［国内］【SANS Future Vision 2007 in Tokyoリポート】
SANS Instituteのパーラー氏が語る「サイバー犯罪への対処方法」

さらなる深刻化が予想されるセキュリティ攻撃にいかに立ち向かうか

（2007年07月18日）

　17日から2日間に渡り開催されている情報セキュリティ・コンファレンス「SANS Future Vision 2007 in Tokyo」。初日のキーノート・セッション2人目は、同コンファレンスの主催者であり、政府や企業・団体間における情報セキュリティ教育などを目的とするSANS Instituteのリサーチ・ディレクター、アラン・パーラー氏だ。

攻撃者組織は犯罪者集団だけではない

　「サイバーセキュリティの最新動向：サイバー犯罪に組織としてどう対応すべきか」と題されたパーラー氏のセッションでは、情報システムに対する攻撃を、だれが、何の目的で、どのような手段で行っているのかを明らかにしたうえで、その効果的な対抗手段が紹介された。

SANS Institute リサーチ・ディレクターアラン・パーラー氏

　まず、パーラー氏は、かつてのサイバー攻撃は愉快犯が主だったが、近年は金銭を得る目的で組織的に行っているケースが増加しており、攻撃元の地域は東欧に加えてアジアの割合が増加しつつあると指摘。こうした攻撃の例としては、PCに悪意あるプログラムを仕込んでゾンビPCを構築し、そのリースによって金銭を稼ぐケースを挙げた。

　リースされたゾンビPCはスパム送信やDoS攻撃に利用される。DoS攻撃は、企業のサーバをダウンさせたうえで、攻撃を中止する見返りに金銭を要求するというケースが報告されているという。また、Webサイトを改竄して虚偽のリリース・ノートを掲載し、株価を不正に操作して利益を得るという手段もあるという。

　一方、個人情報漏洩に関する近年の特徴としては、モバイル端末からの漏洩が特に増加していることが挙げられるという。モバイル端末は一般的にセキュリティが甘いため、格好のターゲットとなりやすいからだ。盗み出した個人情報は、現在確認されている限りではスパム・メールやウイルス／ワームの送信などに使われるケースが多いが、今後は、さらに大きな金銭略奪の手段として使われる可能性があるとパーラー氏は注意を促した。

　そのほか、看過できない攻撃として発電所やパイプラインなどのSCADA（Supervisory Control And Data Acquisition）、すなわち監視制御システムを乗っ取るケースも出てきているという。これらのシステムに対しては、ビジネス・システムを乗っ取ったうえで、それを踏み台にしてハックしたというケースが報告されているため、直接インターネットにつながっていなくても安心できないとパーラー氏は強調する。今のところ、主に恐喝に使われているこれらの攻撃についても、今後はより大規模な攻撃につながるだろうと同氏は指摘する。

　また、パーラー氏は、犯罪者集団以外でもサイバー攻撃が行う集団があるとして、2種類の組織を挙げた。1つはテロリスト集団。この場合、組織犯罪グループと同様の手口で金銭を稼ぎ、それを武器購入などの資金に充てている。その具体例の1つが、2002年にバリ島で起こった爆破テロであり、犯人はこの方法によって資金を得たとのことだ。

　もう1つは、政府機関である。サイバー攻撃によって他国の機密情報を取得したり、システムを乗っ取ったりといったケースがあるという。実際、中国からのサイバー攻撃によって米軍関係のコンピュータが一晩で一斉に侵入されるという事件も発生したと見られている。これは「タイタン・レイン事件」と呼ばれ、米国TIME誌によって報道された。

高度化するサイバー犯罪に対抗するには

　それでは、これらの攻撃を防ぐために、どのような対策が必要なのか。パーラー氏は次のように語る。「これだけで十分という簡単な対策は存在しない。攻撃と防御はイタチごっこであり、攻撃手段は年々強力になっている。なぜ、そこが攻撃の対象となったのかを考察し、その原因から改善しなければならない」

　パーラー氏は、攻撃対象となりやすい環境の原因として次の3つを挙げた。

1. セキュアなアプリケーション開発を行う環境が整っていない
2. 設定やパッチ適用の工程に問題がある
3. 境界防御を過信しすぎている

　1つ目は、セキュアなコードを記述する教育を受けたプログラマーが限られていることが最大の理由だとパーラー氏は指摘する。現状では、教育機関においてセキュリティ教育は重視されていない。そのためOSを堅牢にできても、アプリケーションまで十分なセキュリティ対策が施されていないというわけだ。これについては近年、セキュア・コード記述のスキルを高めるためにコンソーシアムを設立することを検討しているという。

　2つ目は、脆弱性が発見されてからユーザーがパッチを適用するまでの期間が長すぎるという問題だ。これについてパーラー氏は、アプリケーションがユーザーに独自設定を強いることが最大の原因となっていると指摘。独自設定のために、ユーザーは、パッチ入手後も入念なテストを必要とするからだ。

　この問題に対して、米政府は2つの試みを開始したという。まず、全政府機関のコンピュータで共通の“セキュア・コンフィグレーション”を使うように決定したこと。そして、政府機関に納入する製品は必ずその設定での動作を保証するようにベンダーに義務付けたこと。これによって最小限のテストでのパッチ適用が可能になることが期待され、今後この動きは業界全体に広がっていくと予想されるという。

　3つ目は、ファイアウォールや侵入検知などだけでセキュリティ対策が万全だと考えてはいけないという指摘である。例えば、特定の人物にねらいを定めたフィッシング詐欺であるスピア・フィッシングに対しては、境界防御はまったく機能しない。こうした攻撃に対抗するには、セキュリティに対する考え方を啓発し、実際に攻撃を経験させるトレーニングを行うことが有効だという。

　最後にパーラー氏は、次のように呼びかけてセッションを締めくくった。「現在は、ITのさまざまな分野において大きな変革が起こっている只中にある。皆さんには、セキュリティの文化を形成するために、テクノロジーで先導していくチャンスがある。そのチャンスをモノにして欲しい」

(杉山貴章)