［世界］
2006年のセキュリティ事情──ますます凶悪化するサイバー犯罪

（2006年12月08日）

　インターネットに破壊的な影響を及ぼすようなコンピュータ・ウイルスの攻撃は、もはや過去のものになったという印象もある。しかし、PCユーザーにとっては、今年安全性が大幅に高まったという実感はない。金銭的な詐欺を目的とした新種のサイバー犯罪が最大の脅威として浮上し、オンライン攻撃がこれまでに増して専門的で陰湿になっているからだ。

　マイクロソフトが今年対策を講じたバグの件数は過去最高となり、カーネル・レベルのドライバやオフィス・スイート、多くの人々が利用するWebサイトなどにもまったく新しい種類の不具合が見つかった。

　ベンダー各社は、セキュリティに関してこれまでになく饒舌になっているが、悪人らは、今もあちこちで攻撃可能な弱点を見つけている。さらに、スパミングも復活の兆しを見せつつある。本稿では、コンピュータ・セキュリティに関する今年注目された5つの話題を取り上げ、振り返ってみたい。

横行するサイバー詐欺

　悪意を持つハッカーたちは、プロの犯罪集団と手を組み、お金だけを目当てに、高度で洗練されたコンピュータ犯罪を実行するようになっている。

　トラブルの大半は、フィッシングにまつわるものだ。フィッシングとは、偽のWebページを構築し、ユーザーがログイン時に入力する詳細なデータやクレジットカード番号などの個人情報を入手するというタイプの攻撃であり、盗まれたクレジット番号は、オンラインで他人に売られ、違法な利益を得るために利用されることが多い。

　米国司法省の報告書によると、今年5月には、フィッシングに関する苦情が2万件寄せられており、前年に比べ34％増えたという。この報告書によると、全世界のフィッシング・サイトの中で最大のパーセンテージを占めているのは、米国でホスティングされているサイトだという。

　しかし法執行機関側も、組織と協力体制を改善しつつあり、とりわけ国際的な捜査態勢が大幅に強化された。「G8 24/7 High Tech Crime Network」には、45以上の国が参加しており、各国とも、電子情報の証拠を迅速に確保し、国境を越えたサイバー犯罪捜査を支援するため、1日24時間対応可能な連絡窓口を設置するといった要件を満たすための施策を講じている。

　さらに、民間企業への支援策も強化されている。マイクロソフトは今年、欧州、中東、米国で、フィッシング行為を行っていると思われる業者を相手取って、数十件の民事訴訟を起こすとともに、情報を法執行機関に提供した。

ゼロデイ攻撃の激化

　ソフトウェアの自動アップデートが一般化したことで、悪意を持つハッカーが無防備な犠牲者のPCに悪意のあるソフトウェアを組み込むのも難しくなった。その結果、今年はゼロデイ攻撃の件数がかつてないほど増加した。

　ゼロデイ攻撃とは、ソフトに含まれる報告されていない不具合を利用するもので、SANSインスティチュートによると、今年最大の懸念事項になったという。実際、今年初めには、悪意を持つ複数のハッカーがInternet ExplorerのWMF（Windows Meta File）文書処理機能に含まれる不具合につけ込むゼロデイ攻撃用のコードをリリースした。

　また今年後半には、マイクロソフトのOfficeに含まれる未対応の不具合を利用する、ターゲットを極端に絞り込んだオンライン攻撃が相次いだ。同社は12月5日にも、ゼロデイ攻撃（Wordの不具合をターゲットにしたもの）に関する警告を出している。

　ゼロデイ攻撃の影響が広範囲に及ぶことを強調するため、セキュリティ研究者たちは、「Month of Kernel Bugs」プロジェクトと「Month of Browser Bugs」プロジェクトを立ち上げ、実施期間中は、WebブラウザやOSに含まれる、対策が講じられていない新たな脆弱性を毎日公表した。