Enterprise Watch
最新ニュース

「マルウェア感染元はWebサイトへ移行、闇市場の成熟化も進行中」-シマンテック


 株式会社シマンテックは4月17日、「インターネットセキュリティ脅威レポート(ISTR) Volume XIII」を発表したことを受け、この内容を説明する記者向けのセミナーを開催。米Symantec セキュリティレスポンス シニアディレクターのヴィンセント・ウィーファー氏が、米国からリモートで解説を行った。


Webサイト特有の脆弱性が狙われるようになっているにもかかわらず、パッチ適用が進んでいないという

闇市場も成熟してしまっており、マルウェア作成者の専業化が進んでいるため、過去1年間でその数が急増しているという
 このレポートは、同社が世界規模で行っている恒例の調査をまとめたもので、今回は2007年7月~12月を対象としている。ウィーファー氏がまず、今回のレポートの特徴として言及したのは、マルウェアの配布経路が変わってきている点。同氏は、「かつては、オンラインではメールやIM(インスタントメッセンジャー)などを使っていたが、今日ではWebサイトがマルウェアの配布拠点になってきている」と述べた上で、「過去には怪しいWebサイトに行かないようにという注意を促していたが、現在は通常のWebサイトを使ってマルウェアが配信されるようになった」との変化を説明する。

 そして、攻撃に際しては、Webサイト特有の脆弱性が狙われるようになっているという。「Microsoft Officeの脆弱性など従来型のものは、数百万ユーザーに影響を与えるが、サイト特有のものは、そのサイトへ訪れる人だけが対象」と話したウィーファー氏は、「大手ブランドではなく小さなWebサイトが狙われている」と指摘。「これらのサイトはセキュリティ保護を頻繁に更新にせず、パッチ適用率が非常に遅い。当社で1万1000を超えるサイトの脆弱性を文書化しているが、このレポートが書かれた時点で、473件のみがパッチを適用されていた」として、Webサイト管理に警鐘を鳴らしている。

 続けてのトピックとしてウィーファー氏は「アンダーグラウンド(闇市場)の成熟」を挙げる。今では、分業化が進み、ツールやサービスの生産・提供が専門家しているほか、ツール開発のアウトソーシングが行われているほど。こうした、マルウェア作成者の専業化によって、マルウェア自体の数も急増。昨年は対前年比で500%にも達したという。ウィーファー氏は、「ローカルのマルウェア、例えば地元の言語を使って単一地域だけを標的とするマルウェアが増えているのは、攻撃者が非常に成熟し、攻撃地域を特定している傾向が強まっていることを示している」と述べた。なお、マルウェア自体の中では、トロイの木馬の割合が圧倒的に増えているという。

 また、経済の論理に従って価格が柔軟に変動するようになったのも昨今の特徴とのこと。売り手が大量取引の場合に割り引き価格を提示したり、ターゲットの価値によって価格を変えたりするようになっている。ウィーファー氏は、「例えば、欧州のクレジットカードの価値は、米国の同じようなものよりも高く取引されるが、これはユーロ高や、米国のカード枚数が増えているのが原因。通常の市場と同じような価値観で、さまざまなものが取引されるようになった」と、例を挙げて現状を説明している。


シマンテックセキュリティレスポンス セキュリティレスポンスマネージャの濱田譲治氏
 一方で、フィッシング攻撃で狙われる対象も移り変わっている。ウィーファー氏「2年前は、銀行など金融機関のサイトだけを狙っていたが、SNS(ソーシャルネットワーキングサイト)が狙われている」と話したが、それは、SNSを利用する際のユーザーのセキュリティ意識が、オンラインバンキングなどに比べて高くないからだという。

 シマンテックセキュリティレスポンス セキュリティレスポンスマネージャの濱田譲治氏は、「オンラインでショッピングや銀行とのやりとりをするのにはユーザーは慎重になるが、SNSへのログインにはそれほど注意を払わないため、簡単に(IDやパスワードを)入手できる。またSNSはコミュニティなのでお互いを信頼しやすく、攻撃者にとっては“おいしい”。なりすました攻撃者によって書き込みされたものを、友達の情報だからと信じてクリックし、被害にあってしまう」と、SNSが狙われる理由を具体的に説明した。

 なおウィーファー氏は、今後1~2年を見据えたセキュリティ業界の傾向として、「ホワイトリスト方式のセキュリティへの変化が見られるのではないか」とする。現在は、「あるアプリケーションの実行をブロックする」というブラックリスト方式が一般的であるが、未知のマルウェア、特定の対象だけを狙ったマルウェアについては検知・防御がしにくいという問題がある。そこで、実証され、ホワイトリストに掲載されたアプリケーションのみを動作させられるようにすることで、セキュリティを担保しようという考え方がたびたび提案されるようになった。ウィーファー氏が触れたのもこの考え方で、「今は大企業、特に銀行などで使われているが、これが中小規模にも広がっていくのではないか」とした。



URL
  株式会社シマンテック
  http://www.symantec.com/ja/jp/
  ニュースリリース
  http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20080417_01

関連記事
  ・ 「ホワイトリスト的保証もセキュリティの役割になる」-シマンテック(2006/11/06)
  ・ スタートアップ企業に負けない俊敏性を維持する仕組みとは?-Symantec(2007/11/05)


( 石井 一志 )
2008/04/17 14:28

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.