Enterprise Watch
最新ニュース

「シグネチャだけではもう限界、複数の防御手段を活用しよう」、Symantecホーガン氏


Symantec Security Responseのディレクター、ケヴィン・ホーガン氏

シマンテック セキュリティレスポンス シニアセキュリティレスポンスマネージャの浜田穣治氏
 株式会社シマンテックは11月30日、2007年のセキュリティトレンドを振り返る記者向けの説明会を開催。Symantecにおいて全世界のウイルス対策チームなどを統括するSecurity Response ディレクター、ケヴィン・ホーガン氏らがセキュリティの傾向などを解説した。

 現在のセキュリティトレンドとしてホーガン氏が挙げたのは、プロ用のマルウェアツールキットが登場し、普及してしまっていること。MPack、IcePack、Neosploitといったこれらのツールを使うと、「箱売りされているアプリケーションと同じくらいの仕上がりになっていて、全然技術を持っていない人でさえオンライン詐欺市場に参入できる」(ホーガン氏)ため、悪用者のすそ野が広がってしまった点が問題だと指摘する。

 またこうしたツールでは、最終的には攻撃者の立ち上げたWebサイトへユーザーを誘導。そのユーザーのPCに存在する脆弱性を利用して、マルウェアをインストールしてしまう。この際にマルウェアが利用する脆弱性は、以前はOSやWebブラウザそのものが持つ脆弱性だったが、近年では、Adobe ReaderやRealPlayerをはじめとするプラグインソフトの脆弱性が狙われるようになっていることが、ここ最近の大きな変化だという。

 ホーガン氏はこの傾向について「昔は1つ2つの脅威を利用していたが、今ではツールが20~30もの脆弱性を悪用でき、インストールされているソフトを見て使う脆弱性を決めている。OSさえパッチされていればいいという時代ではなくなりつつある」と警告する。また国内のセキュリティレスポンスでシニアセキュリティレスポンスマネージャを務めている浜田穣治氏も、「プラグインソフトの脆弱性は、2006年全体で108件だったものが、2007年は前半だけで237件と、期間は半分でも倍以上の数になっている。マイクロソフトなどが努力し、脆弱性が見つかりにくくなったのか、サードパーティの脆弱性を利用するようになっている」と指摘。同様のことを警告した。


 また、攻撃者がマルウェアをばらまくための不正サイトへユーザーを誘導する手段にも、変化が見られるという。それは、「かつて誘導の中心だったスパム(迷惑メール)からWebへ手段がシフトしている」(ホーガン氏)こと、またWebサイトを利用する場合も、アンダーグラウンドのサイトではなく、「正規の企業・団体が持つWebサイトが、誘導のための踏み台にされてしまっている」(同氏)こと、の2つ。

 ホーガン氏は「イタリアではISPが狙われ、そのホストしている(正規の企業の)Webサイトが改ざんされてしまったように、ギャンブル、ポルノなどのサイトを避ければ大丈夫、ということはなくなった」と危機感をにじませる。また浜田氏も、「YouTubeやSNSなど、既存のブランドやWebサイトを利用して人集めをし、マルウェアを波及させている。安全、安全でない区別が難しくなっている」と述べ、Web自体が狙われているという現在の傾向を説明した。

 では、ユーザーがこれに対処するにはどうすればいいのか。ホーガン氏は、「セキュリティベンダーだから言うのではないが、単なるウイルス対策ソフトではなくスイート製品を使うことが有効」と述べる。同氏によれば、近ごろのマルウェアは発見されにくくするため、マルウェアを送りこむ対象ごとに1つずつ仕様を変える「使い捨てマルウェア」も登場しているとのことで、シグネチャによる検知も限界に来ているという。

 これに対処するためには、「振る舞いからウイルスを発見できるヒューリスティック、ビヘイビアの検知技術が有効」としたホーガン氏は、複数の防御手段・技術が導入されている、Norton Internet Securityなどのスイート製品が必要になっているとの見解を示した。検知技術の多重化という意味では、例えば、最近ラインアップに追加されたボット対策製品「ノートン・アンチボット」の利用も、単機能化が進み発見されにくくなっているボット対策では有効に働くという。

 さらにホーガン氏は、こうしたセキュリティ技術の多重使用に加えて、「Webはどこでも危険、という認識を持つことも重要」と話し、できればWebブラウザの設定でJavaやActiveXを利用しないようにした方が良いと忠告。加えて、当たり前のことではあるが、「Webブラウザはもちろん、面倒ではあるが、プラグインについてもパッチしなきゃいけない」と語ったほか、一方でWebを運営する側の心構えについても、「昔から言っていることだが、ID/パスワードの管理やパッチ適用など、基本的なことをしっかりしないといけない」と苦言を呈した。



URL
  株式会社シマンテック
  http://www.symantec.com/jp/

関連記事
  ・ シマンテック、巧妙なボットも逃さず検知する「ノートン・アンチボット」(2007/11/28)
  ・ 新しい脅威に対応した「ノートン・インターネットセキュリティ 2008」など(2007/09/07)


( 石井 一志 )
2007/11/30 17:20

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.