1つ。これは、Webメールサービスである「Yahoo!メール」の脆弱性をついたもの。通常、Webメールではスクリプトを実行できないように制限しているが、このワームはYahoo!メールのシステムの穴をついてスクリプトの実行をし、メールアドレスを収集していた。こうしたマルウェアはクライアント環境には何も変更を加えないため、通常のウイルス対策ソフトが持つ防御手段では防ぐことはできない。悪用されると非常にやっかいだといえるだろう。


 これら以外のトピックとしては、ファイル感染型のウイルスがここに来て増加していることが挙げられるという。ワームやトロイの木馬でない、いわゆる「狭義のウイルス」は、自らの機能によってほかのファイルに自らのコードを埋め込み、伝染を拡げる自己感染機能を備えていた。ホーガン氏によれば、最近ではこの特性を持つマルウェアが増えており、もっぱらこの機能を、自らを隠すために利用しているという。

 「ふつうのワームであれば特定の名前の、特定のファイルがあれば、それを削除してくださいといえるが、自分が作った名前のファイルにウイルスがついていると、ユーザーは気付きにくい」(ホーガン氏)。最近では、感染するたびにウイルス自体のコードを改変するなどして検知を難しくする、ポリモフィック型の手法を持つものも多く出現しており、マルウェア作者とウイルス対策ベンダとの戦いは、いっそう激しくなっているようである。

 またホーガン氏は、セキュリティの傾向の変化として、「何が信頼できないのか、だけでなく、何が信頼できるのか」をこれからは考えていかねばならないとした。これは、米SymantecのトンプソンCEOも、自社イベントの基調講演で強調していたこと。ホーガン氏もトンプソンCEO同様、自社製品のNorton Confidentialを紹介。アクセスしてはいけないWebサイトのブラックリスト提供はもちろん、「これはいいものだ、という保証もセキュリティの範ちゅうになる。ユーザーに正しい情報を提供する必要があり、これからはホワイトリスト的な考え方もしなくてはいけない」と述べた。

 「ウイルス対策だけを見ても、5年前までは白か黒かだったのでエンジニアとしては楽だった。しかし今では、黒でなければ何なのか、広く、深く分析する必要があるし、黒の中でも、それがワームなのか、バックドアなのか、ダウンローダーなのかなど、どういう黒なのかを知らせなくてはいけない。またユーザーのセキュリティの見方も、黒か白かだけでなく、変わらなくてはいけない。それを手伝うのが当社の仕事であり、適切な情報を適切なときに表示するのが最優先の課題になる」(ホーガン氏)。



URL
  株式会社シマンテック
  http://www.symantec.co.jp/

関連記事
  ・ Symantec、ウイルス対策の最前線「Security Response」を公開(2006/09/22)
  ・ 今のマルウェアに、従来の脅威レベルはあてにならない?-Symantec(2006/09/22)
  ・ 米Symantec トンプソンCEO、「インターネットでは信頼の醸成が必要」(2006/11/02)


( 石井 一志 )
2006/11/06 18:00

Enterprise Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.