2008年1月30日~2月1日の3日間、東京国際展示場(東京ビッグサイト)で開催された「ITpro EXPO 2008」において、アンチウィルスソフトウェアなどで知られるF-Secure CorporationのChief Research Officer、Mikko Hypponen氏が来日し、ITセキュリティの最新トレンドに関する講演を行いました。今回Software Design編集部では、講演を終えた同氏にお話を伺う機会を得ました。その模様をお届けします。
ボットネット、ソーシャルエンジニアリング~ITセキュリティ最新動向
――講演の中で、昨年猛威を振るったStormWormの事例について紹介されていました。こうしたP2Pボットネットの最近の状況について教えてください。
Hypponen氏:
StormWormに関して言えば、感染のピークは昨年の8月頃でした。それ以降は、より小さなボットネットに分かれていく動きが進んでいます。これは、1つの巨大なボットネットではトラックされやすいために、より小さな複数のボットネットに分割していくという戦略の変化があると考えられます。
また、一般ユーザが興味を持ちそうなごく普通のWebサイトを装い、Webブラウザの脆弱性を突いてマルウェアを送り込む手口が増えています。こうしたボットは、ロシアなどのプログラマがコーディングをしているのですが、偽装Webサイト制作などのソーシャルエンジニアリング的な面については、アメリカなどにアドバイザー的な存在がいると考えられています。
――講演でも、ソーシャルエンジニアリング手法を巧みに利用したボット感染の手口、マネーロンダリングの手口など、IT化社会を取り巻くさまざまな脅威についてお話しされていました。今後こうした攻撃者が、攻撃対象として日本(日本語を使うユーザ)を狙うという事例は増えてくるのでしょうか。
Hypponen氏:
現在こうした攻撃では、たとえばハロウィーンだったり、アメリカの祝日だったりと、おもに英語圏のユーザが興味を持ちそうなコンテンツを使う手口がほとんどです。ただ最近の傾向として、特定の地域の言語を使ったターゲットアタックが急増しています。将来的には日本語も例外ではないでしょう。
――ターゲットアタックにおいては、どのような団体が狙われる傾向がありますか?
Hypponen氏:
大きく分類すると、大企業、政府関連団体、NPOの3つが狙われる傾向があります。機密情報なのでここで詳細を述べることはできませんが、企業に関して言えば、世界的に同じような業種の企業が狙われている傾向が見てとれます。また、政治的な目的を持った活動も見られますね。
――フィッシングの現状について教えてください。
Mikko Hypponen氏(Chief Research Officer、 F-Secure Corporation)
Hypponen氏:
フィッシング詐欺は最初アメリカの銀行を狙い、続いてオーストラリアや英国、そしてヨーロッパ各国というように攻撃対象を移していきました。ただ、今ではオンラインバンキングの認証メカニズムが非常に複雑なものになってきたため、単純なフィッシング詐欺の被害が今以上に拡大することはないと考えています。
それよりも、今後さらに深刻な問題になることが予想されるのはBanking Trojanと呼ばれるマルウェア(トロイの木馬)です。このマルウェアは、オンラインバンキングにおけるユーザの操作をまったく違うものにすりかえてしまうことを可能にします。すでに「Man in the Browser」というトロイの木馬が確認されています。
たとえばあなたが、オンラインバンキングを利用して誰かの口座にお金を振り込むとしましょう。正規の手続きを踏んでログインし、画面上で相手の口座と金額を指定して振り込み指示をするわけですが、コンピュータに潜むMan in the Browserが銀行に送信する前のデータを改変し、別の口座への振り込み指示へとすりかえてしまうのです。
――厄介な手口ですね。
Hypponen氏:
はい。正しいURLにアクセスし、正規の認証手続きを経て、正しい手順で操作をしているにも関わらず、口座のお金を奪われてしまうのですからね。
より巧妙になるIT犯罪~エンドユーザが自分を守るには
――IT犯罪に関しては、純粋な技術だけで解決することが難しくなっているように感じます。エンドユーザは、どのような点に気を付けて行動すれば良いのでしょうか。
Hypponen氏:
まず、自分は関係ないという意識を今すぐ捨ててください。たとえば、「 このコンピュータの中には漏洩して困るようなデータがない」「 私が狙われる理由がない」といった考え方ですね。
――たしかに、そういった意識を持っているユーザは多いかもしれません。
Hypponen氏:
私もこうした意見をよく耳にするのですが、これは間違っています。
実際には、「 あなたが誰なのか」「 あなたがどこに住んでいるのか」「 あなたのコンピュータの中に何が保存されているのか」……このようなことを、攻撃者はいっさい気にしていないのです。彼らにとっては、あなたのコンピュータをボット化し、ボットネットの勢力を拡大し、他への攻撃の踏み台とすることが目的なのですから。つまり、今では世界中の誰もが狙われているわけです。
大きなシェアを占めるWindowsを使っていれば、それだけ狙われる確率が高くなるのはたしかです。そこで、MacやLinuxを使うというのも1つの手と言えるかもしれません。もちろん、Windowsに限らずセキュリティパッチやファイアウォールは必須の技術です。
――「Windows Updateを実行すべし」という知識は、今では多くのエンドユーザが持っているのではないかと思います。ですが最近では、OSのみならず、Webブラウザ、各種プラグインなど多様なソフトウェアが狙われ続けています。危険が拡大していることをどのように啓蒙していくべきでしょうか。
Hypponen氏:
私も長い間この業界にいますが、非常に難しい問題ですね。
現在は、エンドユーザがセキュリティ対策ソフトのパッケージを購入し、自分のコンピュータにインストールするという手順が一般的ですが、この部分から変えていく必要があるかもしれません。つまり、こうした作業をエンドユーザに任せるのではなく、専門家の手で行っていくということです。
たとえば私たちは、ISPと契約をすることでインターネット接続サービスを利用しています。このようなインターネット接続サービスのオプションとして、ユーザが望めばISPから自動的に各種セキュリティ対策ソフトがインストールされる、セキュリティパッチが提供されるといったやり方も考えられるのではないでしょうか。
また「情報セキュリティの日」のような啓蒙/教育活動も重要でしょうね。ヨーロッパでは何年も前からこのような活動が続けられています。
――日本のユーザは、言語の違いがあるためなのか、英語圏で広がる脅威に対して少し無頓着な面があるようにも感じられます。
Hypponen氏:
フィッシングやBanking Trojanなどもそうですが、やはり攻撃の多くは英語圏を狙ったものです。ですから、英語を母国語とする国と比較すれば、たしかに日本の皆さんへの影響は少ないのかもしれません。ですが、だからといって安心し過ぎるのは危険です。
Mikko Hypponen氏(右) 、日本エフ・セキュア㈱代表取締役 渡邊 宏氏(左)
広がり続ける脅威と戦う~F-Secureの活動
――ウィルスやボットなど、新種が誕生するまでの期間が短くなり、亜種の数も激増しています。こうした状況の中で、我々はどのような観点でセキュリティソリューションを選択すれば良いのでしょうか。
Hypponen氏:
複合的な検知手法を用いていることが重要なポイントです。当社では、昔ながらのシグネチャベースでの検知はもちろん、検体の振る舞いによる検知手法も組み合わせています。将来的な亜種へ対応するには、シグネチャだけでは不十分で、こうした振る舞い検知の手法も必要です。
現在、当社の研究所には、ユーザ/パートナー企業/ハニーポットなどから1日に2万5、000個ものサンプルが届きます。とても手作業で対処しきれる数ではありません。当社はこれまで、マルウェアの解析を自動化するために大きな投資を行ってきました。その結果、1日2万5、000個ものサンプルも処理可能な体制が出来上がっています。この2万5、000個の中には、だいたい500個の新種や亜種があります。
――1日で500個というのはすごい数ですね。
Hypponen氏:
そう思います。しかもそれが毎日続くのです。
――IT犯罪に対して、警察や政府機関など他の機関との協力体制などはどのようになっているのでしょうか。
Hypponen氏:
F-Secureでは、いくつかのケースでIT犯罪者の逮捕に協力しています。中でもスコットランドヤード(ロンドン警視庁) 、FBI、シークレットサービスなどですね。シークレットサービスと聞くと大統領警護を思い浮かべる方も多いでしょうが、こうした分野での捜査活動も行っているのです。
日本においては、JPCERTと協力関係を築いています。
――携帯電話を狙ったマルウェアについて、どのようにお考えでしょうか。
Hypponen氏:
現在394種類のマルウェアを確認しているのですが、そのほとんどがSymbian OSを狙ったものですね。携帯電話では、ファイルのダウンロードだけでなく、BluetoothやMMS(Multimedia Messaging Service)経由でマルウェアが広がっていく危険があります。
ただ、私はウィルスよりもスパイウェアの方が大きな脅威になると考えています。たとえば、あなたが誰と通話をしたのか、どんなメールを送ったのか、( GPSの位置情報から)今どこにいるのかといった情報すら漏れてしまう可能性があるわけですから。
Symbian OS上で動作するF-Secure社の セキュリティソリューション
当社では、携帯電話向けのセキュリティソリューションも開発しています。これは私の携帯電話なのですが、このNokiaの端末には当社のアンチウィルス/ファイアウォールソフトウェアが導入されています。
現在のところ、携帯電話を狙ったマルウェアの被害は少なく、さほど深刻な脅威とは言えません。もしかすると、この先も大きな問題にはならないかもしれません。ですが、もし将来的に大きな脅威になったとしても、我々には十分な準備が整っていると断言できます。
――ありがとうございました。