Web感染型マルウェア対策コミュニティが発足--FFRら国内ベンダーが集結 - (page 2)

小山安博

2010-03-03 18:51

調査会員と賛助会員で構成するコミュニティ

 各社が情報を共有し、マルウェアの解析や攻撃手法の検証、防御手法の研究などの調査研究に加えて、成果を各社で共有するとともに、啓発活動にも活用していく計画だ。

  • 知識を持ち寄りセキュリティ向上を図る

  • コミュニティの活動範囲

 インターネットイニシアティブ(IIJ)、インフォセック、NRIセキュアテクノロジーズ、グローバルセキュリティエキスパート、サイバーディフェンス研究所、フォティーンフォティ技術研究所が調査会員として、NTTデータ、NTTデータ・セキュリティ、NECビッグローブ、九電ビジネスソリューションズ、システムプラザ、ニコン、ニフティ、ミクシィが賛助会員として参加。調査会員は実際に調査研究などを行い、賛助会員は、調査会員の情報をもとに顧客やインターネット全体に対する情報提供などを行う。また、JPCERT/CCの協力も取り付けている。コミュニティへの参加は無料で、今後も広く参加企業を求めていく。

  • 調査会員と賛助会員が設定されている

  • 3月2日現在の会員

 鵜飼氏は、現在のGumblar攻撃はFTPアカウントを盗んでいるだけだが、「攻撃者のさじ加減で何でもできる」と指摘。今後、メールやオンラインバンキングのパスワード奪取、DoS攻撃、システムの破壊など、「いつ脅威が変化するか分からない」と危険性を訴える。

 Gumblarは2009年5月ごろに登場して以来、「.cn」ドメインを使った亜種やGumblar.X、「.ru」ドメインを使った亜種といった変遷を経て、さらに.ruドメインの亜種でも、内部のスクリプトが数日単位で変化しており、スクリプトの難読化とあわせて従来のパターンファイルベースのウイルス対策では検知が難しくなっている。ウイルスを配布するサーバへのアクセスも、同じIPアドレスからの連続アクセスを拒否したり、感染が分かりにくいように攻撃を限定するなど、防御を難しくする仕組みが盛り込まれている。

 昨年末には、多数のWindows XP搭載マシンが起動できなくなるという問題が発生し、PCメーカーなどが対応に追われたが、これはこっそり感染していたGumblarの仕業。本来は隠れているはずの感染が広く知られるきっかけとなったが、感染が多数にわたっていることを示す事例だ。

  • Gumblarの変遷

  • 調査する側のアクセスも困難になっている

 防御が困難であり、「1社ではなかなか対策できない」(鵜飼氏)のが現状で、今回、各社の情報を共有して国内の対策をより強化するのが狙い。鵜飼氏によれば、海外ではセキュリティ業界では担当者レベルでの交流は盛んだが、国内では多くはなく、各社ばらばらに持っていた情報を円滑に流通させることで、全体でのセキュリティの底上げを図りたい考えだ。

  • JPCERT/CCに報告されたインシデントの傾向

  • ウェブ改ざんの報告件数

  • コミュニティ参加企業の代表者。中央が鵜飼裕司氏

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]