NewsInsight

これまでの常識が通用しなくなった2007年のセキュリティ

「怪しいサイトにアクセスしなければ大丈夫」はもう甘い

2007/11/30

　シマンテックは11月30日、2007年のセキュリティ脅威を振り返るプレス向け説明会を開催した。この中で、米シマンテックのセキュリティレスポンス ディレクター、ケビン・ホーガン氏は「今までのセキュリティ対策の常識が通用しなくなってきた」と警鐘を鳴らした。

　2007年を振り返ると、ユーザーのPCにマルウェアを侵入させる攻撃ツール「MPack」のインパクトが大きかったという。

　MPackは、不正コードが仕込まれたWebサイトにアクセスするだけで、複数の脆弱性を悪用してPCにマルウェアを送り込む。しかも、攻撃サイトへの誘導方法もこれまでとは異なっている。攻撃者自身がWebサイトを用意するのではなく、すでに存在する人気の高いWebサイトを改ざんし、不正なリンクを仕込むことで、ユーザーを怪しませることなく誘導し、攻撃を仕掛ける仕組みだ。

　イタリアでは今年6月、数千に上るWebサイトが改ざんされ、MPackが仕掛けられたWebサイトへのリンクが埋め込まれた事件が発生した。また最近ではWebだけでなく、動画共有サービスのYouTubeやソーシャルネットワークサービス（SNS）のMySpace、Facebookが悪用される例が報告されているという。

　ホーガン氏は2007年のセキュリティのトレンドの1つとして、このMPackに代表される「プロ用の攻撃キット」が流通するようになったことを挙げた。この手のキットは「商用パッケージと同じようにバージョンアップでき、場合によってはサポートまで提供されている」（同氏）。この結果、スキルを持たない人でさえ、オンライン詐欺を仕掛けることが可能になった。

　技術を持たない人間までオンライン詐欺に「参加」できるようになったことで、世界的な分業体制が形作られ、「オンライン詐欺の闇市場化」が進んだと同氏は述べた。マルウェアを作成する人、それをばらまくためのリストを作る人やスパムを投げる人など、複数の人間が関わる「食物連鎖」が構成されており、犯人の特定や責任追求が困難になっているという。

　また、正真正銘の本物のサイトが改ざんされ、悪用されるケースが広まったことで、「安全地帯とそうでないところとの区別がなくなった。従来言われてきた『ギャンブルサイトやポルノサイトにさえアクセスしなければ大丈夫』という考え方が通用しなくなっている」（ホーガン氏）

　攻撃コード自体も高度化した。OSやWebブラウザの脆弱性を狙う代わりに、QuickTimeやAdobe Reader、WinZipといったブラウザのプラグインを狙う攻撃コードが増加しているという。「MPackの場合、20〜30もの脆弱性を悪用できるコードを備えており、各マシンの状態を見て、それに応じた攻撃コードを吐き出す仕組みだ。WebブラウザやOSにさえパッチを当てていればいいという時代は終わりつつある」とホーガン氏は述べた。

　同社では、今後もWebを狙う脅威は高度化すると予測している。「Webは不可欠の存在になったが、それにより、攻撃もインターネットを狙うようになった。MySpaseをはじめとするSNSサービスやYouTubeなどの動画サイトを悪用するケースが報告されているが、攻撃側もこうしたWebの進化を悪用していくだろう」（シマンテック セキュリティレスポンス、シニアセキュリティマネージャの浜田譲治氏）

　こうした脅威への対策に奇手はなく、基本を徹底することに尽きるとホーガン氏。クライアント側ではセキュリティ統合ソフトの導入とパッチの適用が必要だし、サーバ側でもパッチ適用やID／パスワードの適切な管理に加え、必要以上に管理者権限を利用しないといった、これまでどおりの対策が求められるという。

　ただ、「怪しいサイトにアクセスしなければ大丈夫」というこれまでの常識が通用しなくなっていることだけは認識しておく必要があるだろうと同氏は強調している。