「プロ化、局所化、潜伏化」する脅威への懸念とCSIRTの取り組み

2007/6/28 - トピックメーカー/田中伸一

「(コンピュータ・セキュリティの)脆弱性に関する状況が10年前と現在とでは大きく変わっています。」と話すのは、去る6月7日に都内で開催された『インテル プラットフォーム技術セミナー2007』において特別講演を行った有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)で代表理事を務める株式会社インターネットイニシアティブ(IIJ)の歌代 和正氏。確かに、このところのセキュリティー関連ニュースを見ていると、攻撃の手口が一段と巧妙化しており、その目的も昔とは異質なものになってきているように思える。では、コンピュータ・セキュリティの脆弱性に関する状況は、具体的にどのように変わっているというのだろうか?

組織化されたネット犯罪の脅威

歌代氏は、インターネット上の脅威における近年の方向性について次のように説明した。

かつてのインターネット犯罪は、子供が悪戯半分で行うような愉快犯が多かった。それに対して最近では、資金力のあるプロの犯罪組織が、企業から金銭や機密情報を搾取するために、企業ネットワークへの侵入や詐欺行為を働くことを目的にしたプログラムの開発を、プロのプログラマーに発注する傾向にある。そのため、出来上がったソフトウェアのクオリティーも高い。


「最近は、数万台規模の大規模クラッシュのニュースをあまり耳にしません。しかし、これは決して被害が減っているわけはなく、実は『被害にあっているのに気が付かれていない』システムが増加傾向にあるというのが本当の状況です。」(歌代氏)

では、「組織的に作られたクオリティーの高い悪質なソフトウェア」には具体的にどのような特徴があるのか。歌代氏によると、かつては、自分がやったことを誇示するために不特定多数のシステムに対して大規模クラッシュを引き起こすような'目立つ'攻撃を仕掛けていたのに対して、近年では"ターゲッテッド・アタック(Targeted Attack)"、つまり、特定の相手の脆弱性をピンポイントで攻撃し、しかも誰にも気が付かれないように目立たず、潜伏しながら活動する傾向にあるという。

ボットネットとウェブ・ベース型マルウェア

その中で特に問題になっているのが"ボットネット(Botnet)"である。"ボット(Bot)"と呼ばれるマルウェアに感染したPC(ゾンビーPCとも呼ぶ)は、攻撃者によるリモート操作で意のままに操られ、こうしたPCがネットワークを形成してボットネットとなる。そしてDDoS(Distributed Denial-of-Service = 分散型サービス拒否)攻撃やスパム配信、情報の搾取、感染の拡大など、様々な攻撃に利用される。歌代氏によるとボットネットは、他の多くのワーム/ウイルスと異なり、ファイルを開くなどのユーザー(標的)側のアクションを必要とせず、「インターネットに接続しただけ」で感染する。実際、同氏はJPCERT/CCと財団法人データ通信協会Telecom-ISAC Japanが2005年に行った共同調査の結果を紹介しながら、「買ってきたPCをそのまま無防備な状態でインターネットに接続するとわずか数分でボットに感染してしまいます。これは決して他人事ではありません。」とボットに対する警戒感を示した。

また、同氏が「新たな脅威として注目されてきている」と懸念を示したのが"ウェブ・ベース型のマルウェア(Web-based Malware)"だ。これは「Webサイトにアクセスする」というユーザー側のアクションを必要とするものの、PCがたとえファイアー・ウォール等で守られたネットワークの中にあっても、ブラウザーを介して簡単に感染してしまうという特徴がある。このタイプの脅威が既に私たちの身近を取り巻き始めていることを示すデータとして歌代氏は、Google Online Security Blog (英語) を紹介した。ここには、運営者の意思とは関係なくウェブ・ベース型マルウェアの温床とされているWebサイト、あるいは運営者の意思によりそうしたマルウェアが配信されているWebサイトが数多く存在し、世界中のウェブ・ページの0.1%にマルウェアが仕込まれているというGoogleの分析結果が掲載されている。

日本にはまだ組織内CSIRTが少ない


世界のCSIRTマップを示しながら、日本の経済規模を考えると、CSIRTの数はまだまだ足りないと語る歌代氏。

歌代氏は、こうしたインターネット上の脅威に対抗するためには、インシデント(インターネット上で発生した様々な事件)や対応策などに関する情報を監視・収集し、コーディネートする組織の必要性に触れ、実際にそうした活動を行っている"CSIRT(Computer Security Incident Response Team 、シーサートと読む)"の紹介を行った。

CSIRTは、1988年に発生した「Morris Worm事件」をきっかけに、米カーネギー・メロン大学内に組織されたCERT/CC(CERT Coordination Center)をはじめ、現在では世界中に数多く存在し、それらのサービスがカバーする範囲によっていくつかに分類される。例えば、歌代氏が代表理事を務めるJPCERT/CCは主に国内を守備範囲とする「ナショナル・シーサート(National CSIRTs)」というタイプになる。他にも、インテルのようなベンダーが、自社プロダクトのインシデントを扱う「ベンダー・チーム(Vendor Teams)」、一般企業が自社のネットワークを守るために組織する「インターナル・シーサート(Internal CSIRTs)」などがある。

また、各国のCSIRTによる協調した国際連携を目的に設立された"FIRST(Forum of Incident Response and Security Team)"には、世界41ヶ国、180以上のCSIRTが参加している。ただし、欧米と比較すると日本を含めたアジア地域におけるCSIRTの数はまだまだ少ないと述べ、組織内CSIRTの立ち上げとFIRSTへの参加を呼びかけた。

脆弱性情報ハンドリング


脆弱性のライフサイクルを示しながら「脆弱性に関する情報が公開されたときには、すべての対策が整っているという状況にすれば、インシデント発生数は、現在より早いペースで減っていきます」と述べる歌代氏

ところでソフトウェアの脆弱性に関する素朴な疑問として浮かび上がるのが、「なぜ脆弱性の情報が公開されてからパッチが作り始められることが多いのか」ということだ。しかも、その脆弱性を利用するプログラム・コード(Exploit Code)が、パッチよりも先に公開されることも少なくない。これに関して歌代氏は、JPCERT/CCでは現在、脆弱性の発見から、情報の取りまとめ、ベンダーによるパッチ開発や、マスコミやユーザーへの情報公開のコーディネートを含めた"脆弱性情報ハンドリング"に取り組んでいることを紹介し、「このスキームがうまく機能すれば、脆弱性の情報と同時にパッチ等の必要な対策がすべて整っているという理想的な状況を作り出すことができます。」と今後の抱負を述べた。

【参考資料】

関連リンク

記事アーカイブ

IT Manager's Desk の記事をテーマごとにまとめ読み。

  • IAストラテジー
    • IAとビジネスの新しい展望を解説します
  • IAサーバー
    • IAサーバーの最新動向をレポートします
  • ビジネスPC
    • ビジネスとITの現場を変える最新PCソリューションをお伝えします
  • 事例ウォッチ
    • IAを活用してビジネスを切り拓く、注目の導入事例をピックアップします


新着ビジネスPC