2010年、5つの思い出――Gumblarからキャンプまで川口洋のセキュリティ・プライベート・アイズ(31)

» 2010年12月17日 10時00分 公開
[川口洋@IT]

あんなこと、こんなこと、あったなあ

 皆さんこんにちは、川口です。2010年はもうすぐ終わりを迎えようとしていますが、いかがお過ごしでしょうか。私はいつものごとく忘年会続きでコラムの筆が進んでいません。

 さて、今回は「川口洋の2010年の思い出ベスト5」と題して、2010年にあったセキュリティイベントを順不同で振り返ってみようと思います。

その1「恐怖の大王、Gumblar」

 2010年の思い出といえば、「Gumblar」は外せません。昨年からあちこちで猛威を振るい始めたGumblarですが、2010年に入ると多くのWebサイトが改ざんされました。

 今年の1月から3月にかけては、あちこちでGumblarに関する質問を受けました。お客さま先やセミナーなどでGumblarについて解説する機会も多く、3カ月間で60回と、本当に飽きがくるくらいお話しさせていただきました。おそらく、この時期最もGumblarについて語っていた男ではないかと自負しています。

 Gumblarの対応で難しかったことは、「Webサイトを持っている組織」と「Webサイトを管理する権限を持っている組織」が異なっていることです。

 例えば、ある大企業のWebサイトの開発、運用を、少人数のWebサイト制作会社が請け負っているケースでは、大企業の求めるセキュリティ対策がなかなか実施できないこともありました。そもそも企業の体力に差があるのですから、実施できる対策には限りがあります。しかしGumblarへの対策は、Webサイトを保有する組織と管理する組織、両方によってカバーしなければなりません。理想と現実のはざまでお客様と一緒に悩んだことが思い出されます。

 年初は大騒ぎだったGumblarですが、年末になるにつれてめっきりおとなしくなり、最近ではほとんど発生しなくなりました。私たちが仕掛けているハニーポットに対する改ざん行為も5月を境に減少しており、目立つ改ざん行為は減っています。Gumblarの脅威は去りつつあるといっていいでしょう。

 ですが、これと入れ替わるようにして、ほかのウイルスがわれわれのパソコンのアカウント情報を常に狙っています。引き続き注意が必要です。

【関連記事】

新春早々の「Gumblar一問一答」(@IT)
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/022.html

Gumblarがあぶり出す 「空虚なセキュリティ対策」(@IT)
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/023.html


その2「9・18事件」

 勝手に「9・18事件」と名付けていますが、これは尖閣諸島での中国船との接触事件に端を発した一連の攻撃のことです。被害が発生し、対応に追われていた組織もあったようですが、JSOCでは平和な1日を過ごすことができました。

 この事件からいえるのは「普段からちゃんと対策をやっておけば、何も心配はいらない」ということです。普段から対策をやっていなければ、攻撃宣告が出たところで何もできません。

 そもそも、普段から何も対策していなければ、おそらく攻撃宣告の前に世界中の国から攻撃を受け、被害が発生していることでしょう。攻撃宣告があったとしても、慌てず対応することが重要です。

 11月にはYouTubeに衝突時の動画が掲載され、世間を大きくにぎわせました。さらに、警視庁公安部の資料流出問題やWikileaksを介した内部告発など、組織内部の情報が流出する事件が続いています。

 このような事件が続くと、組織における情報管理を徹底すべく、過剰な対策を推奨する傾向に進みがちです。それが、守るべき対象の価値以上のコストをかけるべきだという風潮にエスカレートしないことを祈るばかりです。

【関連記事】

9・18事件にみる7つの誤解(@IT)
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/030.html


その3「Conficker健在、そしてStuxnetへ」

 2010年前半はGumblarが世間を騒がせましたが、実はその陰で、相変わらず「Conficker」が暗躍していました。2010年上半期はGumblarが減少したにもかかわらず、Confickerは衰えを見せず、組織の中に残っていることが分かりました。

【関連リンク】

JSOC侵入傾向分析レポートVol.15
http://www.lac.co.jp/news/press20101126.html


 さらに注目したいのが、7月に発見された「Stuxnet」というウイルスです。これは、Confickerによく似た、以下のような感染経路を使います。

  • MS08-067など、リモートから攻略可能な脆弱性を悪用した感染
  • 脆弱なパスワードを使った共有フォルダ経由での感染
  • USBメモリなどの外部記憶媒体経由での感染

 このように複数の感染経路を用いるため、Conficker同様、組織内に蔓延した場合、Stuxnetの完全な駆除は非常に難しくなっています。

 2010年末現在、JSOCのお客様の中で、Confickerと思われる通信を検知しています。しかし、その通信がStuxnetによるものではないとの確証はありません。Stuxnetはイランの核濃縮施設を攻撃するために作られた特殊なウイルスだという情報もあるため、今後の動向に注意が必要です。

【関連記事】

「核施設を停止させたワーム」:イランと北朝鮮(WIRED VISION)
http://wiredvision.jp/news/201012/2010120121.html


その4「スマートフォン大流行、となると……」

 今年はiPhoneやAndroid携帯など、スマートフォンが市場に普及した年だと思います。電車に乗れば、スマートフォンをいじっている人を見かけるのも当たり前の光景になりました。特に若い女性が多く所有していることに、すそ野の広がりを感じます。以前、「ニンテンドーDS」が普及した時と同じような感覚です。

 スマートフォンの普及に伴い、スマートフォンの社内利用に関する問い合わせを受けることも増えました。「フォン」と付いているため、名前のとおり「携帯電話」として扱うのか、それとも機能的に「パソコン」として扱うのかがグレーになっているケースが多くあります。

 まだまだ多くの組織では、スマートフォンに関する規定や運用を定めておらず、ユーザーのリテラシーに依存して使用しているケースもあるようです。逆にいえば、グレーな領域であるがゆえに便利で、みんなが使っているのかもしれません。

 今後、ますますスマートフォンのユーザーは増えるでしょう。ユーザー数の増加にしたがって、スマートフォンが攻撃者にとっても魅力的なプラットフォームになることは容易に想像できます。おそらくいずれ、パソコンの世界で発生しているインシデントがスマートフォン上で起こるようになるでしょう。スマートフォンの機能向上とそれを取り巻くIT環境の変化に、これからも注目です。

【関連記事】

Webを見るだけで――ここまできたiPhoneの脅威(@IT)
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/028.html


その5「セキュリティ&プログラミングキャンプ初参加」

 これは私にとっての大きなイベントです。実は幻となった「セキュリティ甲子園」から裏方として毎年かかわってきていましたが、今年は講師として初参加となりました。

 キャンプの5日間、朝から晩まで参加者たちとガチンコの勝負をさせてもらいました。キャンプ参加者にとっては理解しにくい解説があったかもしれませんが、個人的には刺激的な5日間を過ごすことができました。このキャンプを通じて、未来ある若者の成長の1ページに関係できたことが、今年の大きな収穫です。

 さて、そのセキュリティ&プログラミングキャンプも、あの「事業仕分け」の荒波にもまれているようです。IPAだけではなく各省庁の事業全体が事業仕分けされており、詳細は分かりませんが、何としてもこのイベントは生き残ってほしいところです。

 人材育成は、効果が現れるまでには時間がかかります。ここ数年間まき続けた種はきっと、あと5年〜10年で大きな花となるでしょう。今後もいろんな形で未来ある若者の将来を応援するイベントにかかわっていきたいものです。


 今回は私の2010年の思い出を振り返る形でコラムをお届けしました。私の勤めるラックでも、「セキュリティキーワード2010」と題し、1年間の情報セキュリティを総括するコラムを紹介しています。このようなネタをもっと読みたいという方は、ぜひメルマガにご登録ください。皆さまからのテーマのリクエストも受け付けています。

【関連リンク】

メルマガの登録
http://www.lac.co.jp/info/mailmagazine.html

年末総括セキュリティキーワード2010
http://www.lac.co.jp/special/keyword2010/


 そうそう、大事なことを忘れていました。実は今年から、私の名刺には@ITのこのコラムのアイコンが入るようになっているのです。エバンジェリストの特権として、会社に特別にお願いして入れてもらいました。

名刺に@ITのこのコラムのアイコンが

 おかげさまで名刺交換をした方に覚えてもらいやすくなり、効果を実感しているところです。そして名刺の効果を倍増させるために、忘年会と称して今夜も飲みにいくのでした。

Profile

川口 洋(かわぐち ひろし)
株式会社ラック
チーフエバンジェリスト兼シニアセキュリティアナリスト
CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、チーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。また、YouTubeのlaccotvにて、「川口洋のつぶやき」に出演中。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。