Enterprise Watch
最新ニュース

「自動迎撃を行うボットネットも出現」、F-Secureヒッポネン氏が進化する脅威を説明


F-Secureセキュリティ研究所のミッコ・ヒッポネン所長
 ウイルス、スパイウェア、ボットなどインターネットを取り巻くセキュリティ事情は複雑さを増している。攻撃者の目的は、以前の遊び感覚のものから金銭窃取へと変わっており、効率的に利益を出すため犯罪グループ同士が手を結びアンダーグラウンドネットワークのようなものも形成されている。

 フィンランドF-Secureでは、ヘルシンキ、サンロゼ、クアラルンプールにセキュリティ研究所を置き、こうした脅威に365日24時間体制で対応。高いウイルス解析技術を基に、インターネットセキュリティ対策製品を世に投入している。

 同セキュリティ研究所の所長であり、F-SecureのChief Research Officerであるミッコ・ヒッポネン氏が来日。この機に、昨今のセキュリティ事情に関して話を聞いた。今後、セキュリティをどうとらえるべきか、その一端を紹介できればと思う。なお同氏は、2007年3月に米国PC World誌にWebで最も重要な50人の1人として選出されている人物である。


「アウトブレークの終息=平穏」という誤解

 同氏はまず、ウイルスの急増に触れ、「私が現在の職に就いた91年、ウイルスは300件ほどしか確認されていなかった。それが2004年には10万件、2007年には50万件と爆発的に増えている」と発言。その特徴としては、不可視化が進んでいると指摘した。「PCユーザーにとっては5~6年前のアウトブレーク型ウイルスが印象強いのだと思う。現在は犯罪のプロ化によりマルウェア全般的に不可視化が進んでいる。これがおそらく“状況は良くなっている”という誤解をPCユーザーに与えてしまっているのだろう。しかし実際は、ますます危険な状況になっている」。


現在位置が特定される危険性も-モバイルスパイウェアの脅威

 一方で新しい脅威としては、モバイルを狙ったマルウェアを挙げている。「まだ数としては394種。その内訳もSymbianとWindows Mobileをターゲットにしたものばかりで、PCを狙うものと比べればささいなものだが、今後大きな脅威になる可能性がある」(同氏)という。

 「中でも特に心配なのは、モバイルスパイウェアだ。実例では、感染した携帯端末の情報をPCのWebサイトから一覧できるものも確認されている。ここで懸念されるのは、PCよりも身近な存在として利用される携帯端末には、他人のメールアドレスや電話番号がたくさん保存され、非常にプライベートな内容のやり取りが行われていること。モバイルスパイウェアによりこうしたものがすべて盗み見されてしまう危険性があるという点だ。さらにGPSを搭載する携帯端末では、持ち主の現在位置まで把握できてしまう可能性もある。将来的には最大の問題になるのではと危ぐしている」(同氏)。


ブラックマーケットは確かに存在する

 こうした犯罪行為を加速するのがブラックマーケットの存在だが、同氏は実在のクレジットカード情報や銀行口座を販売するWebサイトを紹介。「ブラックマーケットは明らかに存在する」と断言した。これ以外にも、100ドル/日の価格でDoS攻撃サービスを請け負うWebサイトの存在を指摘している。「例えば、ライバル会社に対するアタックとしてこうしたサービスが利用されている。ボットネットを利用して一斉にDos攻撃を仕掛け、価格に応じた日数分だけ標的サイトをダウンさせてしまうのだ。実際に確認されたWebサイトでは、10分間効果を試せる無料サービスなども提供されていた」(同氏)。


ボットネットの進化-P2P型自動迎撃システム

 このようなDoS攻撃をはじめ、スパムの配信、マルウェア感染とさまざまな犯罪に利用されるボットネットだが、最近このボットネットにも対策を難しくする進化が見て取れるという。「以前のボットネットは中央に指令サーバーがあるのが通例で、一網打尽にするためには指令サーバーを制御してしまえばよかった。ところが現在は、ボットマシン1台1台が流動的に連携するP2P型ボットネットが構築されている。対策ベンダからするとどれが指令サーバーなのか判断がつかないので対策が難しくなっている。さらにボットネット自体に自動迎撃システムのようなものまで搭載されるようになり、対策ベンダが調査のために1台のボットマシンに接続すると、その途端に膨大なボットマシンから一斉アタックが開始、といったことまで起こるようになっている」(同氏)。


Webからの脅威に対抗するF-Secureの「Deep Guard機能」

 ボットネットが進化するとともに、ボットに感染する危険性も高まっている。その根拠は、正規のWebサイトに訪問しただけでマルウェアに感染してしまうWebからの脅威だ。この点についてヒッポネン氏は「以前はメール経由でウイルスに感染させるのが犯罪者の主な手法だった。ところがその対策が進んだことで、OSの脆弱性、Webブラウザの脆弱性を狙うようになり、今ではWebプラグインの脆弱性を狙うようになっている。こうなると製品としては他社にまたがり、パッチを提供しようにも1社で一括して提供できないため、防御するのは非常に難しい」と説明。

 「それでもパッチの更新は重要なので、当社では、PC内のアプリケーションのバージョンチェックを行う無償サービスも提供しているが、やはりすべての更新を間違いなく行うのは無理であろう。何か新しいソリューションが必要となっている」と語った。

 そこでF-Secureが提供するのが、同社のインターネットセキュリティ製品に搭載している「Deep Guard」という機能。これはPC上でアプリケーションが立ち上がると、起動時にまず既知のウイルスや全体的なヘルスチェックを行い、そのあともアプリケーションの挙動を監視し続けるというソリューションだ。

 ヒッポネン氏は「例えば、ネットサーフィンをしている真っ最中にメール送信されようとした場合、警告を出す。アプリケーションの挙動自体を監視するため、ウイルスの種類や性質に関係なく防御することが可能だ。犯罪者はウイルス対策ソフトの裏をかこうとするが、同機能はそうした思惑に対応するためのもの」とアピールした。


F-Secureは小さなプレーヤー、生き残りには革新性が必要

 最後に他社との違いを聞くと同氏は、「当社は業界の大手と比べれば小さなプレーヤー。生き残るためには常に革新性を求める必要がある。例をとると、2005年に当社ではrootkit検出技術を提供しているが、これは他社よりも1~2年早いタイミングだった。Deep Guardのような技術の提供も当社が一番早い。こうした努力を今後も続けていきたい」と説明。

 その上で「実はすでにその次のステップも検討中で、概要だけ説明すると、Deep Guardをさらに発展させてマルウェア検出がより汎用的に行えるようになる技術を考えている」ことを明らかにした。



URL
  日本エフ・セキュア株式会社
  http://www.f-secure.co.jp/


( 川島 弘之 )
2008/02/01 17:27

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.