Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

セキュリティを取りまく状況の停滞

Created: 11 Jun 2011 09:57:04 GMT • Translations available: English
khaley's picture
0 0 Votes
Login to vote

セキュリティに関しては、状況がひとつの飽和点に達したと言っていいでしょう。よく知られているように、大雨が降ると、一定量を超えた水は地面に吸い込まれなくなり、地表に水たまりができます。セキュリティインシデントをめぐる状況は、今まさにそうした段階に達しました。

 
攻撃者が新しいマルウェアを送り出す速度は頭打ちになっています。Norton Cybercrime Index(英語のみ)をご確認ください。2011 年の傾向はおおむね平坦でした。過去 10 年間に確認されてきたマルウェアの爆発的な増加は、維持可能なものではなかったのです。これからも新たなハッキングツールや感染方法は登場するでしょうし、感染するプラットフォームやユーザーも増えるでしょう。しかし現時点では停滞が始まりつつあります。
 
もちろんこれは、問題が一掃されたということではありません。2010 年に新しく出現したマルウェアの亜種は 2 億 8,600 万でした。実に 3 億に迫ろうという勢いですが、この驚異的な数字にも、増加の鈍化が現れています。これは 1 年以上前の数字ですが、その前年にシマンテックが報告した結果と比べれば 100% を割っており、それまで見慣れた増加傾向とは異なっています。
 
では、過去数週間に無限とも思える勢いでセキュリティインシデントが続いたのはどういうわけでしょうか。そう、言ってみれば、これが地表にたまった水たまりということになります。雨が激しくなったわけではなく、地面にもう水が吸い込まれなくなったのです。現在展開している状況の一部は、攻撃者が新しいプラットフォームを狙い、感染させる新しいユーザーを求めていることを反映していますが、それはあくまでも水たまりです。こうしたインシデントの多さは、いちかばちかという性格が強くなっていることを示していると考えられます。
 
なんらかの方向で傾向を判定する前に、過去数週間にシマンテックが確認したセキュリティインシデントの種類を把握しておくべきでしょう。多くのインシデントがありましたが、どれも同じではなく、過去数週間に見られたインシデントはよく知られた 3 つのカテゴリに分類されます。大規模攻撃、標的型攻撃、そしてハックティビズムです。
 
大規模攻撃 - この数年、偽のウイルス対策ソフトウェアが出回っています。大規模攻撃で最も多く見られるのは、今でもこのタイプです。標的当たり 49.95 ドルというのは、実入りのいい商売です。これがニュースとして取り上げられるのは、攻撃が大きく増えたからではなく、このタイプの攻撃が Mac コンピュータを標的にするようになったという目新しさがあるためです。
 
これが「大規模攻撃」と呼ばれるのは、攻撃者ができるだけ多くのユーザーを感染させようとするからです。詐欺の手口が成功する確率はごく小さいとわかっている以上、儲けを増やす最善の方法は、標的となるコンピュータの数を増やすことです。新しい標的を探していた攻撃者が最終的に、Mac に目を向けるようになり、Mac で偽ウイルス対策ソフトウェアが出現することも避けられないことでした。Mac が狙われた時点で驚いた方は、この次を覚悟したほうがいいでしょう。同じことが、次には携帯電話でも起きるはずです。
 
標的型攻撃- 新しい形の出現はほとんどありませんが、2010 年に起きた 2 つの事件によって、標的型攻撃は話題の的になりました。1 つ目は Stuxnet です。2 つ目は「Advanced Persistent Threat(高度で非永続的な脅威、APT)」と呼ばれるものですが、私はこの APT という用語をかなり疑問に思っています。この表現は間違いなく人々の想像力を駆り立てましたし、セキュリティに関する話題作りに役立つのであれば、私もその点については評価します。しかし、APT と分類されている攻撃の大部分は率直に言って「高度」とはほど遠く、多くの場合「永続的」でさえありません。「標的型攻撃(Targeted Attack)」のほうが、頭字語にはなりにくいかもしれませんが、内容はよく表しています。たとえば、Web メールアカウントが危殆化したことでメディアでも大きな話題となった最近の例を考えてみましょう。これは明らかに APT タイプの攻撃ではなく、スピア型フィッシングでした。マルウェアの関与もありませんでした。問題は、それが標的型だったことであり、注目を集めたのもその点でした。影響を受けた企業からの報告と併せて考えると、その狙いがわかってきます。Google に対する信頼度です。こうした攻撃の標的になった企業が、その攻撃を表立って話題にするという傾向は、2010 年の Hydraq から始まったと考えられます。このことは、私たちにとって有利にはたらきました。このようなタイプの脅威に関する意識向上に役立ち、セキュリティ企業が標的型攻撃について顧客との間に有意義な対話を持つきっかけになったからです。今やそれは理論上の話にとどまらず、各社にとってセキュリティインシデントの現実的なリスクがいっそう明らかになっています。
 
つまりここで見られる傾向とは、標的型攻撃の増加ではなく、標的型攻撃について企業が積極的に表立って論じるようになった、そのことと言えるでしょう。
 
ハックティビズム(Hacktivism) - ハッキング(Hacking)とアクティビズム(Activism)から作られた造語です。この単語を使うとスペルチェッカーに警告されますし、私もこの語が好きではありませんが、もっといい単語が登場するまでは我慢するしかなさそうです。この単語が作られたのは1994 年ですが、もっと以前から使われていたのかもしれません。ハックティビズムが出現する主な形態は従来、Web ページの改ざん、スパム、散発的な DDoS(分散サービス拒否)攻撃でした。
 
いちばん最近の目立った例は、決済サイトやオンライン小売業などを標的にした DDoS 攻撃でした。ウィキリークスに対するトランザクション処理を停止したサイトに対する抗議として、昨年の12 月に発生したものです。このときの DDoS 攻撃は、一般には効果がないと見なされましたが、私は非常に成功したケースだと考えています。一定の期間いずれかのサイトを停止させることこそなかったようですが、世間から大きく注目を集めました。実は、それこそがハックティビズムの本当の目的なのではないでしょうか。
 
そう考えると、大きな増加の見られるセキュリティインシデントは、どんなタイプでもハックティビズムと言えそうです。昨年 12 月のインシデントの実行犯だったグループは、その次にはセキュリティ企業に侵入してあらゆる電子メールをオンラインで送信し、やはり大きな注目を集めました。現在は、ゲームとエンタテインメントを展開している有名な多国籍企業がこの攻撃にさらされています。ユーザーのパスワードが盗まれましたが、営利目的ではなく、注目を集めるためにネット上に投稿されたのです。その成果は華々しいものでした。この攻撃があまりに見事に成功したので、他のハッカーたちも便乗し、同じ企業に対して新たな攻撃をしかけました。それが成功するとまた新しくニュースになり、それがさらに別のハッカーを呼び込んで……という悪循環が生まれています。
 
それでは、脅威を取りまく環境は悪化しているのでしょうか。悪化していると言わざるをえませんが、それはシマンテックが長年言い続けてきたことです。もうそれが常套句になる段階にまできてしまったのです。変わったのは、脅威が今まで以上に目に見えるようになったことです。幸いなことに、何か起きたときには、最終的にそれに見合った注目を集めています。 しかし、ハックティビズムのギャンブル性が高くなっていることが最近のインシデントから明らかになっており、その点には注意が必要です。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。