RSAセキュリティの新規技術担当ヘッドが語る
「アップデート」、そして「常識」こそ対策の鍵
2010/03/05
「サイバー犯罪者にとっては最良の時代かもしれない」――米国で開催されているRSA Conference 2010では、個人や企業を取り囲む脅威についての議論が活発に行われている。RSAセキュリティの新規技術担当ヘッド、ウリ・リブナー氏に、最新の状況を聞いた。
多くのセキュリティ専門家が指摘しているように、オンライン犯罪は近年、愉快犯の手によるものから、金銭を目的とした組織犯罪へと変化している。リブナー氏はさらに、被害者から盗み出したID情報を現金に換えて引き出すプロセスにも、国をまたいで多数の「協力者」が関与していることに注意を促している。いわゆるマネーロンダリングだ。
RSAセキュリティ 新規技術担当ヘッド ウリ・リブナー氏「この2年ほどで急激に、この手のオペレーションが広まった。『ミュール』と呼ばれる協力者を使って現金を転送し、手数料の形で利益を分け合うやり方が拡大している」(リブナー氏)。
技術的な側面では、トロイの木馬の進化に加え、Webを介してPCをマルウェアに感染させる「ドライブバイダウンロード」手法の広がりが顕著だという。
「手口は、正規のサーバを改ざんして感染サーバにリダイレクトさせ、スクリプトを使ってブラウザやそのプラグインの脆弱性を突き、自動的に感染させるというものだ。問題は、『果たしてどれだけのユーザーが、ブラウザだけでなくインターネットを利用する際に使うツールすべてをアップデートしているのか』という点だ。ソーシャルネットワークでは、感染させるのはもっと簡単になる。というのも、動画やアップデートを装ってトロイの木馬を送り込もうとするメッセージは、友達から届くからだ」(リブナー氏)。
リブナー氏はさらに、個人(コンシューマー)のIDや情報だけでなく、企業に属する従業員も攻撃対象になっていると述べた。「いったん感染すると、企業の機密データも危険にさらされることになる」(同氏)。
対策としては、多層的な防御が必要であるという。デスクトップ保護の強化に加え、DLP(情報漏えい防止)、さらには仮想デスクトップといった新たな技術を組み合わせていくべきだと同氏は述べた。
「アップデート」、そして「常識」
もはや、既存のセキュリティ対策は意味をなさないのではないかという問いに対して、リブナー氏はこう述べた。
「それでもアンチウイルスやファイアウォールといった対策は必要だ。こうした技術は多くのマルウェアをブロックすることができる。ただ、すべてではない、という点に注意が必要だ」(同氏)。
リブナー氏が挙げる対策は、ごく基本的な事柄だ。1つは、パッチを適用してシステムを最新の状態に保つこと。OSはもちろん、ドライブバイダウンロードの経路となるブラウザも、最近では自動アップデートの仕組みを備えるようになっている。こうしたアップデートを確実に実施すべきだという。AcrobatやFlashといった、インターネットの利用時に頻繁に使うツール類のアップデートも重要で、この結果、リスクは劇的に減らせるだろうと述べた。
■ @IT PR:主催セミナーのお知らせ
事例から学ぶログ活用方法 〜ログの活用方法に悩むあなたへ〜 3/10(水)秋葉原UDXギャラリー 基調講演では、実際に不正アクセスで8日間のサービス停止を経験したゴルフダイジェスト・オンラインに当時の復旧作業や再発防止策を、ログの活用を交えて紹介して頂きます。また特別講演では、三輪氏に統合ログの落とし穴を解説して頂きます。 |
もう1つは「常識を持つ」ことだ。「私の妻は、子供には『知らない人に付いていってはいけません』と教えている。同じように、たとえ『面白いビデオがあるよ、見てみて』なんていうメールが届いたとしても、何も考えずにクリックすべきではない。やってくるものすべてを無条件に信用してはならない。『誰かが騙そうとしているかもしれない』という常識を持つべきだ」(リブナー氏)。
ただ、啓発するだけではなかなか実践につながらないのも事実。そこでセキュリティ業界はもっと、クリエイティブに考える必要があるだろうと同氏は述べた。
「例えばフィッシング対策を目的とする団体、APWGでは、フィッシングサイトをただ閉鎖するだけでなく、そこからAPWGのサイトにリダイレクトするようにして、フィッシングの手口について理解を深める取り組みを行っている。騙されたときこそ、啓発のチャンスだ。またGoogleは、Internet Explorer 6など古いブラウザではアクセスしないよう呼び掛けている。これも良い取り組みだと思う。ただ単に『もっとセキュリティ対策をすべきだ』というだけでは役に立たない」(同氏)。
従業員がターゲットに
2010年に入ってからは、米国の主要な企業を狙った「Aurora」攻撃が話題をさらった。この攻撃には非常に興味深い点が見られるという。「Auroraは、ネットワークインフラではなく、従業員そのものを標的にした初の攻撃だ」(リブナー氏)。
同氏は、長らくセキュリティ対策の対象はインフラだったが、最も脆弱なリンクは「人、従業員」であると指摘し、基本的な対策の徹底と啓発が重要だと述べている。
従業員のPCがトロイの木馬に感染してしまうと、PC単体だけでなく、企業ネットワーク全体が危険にさらされることになる。IDやパスワードといった情報が盗まれてしまえば、社内ネットワークを自由に歩き回られることになりかねない。仮にパスワードを強固なものにしていたとしても、トロイの木馬に中に入り込まれてしまったら、それもすべて筒抜けとなる。
「より優れた認証が求められている。例えば、不可視の認証や二要素認証、あるいは接続してきた端末や回線、時間帯や場所といった状況を把握したうえで、普段と違う状況ならば別の認証手段を組み合わせるアダプティブ認証という手段もある。また、DLPを通じて状況を監視すれば、『この社員はなぜ外部にデータを送っているのだろう?』と、トロイの木馬などによる異変に気付くこともできる。たった1つの回答はない。複数の防御を組み合わせることが重要だ」(リブナー氏)。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
