Webセキュリティ特集

新たな脅威を軽くみてはいけない

　「Web 2.0」という呼称が一般化してから、ずいぶん長い年月が経った。高度なサービスを可能とする数々のテクノロジーは、SNS、Wikiなどといった形ですっかりコンシューマにも根付いている。

　この新時代に入ってからの脅威を人々が認識しはじめたのは「フィッシング詐欺」と呼ばれるウェブサイト誘導型の犯罪行為が最初ではないだろうか？　電子メールに記述されたURLリンクをクリックした先は、犯罪者が用意した架空のサイトだ。それは有名な銀行やショッピングモールそのもののような錯覚を起こすほど巧妙に作られており、安心したユーザーはクレジットカード番号や、銀行口座の暗証番号などを入力してしまう。情報を得た犯罪者はすぐさまそれを利用し、時には数千万円といったレベルの金銭を窃盗してしまうのだ。

　こうした犯罪からも分かるように、それ以前のウイルスやブラクラ（ブラウザクラッシャー）などの、示威目的の愉快犯的な脅威から、近年は電子メールとウェブを複合させる“犯罪行為”へと変化してきている。それらはより巧妙になり、常にシステムの隙を窺っている。そして実際に被害をこうむるのはエンドユーザーや企業そのものなのだ。

従来のセキュリティだけで安心していないか？

　こうした新しい脅威の出現以前から、企業は盛んにセキュリティ機構を取り入れてきた。現在では、セキュリティツールを入れてない企業はほとんど存在しないだろう。だが、本当にそれだけでセキュリティが守られているといえるのか？　答えはノーである。最新のボットネットを構築する悪質なプログラムの中には、ウェブサイト上のバナー広告のひとつに潜んでいるものもある。バナー広告に巧妙に仕込まれたプログラムは、ブラウザやOSの脆弱性を突き、いとも簡単にPCに潜入する。従来のセキュリティツールのほとんどはシグネチャによるウイルス判別に頼っているため、ブラウザを媒介する脅威にはほぼ無防備なのだ。

　感染したユーザーのPC内では侵入プログラムがボットネットを構築し、目立たないように犯罪者が用意したサーバへアクセスする。そして、少しずつプログラムをダウンロードし学習をはじめる。そしてユーザーが気づいた時には、自分のPCがスパムメールの発信源になってしまったり、情報漏洩の温床となったりするのだ。すなわち、善良なユーザーのPCが加害者になってしまうという仕組みがWeb 2.0時代の脅威の本質なのである。

新しい脅威の時代には、新しい対策が必要

　Web 2.0時代の脅威がかつての脅威と決定的に違う面は、ピンポイントな攻撃が可能になっている点だ。特に企業の場合、それが致命的な事故を引き起こすことすら考えられる。顧客データベースに侵入されたら？　得意先情報が流出したとしたら？　考え出したらキリがないほど被害の度合いは高くなる。

　だからといってセキュリティ機構がWeb 2.0時代の脅威に対抗できないわけではない。近年ではこうした巧妙化する脅威に対抗するソリューションも登場している。

　今回はセキュリティベンダー2社に、新時代のセキュリティについて語ってもらった。ここで紹介する新しいテクノロジーは、今後ますます活性化してゆく脅威にも十分対抗できるものである。これをご覧いただければ、あなたの会社のセキュリティを今後どのように構築してゆけばよいのかお分かりいただけるはずである。