Tweet

マルウェアもスパムも「状況は悪化」

ヒッポネン氏が警告「マルウェアを作る敵は変化した」

2008/02/27

　フィンランドに本拠を置くセキュリティ企業エフ・セキュアの最高研究責任者、ミッコ・ヒッポネン（Mikko Hipponen）氏が先日来日した。同氏は「敵は変化している。犯罪者が人を雇ってマルウェアを作成し、ソーシャルエンジニアリングについても言葉や文化の面で手助けする人を雇うほどもうかっている」と述べ、従来の方法ではインターネット上の脅威に対処するのが困難になっていると警鐘を鳴らした。

　ヒッポネン氏は長年、ウイルス研究に携わってきたが、ここ1年を振り返るといくつか特徴的な動きが見られるという。

エフ・セキュアの最高研究責任者、ミッコ・ヒッポネン氏。フィンランドでは5年前から、2月に国を挙げての「セキュリティの日」を設け、啓発活動を行っているという

　1つは、ウイルスに代表されるマルウェアの急激な増加だ。ほんの数年前には10万種類程度だったマルウェアの数が、2006年には約30万、2007年には50万に達する勢いだという。「過去、これほど急激にマルウェアが増加したことはなかった」（ヒッポネン氏）。理由の1つは、攻撃者の目的が金儲けに変化したこと。しかも、経済格差が原因となり、コンピュータスキルがありながら職を持たない人々が、犯罪組織に雇われ、マルウェアを作成しているケースも見られるという。

　マルウェアそのものの性質も変化した。その代表例としてヒッポネン氏が挙げるのは、2007年に猛威を振るった「Storm Worm」である。

　Storm Wormは感染すると、ボットネットの一部として振る舞う。初期のボットネットが「中央集中型」で、攻撃者の指令どおりに振る舞ったため、中枢サーバ1台を停止させれば対策できた。しかしStorm Wormは、中枢サーバを持たず相互に接続し合うP2P型だ。「何千とあるピアすべてを停止させるのは、事実上不可能。ボットネットのシャットダウンは非常に困難になっている」（同氏）。ボットプログラムに対する解析の動きを検知すると、報復のために一斉に攻撃する仕掛けを備えるものまで発見されているという。

　スパムメールの世界にも変化が見られた。「まさにスパムとフィルタのいたちごっこの世界だ」とヒッポネン氏は表現する。

　初期のスパムは、単語のフィルタをかいくぐるためにタイプミスや正規表現、画像などさまざまな手段を組み合わせてきた。フィルタ側が順次そうした手口に対応してきた現在、新手の手口として「3Dスパム」が登場しているという。これは、画像を斜めにゆがめて送り付けるもので、人間には何が書いてあるか認識できるが、機械には読み取ることができない。もちろん3Dスパムを大量に送信するには「膨大なコンピューティングパワーが必要になるが、彼らにはスーパーコンピュータ並みのボットネットというリソースがある」（ヒッポネン氏）

　こうしたさまざまな手口に対抗するには、従来のアプローチでは限界があると同氏は述べる。1つのアプローチは、箱形のソリューションの代わりにサービスを利用すること。また、「状況がどんどん悪化していることを考えると、（悪いものをリストアップして止める）ブラックリスト方式から、問題ないものを列挙し、それ以外は除外するホワイトリスト方式へと変えていく必要がある」という。

　さらに、最近の脅威の多くが、ユーザーを悪意あるWebサイトに誘導して感染させる「ドライブバイダウンロード」方式を採用していることから、「どういったリスクがあり、手元に届いたメールに記されたリンクを不用意にクリックしない、といったことをユーザーが認識するよう教育していくことも重要だ」という。