「もはや、パターンファイルを常に最新版にしておくとか、あるいはアンチウイルスソフトを入れておけば安心だという、これまでの常識が通用しない時代が訪れている」――。
12月7日に開催された説明会でシマンテック コマーシャル営業統括本部ビジネスディベロップメントマネージャーの広瀬努氏は「シマンテック製品が1日あたりにブロックしたウェブ攻撃数は1年で30%増となっている。ウェブ攻撃では、脆弱性が大きな問題となっているが、脆弱性そのものがどんなものかということが理解されていないため、正しい対策が打てていないという実態もある」と指摘し、以下のように続けた。
シマンテック コマーシャル営業統括本部 ビジネスディベロップメントマネージャー 広瀬努氏
NTTデータ先端技術 辻伸弘氏
「これまでのパターンマッチングの対策はすでに限界に達している。侵入防止やリアルタイム挙動分析などを活用することで、情報を盗まれないように、現行犯逮捕するような新たな取り組みが必要。パターンファイルに頼らない新世代のセキュリティがこれからは求められる」
NTTデータ先端技術の辻伸弘氏によると「脆弱性とは、コンピュータやネットワークなどの情報システムで第三者が保安上の脅威となる行為に利用できる可能性がある、システム上の欠陥や仕様上の問題点である」とし、「人間に例えれば、急所をやられるとダウンしてしまう」と説明した。
辻氏は「脆弱性を突かれるということは、任意のコードが実行されるということ。つまり、好き放題にされてしまうという意味」とし、「ファイルを削除されたり、遠隔操作されたりしてしまう、あるいはシステムをシャットダウンしてしまうというように攻撃者の意図次第に勝手に操作されてしまうことである」と定義した。
その上で辻氏は昨今の脅威の傾向を次のように説明する。
「Windows環境でいえば、2008年10月に公開されたセキュリティパッチ『MS08-067』以降、直接ウイルスが攻撃を仕掛けて侵入することはできなくなっている。だが、脆弱性を利用した攻撃し、その結果、システム内に侵入して感染し、情報を搾取するというものが増え、ブラウザやAcrobatをはじめとするアプリケーションからアクセスさせることで、マルウェアをインストールさせてしまうといった動きが出ている」
これは“ドライブバイダウンロード”と呼ばれるものだが、これによってデバイスの制御権を奪取し、さらには、脆弱性が修正された後も侵入するための入り口となる“RAT(Remote Administration Tool、リモートアクセス型トロイの木馬)”を設置するといったことも同時に行われるという。「これらのマルウェアが侵入すると、普段PCを使っていてもわからない。裏で数々の事柄が行われている」(辻氏)
パターンファイルの限界
では、なぜパターンマッチングに頼る、これまでのウイルス対策は限界に達しているのだろうか。
シマンテックの広瀬氏は「パターンファイルは、指名手配書のようなもの。従来のように少ない種類のマルウェアを無作為にばらまくといった手法が中心であったときにはうまく機能とした。たとえば、当社のようなセキュリティベンダーがオトリとして設定したアカウントでマルウェアをとらえれば、これを入手してパターンファイルを作成し、感染が広がる前に先回りすることが可能であった」と従来の対策の仕組みを解説した。
「今では、特定の標的に向けてカスタム型のマルウェアをメールなどの手法でピンポイントで送りつけるため、セキュリティベンダーが新型マルウェアを入手できないという状況が生まれている。その結果、最新のパターンファイルに更新しても、最新のマルウェアを捕捉できず、後手に回ってしまうことになる。アンチウイルスソフトを導入していても、感染してしまうということが起こっている」(広瀬氏)
NTTデータ先端技術の辻氏は「新たなマルウェアは数秒間に1つ作られている」と指摘してこう語った。
「2004年からマルウェアを制作するためのソースコードがサイトでばらまかれており、悪意を持った第三者が自由にカスタマイズしてマルウェアを作れるようになっている。マルウェアで攻撃した感染先を管理するソフトさえも配布されている。パターンマッチング方式は、ソースが少しでもカスタマイズされ違うものになっていると、パターン検知ができないという弱点がある」
こうした結果「パターンファイルを最新版にする、あるいはアンチウイルスソフトを入れておくべきだといった、セキュリティの基本動作だけでは対策が限界に達している」ということになるのだ。