第11号コラム:山田 晃 理事(独立行政法人情報処理推進機構(IPA)
題:「2007年におけるネットワーク上の10大脅威(「情報セキュリティ白書2008」
本年度より理事の大役を仰せつかりました、山田でございます。
よろしくお願い致します。警察庁勤務時代には、主にデジタルフォレンジックの海外動向を我が国に取り入れる業務に従事しておりましたが、退職して以降の6年間、フォレンジックとは離れております。
今後、本研究会の活動を通じまして、最新のフォレンジック動向を吸収しつつ、微力ながら本研究会に寄与して参りたいと思いますので、どうぞよろしくお願い申し上げます。
今回、初めてコラムを執筆させて頂きますが、情報処理推進機構(IPA)で発行した「情報セキュリティ白書2008」より、2007年において印象が強かった、或いは、社会的影響が大きかった10大脅威を紹介させて頂きます。
【1位】高まる「誘導型攻撃」の脅威
誘導型攻撃(利用者が攻撃者の仕掛けた罠に誘導される形の攻撃手法)は、利用者が罠のWebページやメールを閲覧することで成立します。2007年には、ワープロソフトや圧縮解凍ソフトウェアに脆弱性が発見された結果、一般によく利用される文書ファイルや圧縮ファイルが罠として使われる事例が発生し、利用者はこれらのファイルを安心して開くことができない状態となってしまいました。
利用者の行動がないと成立しない誘導型攻撃に対して、攻撃される側の行動が不要な攻撃を能動的攻撃と呼びます。能動的攻撃は、従来から広く行われてきましたが、近年は誘導型攻撃が目立つようになってきています。
【2位】 Webサイトを狙った攻撃の広まり
Cross Site Scriptingは、Webサイト内で稼働するWebアプリケーションの脆弱性を悪用して、Webサイトの利用者を狙う攻撃手法の一つです。
Webサイトを閲覧した利用者のブラウザ内で悪意あるスクリプトが実行され、偽情報の表示や、情報の漏洩等の被害が引き起こされます。
Cross Site Scriptingの基本的な対策が行き届いていないWebサイトが多く存在します。Webサイトの本来の機能に関する部分では対策が行われつつも、エラーページ等に問題が残る例もあります。
加えて2007年は、ファイル形式や文字コードをWebブラウザに誤認させる方式の新しい攻撃手法が出現しました。このため、今まで脆弱性が無かったと思われていたWebサイトにも、脆弱性が生まれてしまうこととなり、対策が必要なWebサイトが出てきています。
一方、SQLインジェクションは、Webサイトを直接狙った攻撃手法の一つです。
この攻撃では、Webサイト内で稼働するデータベース内の秘密情報が漏洩したり、情報の改竄や破壊を受けることが脅威となります。
【3位】恒常化する情報漏洩
情報漏洩の主な原因は、盗難や紛失といった、コンピュータの使用有無に拘わらず発生しうるものが中心で、これらは単なる不注意だけの問題ではなく、管理体制の不備やルール違反が原因となっているケースも少なくありません。
このような情報漏洩を減らすためには、利用者の意識の向上だけでなく、例えば情報を自動的に暗号化しておくといった、利用者がミスをした場合でも被害を低減できる技術的対策の整備が必要です。
一方、コンピュータの使用と密接に関連するケースは、まだ全体の中では少数であるものの、増加を続けています。中でも、ウイルスやワームが原因のケースは、2005年に1.1%であったものが2006年は12.2%に増加しており、これはファイル交換ソフトにおける、いわゆる暴露ウイルスが主な要因と分析されています。
ファイル交換ソフトについては、利用者層の変化も指摘されています。
以前は技術を理解している人間を中心に利用されていましたが、最近はコンピュータの初心者も利用するようになり、情報漏洩の温床となる可能性があります。
【4位】巧妙化する標的型攻撃
標的型攻撃は、マルウェア(ウイルス等、悪意あるソフトウェア)を使った攻撃の一形態で、攻撃対象を特定の組織・人物等に限定したものです。
ウイルス対策ソフト等のセキュリティ対策が十分に機能しない場合があり、注意していても攻撃を防げない場合があります。
2007年は、今まで実態が不明だった標的型攻撃についての調査が行われ、その実態が少しずつ判ってきました。まず、受動的攻撃によってイントラネット内のシステムが狙われ、主に情報漏洩が引き起こされていることがあります。実際の攻撃は、文書ファイルや圧縮ファイル等、今までは開いても安全だとされていたファイルを利用者が受け取るところから始まります。
これらのファイルには、ワープロソフトや圧縮解凍ソフトの脆弱性(未知の脆弱性の場合もある)を悪用したマルウェアが埋め込まれており、利用者がファイルを開くと同時にマルウェアが実行されます。
標的型攻撃に悪用されるマルウェアには、いくつかの技術的な特徴があります。
まず、プログラムが攻撃側のサーバから多段階にダウンロードされて実行される点があり、攻撃側は常に新しいプログラムを送り込むことが可能となります。このため、別の脅威が生じる可能性が常に存在しています。
又、感染事実を隠蔽する工夫が巧妙であるため、一般の利用者が感染に気付くことは困難である点や、セキュリティベンダによる解析を妨害する措置も多重に仕掛けられている点が挙げられます。これらの特徴は、近年のマルウェア攻撃では主流となっています。
【5位】信用できなくなった正規サイト
2006年末に登場したWebサイト攻撃ツールが、2007年には広く使用され、多くのWebサイトが改竄の被害を受けました。Webサイトの改竄は以前から行われていましたが、自動化され、大規模に行われるようになったのが2007年の傾向と言えます。2006年末に登場したMPackやIcePack等のWebサイト攻撃ツールは、WebサーバやWebアプリケーションの、複数の脆弱性を自動的に攻撃する機能を備えており、一部でも脆弱な部分があるWebサイトは、改竄の被害を受けてしまいます。
Webサイトの改竄は、他の攻撃と同様、目に見えない形で行われる傾向にあり、インラインフレームやスクリプト等といった、不可視の状態でWebサイトに挿入できるものが混入されるため、利用者がWebブラウザから閲覧しただけでは、全く違いが判りません。そして、このようなWebサイトを閲覧した利用者は、Webブラウザやプラグインの脆弱性を突かれ、利用者はマルウェアに感染してしまいます。
海外では、世界で一万以上のサイトがこの手口で改竄されているそうです。
このような攻撃が多発しているため、Webサイト管理者は、Webサイトに脆弱な部分を残さないようにする必要があります。Webサーバの脆弱性対策やアカウント管理等に加え、その上で稼働するWebアプリケーションについても、脆弱性検査等を検討していく必要があります。又、利用者は、常に最新のバージョンの対策ソフトやウイルス定義ファイルを使用していくことで、改竄されたWebサイトにアクセスした場合であっても、被害を受ける可能性を低減させることができます。
【6位】検知されにくいBot、潜在化するコンピュータウイルス
2007年はBotが猛威を振るいました。中でも、2006年末に出現したStorm WormというBotは、2007年を通じて世界的に流行が続きました。
当初は電子メールを通じて感染を広げていきましたが、その後次々と亜種が作成され、オンライン掲示板やビデオ配信サイト等に感染の手段を広げていきました。その結果、2008年になっても流行は収まっていません。
一方、国内では、BotがWebサイトの脆弱性を狙っている傾向が浮かび上がり、これはファイアウォールに阻まれずに感染が可能であるためと分析されています。
又、Botを使用した攻撃の実例としては、企業のWebサイトやメールボックスに対してDoS攻撃を行い、攻撃を止めることと引き換えに金銭を脅し取ろうとする事件がありました。
ウイルスについては、被害件数に減少の傾向があるものの、一つ一つの被害は大きなものになる傾向があり、全体として脅威が減ったとは言えない状態です。
感染経路も多様化しており、2007年はインスタントメッセンジャーを経由して感染するものが増えました。
【7位】検索エンジンからマルウェア配信サイトに誘導
検索エンジンは、Web利用者がWebサイトを探す手段として定着しています。
検索エンジンの中における、Webサイトの表示順位を向上させる取り組みをSEO(Search Engine Optimization)と言い、多くのWebサイトでSEOが行われています。利用者が検索エンジンで一般的な単語を検索した場合、その分野での主要なサイトが表示されます。一般的な単語を用いて検索エンジンを利用する行為は、これまでは特に危険な行為ではありませんでした。しかし、2007年は、この状況が変化しました。SEOがマルウェアの配信のために悪用された結果、検索エンジンで一般的な単語を検索した場合であっても、マルウェア配信サイトが表示されてしまった事例がありました。
【8位】国内製品の脆弱性が頻発
2007年は、国内で開発及び利用されているソフトウェア製品について、脆弱性が多く発見されました。8月には有名な日本語ワープロソフトに脆弱性が発見され、製品開発者が修正する前にマルウェアによって悪用されました。
この事例は、文書ファイルを開くだけでなく、単にWebサイトを閲覧するだけで、被害を受けるものでした。又、年間を通じて、圧縮解凍ソフトにも脆弱性が発見されました。
これらは、技術的には新しい種類の脆弱性ではなく、世界のソフトウェアで日々発見されている脆弱性と同種です。国内製品は、まだ脆弱性が発見され始めてから日が浅いため、多数の脆弱性が潜んでいる可能性があります。
【9位】減らないスパムメール
海外のセキュリティベンダーの統計によると、2007年のスパムメール数は、2006年と比較して約2.5倍になっているとのことです。又、メール全体に占めるスパムメールの割合は、約70%~95%程度であると報告されており、多くの割合を占めている点で共通しています。
2007年は、幾つか新しい種類のスパムメールが登場しました。受信側のフィルタをくぐり抜けるために画像を使ったものや、PDF等のドキュメント形式を使ったものです。
尚、多くのスパムメールがBotネットによって配信されている点は、2006年以前から変わらない傾向です。
このような大量のスパムメールのために、受信側は対応に時間を取られたり、配送の遅延やフィルタの副作用で本来受け取るべきメールを見逃す等の被害が発生しています。
日本データ通信協会の調査によれば、この経済的損失は年間約7000億円にも上るとのことです。
一方で、対策も進んでいます。国内では、大手携帯電話会社が相次いで、送信ドメイン認証の技術であるSPF(Sender Policy Framework)やSenderIDに対応させて、国内ドメインにおける同方式の普及率が大幅に向上しました。
この技術により、送信元ドメインのなりすましを防ぐための基盤が整いつつあります。これは、スパムメールの減少に直接寄与するものではありませんが、送信元ドメインの正しさを確認する技術で、送信元ドメイン自体の信頼性確認を進めていくことで、長期的にスパムメールを減少させていくことが期待されます。
【10位】組込み製品の脆弱性の増加
近年、携帯電話や携帯ゲーム機等のソフトウェアが組み込まれた機器を対象としたウイルスが出現しており、その脆弱性対策が必要となっています。
Webサイトにおいては、対策の必要性は認知されつつありますが、組込み機器のWebインターフェースにおいても同様に対策を進めていく必要があります。
又、攻撃技術は日々進化しているため、リリース時点でのセキュリティ対策だけでは不十分となる場合があります。近年は、アプリケーションを更新する機能をもった組込み機器も登場していますが、このような機器ならリリース後の問題にも対応することも可能です。
今回のコラムは、直接、フォレンジック技術とは関係のない内容でしたが、フォレンジックを行う上で、流行している脅威、脆弱性等の最近の傾向をご理解頂けたかと思います。
より詳細な内容に関しましては、「情報セキュリティ白書2008」をご参照下さい。