MSセキュリティのこの10年:次世代のセキュリティ脅威

文:Ina Fried(CNET News.com) 翻訳校正:アークコミュニケーションズ、磯部達也 2007年12月14日 08時00分

  • このエントリーをはてなブックマークに追加

「MSセキュリティのこの10年」シリーズでは、Microsoftのセキュリティ戦略が過去10年でどう変わってきたかをレポートする。本編はシリーズ第3回目(最終回)の記事である。

 ワシントン州レドモンド--MicrosoftのセキュリティエンジニアRobert Hensing氏は、目の前に座っている同社の開発者数百名に向かって、個人のPCはPowerPointファイルを開いただけでルートキットに感染する可能性はあるかと質問を投げかける。

 満員のカンファレンスセンターで手を挙げた開発者はわずかだった。隣の部屋では、MicrosoftのBlue Hatカンファレンスで講師として招待されたハッカーたちが講演の様子をテレビで見ていたが、テーブルにいた全員が手を挙げた。

 Hensing氏はMicrosoftの開発者たちに「アプリケーションは危険なんだということを皆さんに分って貰いたい」と語った。

 MicrosoftはWindowsのセキュリティ保護に巨額の資金を投じたが、専門家に言わせれば、ハッカーの標的はOSから別のものへと次第にシフトしつつある。OSを破壊できるルートキットなどの脅威は、今ではアプリケーションやウェブベースのプログラムでも転送できるようになった。ウェブに接続された新しい種類のモバイル機器が、新たな脅威となっている。

 Hensing氏は2007年9月のBlue Hatセキュリティカンファレンスで、「OSの脆弱性は減少しつつあるが、アプリケーションの脆弱性が増加傾向にある」と語った。

 Microsoftはその前にVistaとWindows XPの保護に成功したことで、ある意味では犠牲者ともいえる。最近のBlue Hatに参加したセキュリティ研究員であるHalvar Flake氏は、Microsoftが長年に渡ってセキュリティ対策に投じたコストは合計10億ドルを超え、その多くは特にVistaに向けられたと推定する。MicrosoftのセキュリティユニットのゼネラルマネージャであるGeorge Stathakopoulos氏は、Microsoftがいくら費やしたかについてコメントしなかったが、「相当な数字」だと語った。

 セキュリティ会社ZynamicsでCEOを務めるFlake氏は、その支出はすべて役に立つものだったと述べ、「Vistaは私が見た主流のOSの中でも、最も侵入するのが難しい」と語った。ハッキングが難しい分、犯罪者が標的にするのにもコストがかかる。

 矛盾するようだが、Vistaのセキュリティが改善されたことが新しいOSに早く乗り換えるよう顧客を促しているかは定かではない。Flake氏は「セキュリティは売りにつながりにくい。顧客は実際に測定できないのだから」と述べる。

 Vistaのセキュリティは、ハッカーを苦しめているようだ。Flake氏は「Vistaは大失敗作であって欲しい」と意地悪な一面も見せ、これほどの大金と労力をOSのセキュリティにつぎ込む会社など後にも先にも存在しないだろうと語った。

 Vistaの新しいセキュリティの有効性の真価が測られるのは、何年も先のことになるだろう。往々にしてMicrosoftなどのベンダーは、最新のリリースは前のバージョンよりも脆弱性が少ないと胸を張る。それは一般的には事実だが、全体像のほんの一部を言っているに過ぎない。主要なOSベンダーの大半で、OSの脆弱性の合計数が2004年以降増加していることが分っている。OSはリリース時点では脆弱性が少ないが、その後5年から7年は使用される。

 その結果、OSの製造元は製品寿命の中盤から終わりにかけて、つまりOSが最も広く普及しているときに、ソフトウェアが受けると予想されるタイプの攻撃に耐えうるような製品設計を試行する。

 Microsoftのセキュリティ開発作業を率いるMatt Thomlinson氏は、「私たちは今現在の問題に立ち向かっている。これは絶対にしなければならないことだが、一歩先を見ることも必要だ」と述べる。

 その一方で、攻撃自体もますます的を絞ったものになっている。大量メール配信から広範囲のフィッシング詐欺に移り変わり、最近では個人を狙った攻撃になっている。専門家によるとこの傾向はしばらく続き、悪意を持ったソフトウェアは検出しにくいものになるとのことだ。

ますます複雑になるマルウェア

 Cisco Systemsの子会社であるIronPort Systemsが2007年12月初旬に発表したレポートによると、2007年がターニングポイントだそうだ。IronPort Systemsのマーケティング担当のバイスプレジデントであるTom Gillis氏は、「マルウェアを制御するためのセキュリティは一時的には効果があったが、マルウェアの作成が停滞期に入った丁度その時期に、新しい攻撃テクニックが突然現れた。その一部は非常に複雑で、明らかに素人の仕事ではなく、高度な研究開発によって設計されたものだ」と述べる。

 現代の悪意のあるソフトウェアは、今日のソーシャルネットワーキングのサイトの特性を借りたものだとIronPort Systemsは指摘する。つまり協力的で適応能力が高い。また、人に気づかれることもなく「企業または家庭のコンピュータに数カ月ないし数年も検出されずに生き延びる」と指摘する。

 IronPort Systemsの見解では、トロイの木馬と悪意のあるソフトウェアは「一層短期間で的を絞ったもの」になりつつあり、発見が更に困難になっている。

 その傾向にプラスして、ソフトウェアアプリケーションを狙った新しい攻撃が増加中だ。主流といえるOSは一握りほどしかないが、アプリケーションとなると文字通り数千種類もあり、中には数百万人のユーザーに使用されるものもある。

 Microsoftは自社のアプリケーションをセキュリティ保護するのに莫大な時間と費用を投入した。例えば、Slammerの攻撃を経験した後、同社のSQL Serverデータベースは、いかにセキュアな開発を行うかにあたっての社内モデルとなった。Blue Hatにも参加してMicrosoftへのセキュリティコンサルティングに多くの時間を割いたセキュリティ研究者のDan Kaminsky氏は、SQL Serverは開発の慣行を改善したことでOracleに大きく水をあけたと語る。

 Officeチームも、Officeの文書が攻撃の手段として何度も標的にされるという事実に注目している。OfficeのXMLファイル形式が一新されたが、Microsoftによると、実はセキュリティを高めるために最初から設計し直したというのがその理由のひとつなのだが、そのことはあまり話題にされない。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化