コンピュータとネットワークのセキュリティは、終わりのないいたちごっこです。攻撃者は、テクノロジーと社会のトレンドを巧みに捉え、弱点を突く攻撃を巧みに適応させています。2010年も終わりに近づき、今年のセキュリティにおける主要なトレンドを振り返り、2011年にPCをより効果的に守るために役立つヒントをいくつか見つけてみましょう。
標的型脅威
今年は、Googleをはじめとする多くの有名企業を標的とした攻撃と情報漏洩という衝撃的な幕開けとなりました。Googleは、これらの攻撃は中国政府の責任だと非難し、米国国務省もこの件に関与していると非難しました。
情報源によっては「オペレーション・オーロラ」または「ハイドラク」と呼ばれたこの攻撃は、国家の支援を受けたとされる点で特異なものでした。中国は関与を否定しましたが、数ヶ月後にウィキリークスがリークした情報により、この説に何らかの根拠がある可能性が示唆されました。しかし、「オペレーション・オーロラ」攻撃のもう一つの特徴は、影響を受けた関係者が協力し、攻撃の詳細を共有し、真相究明に向けて協力し合ったことです。
国家が支援する、知名度の高いIT企業を標的とした攻撃は、標的型攻撃の一種です。しかし、Stuxnetワームは、より巧妙な標的型攻撃にも注意が必要であることを示しています(ただし、Stuxnetも国家の支援を受けているとされている点には留意が必要です)。シマンテック・セキュリティ・レスポンスのディレクター、ゲイリー・イーガン氏は、「Stuxnetはマルウェアの新たな進化の先駆けとなった可能性が高い。つまり、現実世界に被害をもたらすために兵器化された、新たな種類の脅威である。これはまた、これまでで最も複雑な脅威の一つでもある」と説明しています。
Stuxnetワームは4つのゼロデイ脆弱性を悪用し、最先端の技術を駆使して検出を回避しました。また、製造工場などで使用されているようなプログラマブルロジックコントローラー(PLC)に影響を及ぼすように特別に設計された最初のルートキットとして知られています。イーガン氏は、「Stuxnetの政治的および社会的影響は広範囲に及ぶ」と述べています。
砂場で遊ぶ
2010年は、セキュリティ対策としてのサンドボックスの概念を導入した年とは言えませんが、サンドボックスがより広く採用され、主流の用語となった年であることは確かです。Google ChromeウェブブラウザやAdobe Readerソフトウェアなどの製品は、攻撃や脆弱性の悪用を防ぐ手段としてサンドボックスを採用しました。
サンドボックスは基本的に、アプリケーションやPCの他の部分から隔離された安全な領域です。JavaScriptなどのコードはサンドボックス内で実行できますが、システムの他の部分に感染したり影響を与えたりすることはできません。サンドボックスをセキュリティ制御として使用することで、これらのアプリケーションは最も一般的な攻撃の多くを防ぐことができます。
しかし、サンドボックス化は個々のアプリケーションだけにとどまらず、さらに進化していく可能性があります。Invinceaの広報担当者は、「完全仮想化サンドボックスソリューションが市場に登場しつつあります。これは、偽アンチウイルス、SEO対策の改ざん、カーネルエクスプロイトなど、ユーザーに対する信頼に基づくエクスプロイトを含む、アプリケーションサンドボックスさえも破ってしまうWebベースの攻撃への対策として特に重要です」と述べています。
マイクロソフトにとっての輝かしい年
マイクロソフトは2010年、ソフトウェアの脆弱性の特定と修正において様々な記録を更新しました。これは開発の杜撰さと細部への配慮不足に起因するという意見もあれば、マイクロソフトが欠陥や脆弱性の発見能力を大幅に向上させ、それらへの対応も大幅に迅速化したという意見もあります。
マイクロソフトは、毎月のセキュリティ情報公開数で過去最高を記録し、年間を通して膨大なセキュリティ情報を公開しました。シマンテックのイーガン氏は、「セキュリティ情報公開数と関連して、マイクロソフトが2010年に修正した個別の脆弱性の数があります。これは、昨年発見・修正された脆弱性の数より約100件多くなっています。当社の集計によると、2010年の合計は261件で、昨年は170件の脆弱性を修正しました」と述べています。
Web攻撃ツールキット
Web 攻撃ツールキットなどの自動化技術の増加は、2010 年を通じて劇的なペースで続きました。これらのキットにより、攻撃者にとってのプログラミング スキルのハードルが低くなり、コーディング初心者でも新しい脆弱性をすぐに悪用して、高度なマルウェア攻撃を開発できるようになります。
Webrootの主任脅威調査アナリスト、アンドリュー・ブラント氏は、「カスタマイズ性が高く、高度な設定が可能で、非常に巧妙な外観のエクスプロイトキットにとって、今年は大きな年でした。エクスプロイトキットはマルウェア配布者に販売されており、Webサーバーを瞬時にドライブバイダウンロードサイトに変えてしまう可能性があります」と述べています。
Panda Securityのセキュリティ研究者の協力を得て阻止されたMariposaボットネットは、攻撃ツールキットを用いた攻撃がいかに効果的かつ広範囲に及ぶかを示す好例です。Mariposaボットネットのリーダーたちは、プログラミングに関する知識がほとんど、あるいは全くなかったようです。
41st ParameterのCIO、オリ・アイゼン氏は、「私たちは、すべての惑星が一直線に並ぶ地点に近づいています。つまり、不正行為が、成功が限定的な有機的成長から、参入障壁が最小限で、攻撃のスケーラビリティが高いため、成功率がはるかに高い指数関数的成長へと進化する地点です」と述べています。
ソーシャルエンジニアリング攻撃
決して変わらないものがあります。その一つは、キーボードの前に座っている人が、セキュリティチェーンにおける最も弱いリンクであることは間違いありません。もう一つ、決して変わらないのは、攻撃者がこの事実を認識し、その能力を最大限に活かし続けるということです。
不正なウイルス対策ソフトウェアには、ハード ドライブのデフラグ ユーティリティや一般的なシステム パフォーマンス ツールなどの他の不正なソフトウェアが加わり、知識のないユーザーを誘導して自分の PC に悪意のあるソフトウェアをインストールさせようとしています。
シマンテックのイーガン氏は次のように説明しています。「2010年も、マルウェアがここ数年のトレンドである、最も古くからある手口の一つ、つまりユーザーのシステムに侵入する『騙し』という手法を用いて侵入する傾向が続きました。言い換えれば、マルウェアは被害者を騙して、正面玄関から攻撃者を招き入れるのです。正規のアプリケーション(例えば、不正なウイルス対策ソフトや偽のビデオコーデック)を装う場合もあれば、被害者の知人からのメール(例えば、ソーシャルエンジニアリングされたメール)を装う場合もあります。ソーシャルエンジニアリングを悪用した攻撃は、2010年も引き続き、ユーザーのシステムに侵入する最も容易な手段の一つでした。」
ウェブルートのブラント氏は、「不正な AV がマルウェア配布者にとって大きな収益源となっていることは驚くべきことではありません。したがって、配布者が不正なマルウェアに新しい名前を付けるだけでなく、一般の人が不正なマルウェアを識別し、ましてや除去することをはるかに困難にすることに投資していることも驚くべきことではありません」とコメントしています。
これらは2010年のセキュリティ関連の大きなニュースのほんの一部に過ぎません。FacebookやTwitterといったソーシャルネットワーキングサイトは、情報共有を目的としたサイトであるため、警戒心が薄れ、警戒心も薄れている無防備なユーザーで溢れ、標的となりやすい環境となっています。2011年に入っても、こうしたソーシャルネットワーキングの脅威は続くでしょう。スマートフォンやタブレットといったモバイル機器を狙った新たな攻撃も、今後も続くでしょう。
セキュリティベンダーは、これらの脅威から保護するための新しいツールや防御策を必ず開発するでしょう。しかし、どんなに優れたセキュリティソフトウェアでも、適度な懐疑心とほんの少しの常識に取って代わることはできません。
