最新の技術情報管理に関する講演会

最近の目に見えない脅威と情報セキュリティ対策の活動について

KDDI運用統括部情報セキュリティフェロー・独立行政法人情報通信研究機構情報通信部門セキュリティ高度化グループ長
   中尾 康二 氏


中尾康二氏 ウィルス作成者がおり、ハッカー・クラッカーなどの悪い事をするプログラムがDos攻撃やWeb改ざん等をし、スパマーが自分でスパムメールを吐きます。スパマーはウィルス作成者と連携する事でより多くのスパマーと連携することが大部前から始まっています。また、フィッシャ―はクラッカーやプラグラム作成者にサイトを立てて貰い、プライベートデータを集め、金を稼ぎます。更にウィルス作成者に頼みボットウィルスを作ってもらい、感染させ、関係のボットネット作り、コマンドコントロールサーバーを管理しながら色々な攻撃を自在に行います。こうした悪者の繋がりから簡単な操作で非常に大きな効果を生みます。ここに悪のビジネスが成立します。最終的に犯罪組織が絡んでおり、お互いが役割分担し、仕事をしています。私は情報通信研究機構(NICT)で研究をしていますが、ダークネット(未使用アドレスブロック)を用いてモニターを行っており、マルウェアなどをスキャンするほか、バックスキャッターでDDosを吐いたソースアドレスの返りを成り済ましてダークネットのアドレスに置き換えることで、その跳ね返りが分かります。

具体的には、不正なプログラム群はスキャンでターゲットとなるPCやサーバーを探す中、そのスキャンの挙動にはランダムスキャンからシーケンシャルスキャンなどアルゴリズムがあり、繋がっていないダークネット、すなわちサーバーに到達するパケットは変で、そのパケットを見ていくとNICTでは12万以上のダークネットを観察すると、何が起きているのかが分かります。今年7月のデータで言うと、平均のパケット数は約270万、感染しているユニークホストは約4万5000で、これらは毎日、見ることができます。IPアドレスのポートは重要な役割をしており、アドレスは家の住所の様なもので、ポートはその窓です。スキャンには家の全体を見るポートスキャンと、ネットワーク上の脆弱点を探すネットワークスキャンと言うものがあり、NICTでは世界地図の中で、どの国から撃ってくるのかを監視しており、通常、中国などからボンボン飛んできます。そして、よく観察すると、やがて一つのポートを狙っている事が分かります。結局、脆弱性のある所を目掛けて飛んで来ています。

nakao0809252.jpg マルウェアの一つにボットウィルスがありますが、コンピュータに感染させ、インターネットを通じて悪意を持った攻撃者がターゲットになったコンピュータを外部から遠隔操作、つまり、「迷惑メールの大量配信」「特定サイトの攻撃」等の迷惑行為をはじめ、コンピュータの情報を盗み出す「スパイ活動」なども行います。ボットのサイズは何万ではなく、200〜300もの羊(手先)を飼っています。また、ボットネットは感染していることに気が付きにくく、最近では5〜10分おきにアップデートを繰り返しながら(存在するアンチウィルスソフトにない形で)自動で機能追加を行います。更に亜種種類も多く、対策ソフトでの駆除を困難にしています。

 次にソーシャルエンジニアリング試験では、6つのタイプの5万1300の試験メールを8万550人を対象に試験送信した結果、43%の対象者がテストメールを開封したほか、23・9%の対象者がテストメールを添付、又はハイパーリングをクリックしてしまいました。不正メールをターゲットに送ると対象者に感染させ、色々なデータを吸い取る事が案外簡単にできる、言い換えるとフィッシングメール等はまだまだ使えると言う事になります。

 更に、見えない脅威の一つがフィッシングで、開封すると第三者に個人データが吸い取られますが、なぜ引っ掛かるかは本物と偽物の区別が難しく、URLなどに貼り付けられた会社ロゴマークなどの確認ではあまり効果がありません。不正侵入にはポップアップウィンドウ、アドレスバー偽装や偽装URL、更にトロイの木馬、パスワードクラック(辞書攻撃)、バッファオーバーフロー攻撃などがあります。

 こうしたマルウェアの主な感染経路はファイル媒介、電子メール媒介、Web媒介、リモート侵入等があります。また、情報漏えいも脅威ですが、技術的な対策だけでは無理で、管理・教育上などの対策も必要です。

 このほか、社会的・政治的理由に基き発生させるのがサイバー攻撃(テロ)で、一例としてエストニア政府のWebサイトやドイツ政府への攻撃などがあります。

 防御手段としては、防火壁(ファイヤーウォール)、IDS(侵入検知ソフト)、ネットワーク監査ツールやハニーポット・おとりサーバを用いた情報収集などがあります。

 これらの攻撃などの情報収集や分析研究開発を行っているのが、ISDAS‐JPCERT/CC、@Police(警察庁)、TALOT2‐IPA、Nicter‐NICT/Telecom‐ISACなど。また、海外では米はミシガン大学(IMS),REN‐ISAC、仏・EureCOM、韓国・KISCなどがあります。また、情報セキュリティマネジメントであるISMS認証取得数は発祥地である英国を抜いて2600以上の企業・団体が取得した日本が世界でダントツのトップであるが、2011年頃にインドに抜かれると予測されています。

 最後に私見ですが、防衛手段には限界があると思います。なぜなら、ファイヤーウォールや侵入検知システムは、既に存在する決められた攻撃を検知できるが、新たな攻撃は検知できないほか、今後発生する攻撃の予測はかなりの難易度。結局、管理のプロセスの達成には価値があるものの、完全なセキュリティ事故を無くすことはできないのが現状です。今後のチャレンジとして、ちょっと先を予測したいと思っており、微小な変化を  捉え、その先の来る状況やバーチャルマシンを使いタイムロスなしに見分ける研究も進めています。 結局、脅威の変化への迅速な対応と準備が重要と言えます。  

(セキュリティ産業新聞2008年9月25日号より)

戻る