海の向こうの“セキュリティ”

　2010年最初となる今回は、まず2009年の「セキュリティ」を振り返ることから始めます。

●Gumblar、Conficker、狙われるSNS……

　毎年年末になると世界各国のセキュリティベンダーが1年間を総括したレポートを公開しています。レポートはそれぞれ異なった視点でまとめられているため、取り上げられる話題が微妙に異なりますが、当然のことながら大筋では似たような内容になります。

◆アンラボ、韓国の2009年10大セキュリティ脅威を発表
http://www.ahnlab.co.jp/company/press/news_release_view.asp?seq=4514&pageNo=1&news_gu=01

◆F-secure Q4 2009 Security Threat Summary
http://www.f-secure.com/2009/

　以下に、多くのレポートで共通して取り上げられている2009年の話題の中で特に印象的だったものをいくつか紹介します。

1）サードパーティアプリが攻撃対象に

　かつては、マルウェア感染や侵入などの攻撃に悪用される脆弱性と言えば、Windowsに代表されるOSの脆弱性がほとんどでした。また、OSそのものではなくても、OSのベンダーが提供しているアプリケーションの脆弱性が悪用されることも少なくありませんでした。これはつまり、使用しているOSのベンダーが提供するセキュリティ更新プログラムを適用していれば、多くの攻撃を防ぐことができたわけです（もちろんオープンソース系のOSの場合はこの限りではありませんでしたが）。

　しかし、そういった「常識」が覆されたのが2009年と言えるかもしれません。

IPAが公開した「MyJVN バージョンチェッカ」。インストールされているアプリケーションが脆弱性のあるバージョンかどうかチェックできる

　2009年に猛威を振るったマルウェアの1つである「Gumblar」はAdobe Readerの脆弱性を悪用して感染しますが、このようなサードパーティアプリの脆弱性を悪用する攻撃が特に目立ったのが2009年でした。

　OS、特にWindowsに関してはMicrosoft Update（またはWindows Update）の実行で既知の脆弱性を塞ぐことが既にセキュリティ対策の基本中の基本として知られています。しかし、Adobe Readerに代表されるサードパーティアプリの更新はついつい忘れがち。2009年はこのようなサードパーティアプリが大々的に攻撃対象として狙われるようになった最初の年と言えるかもしれません。

　そのような中、情報処理推進機構（IPA）は使用しているコンピューターにインストールされたアプリケーションが脆弱性のあるバージョンか否かをチェックしてくれる「MyJVN バージョンチェッカ」を公開しました。

　チェック対象となるサードパーティアプリの種類はまだ限られていますが、Adobe ReaderやFlash、Java、Firefox、QuickTimeといった広く利用され、実際に攻撃に悪用される可能性が高いアプリケーションは既に対象となっており、現時点でも十分に「使える」ツールと言えると思います。対象アプリの今後の拡充が期待されます。

◆MyJVN
http://jvndb.jvn.jp/apis/myjvn/

◆関連記事
　・IPA、インストールしているソフトが最新版かチェックするツール
　　http://internet.watch.impress.co.jp/docs/news/20091130_332419.html

2）Conficker

　2009年を代表するマルウェアとして「Conficker」が挙げられます。最初に登場したのは2008年末ですが、2009年も引き続き猛威を振るいました。Confickerの感染の仕組み自体は既知の手法であり、感染を防ぐこと自体はさほど難しいものではありません。それにもかかわらず、被害を拡大させたのは、基本的なセキュリティ対策が実は十分に実施されていないことを示しているとも言えますし、基本的過ぎて対策済みと思い込んでしまって実際には対策していなかったというケアレスミスが多いということを示しているとも言えるでしょう。その点では、Confickerは示唆に富んだマルウェアと言えるかもしれません。

　他にもConfickerに関しては、4月1日に攻撃を開始するとの指摘がなされたり、MicrosoftがConfickerの作者の逮捕に繋がるような情報に25万ドルの懸賞金をかけたりするなど、さまざまな話題がありました。

◆関連記事
　・「Conficker」ワームが4月1日に新たな活動を開始、各社が警告
　　http://internet.watch.impress.co.jp/cda/news/2009/03/31/22970.html
　・企業内でまん延する「Conficker」、システム管理者経由で感染拡大
　　http://internet.watch.impress.co.jp/cda/news/2009/05/21/23525.html

3）SNSが攻撃対象、攻撃媒体に

　SNSが攻撃の対象や攻撃の媒体に使われるようになりました。SNSを対象としたDoS攻撃、SNSを媒体として広まる悪性のスクリプトやSNSを使ったフィッシングなどです。このような攻撃は以前からもありましたが、2009年は利用者の拡大に伴い、より一層攻撃が目立ったようです。

　このような攻撃は、2010年はさらに深刻化すると思われます。システムを提供する側の対策が必須なのはもちろんですが、利用者側もより一層の注意が必要です。

●著作権、児童ポルノ関連の話題も

　次に、セキュリティベンダーによるレポートではあまり取り上げられていませんが、個人的に印象に強く残っているセキュリティ関連の話題をいくつか紹介します。

1）著作権法違反に対する厳罰化の動き

　日本でも著作権法の改正が行なわれましたが、国際的にも著作権に絡んだ動きが数多く見られました。特に、いわゆる“スリーストライク法”施行の動きがヨーロッパを中心に活発化したことは注目に値します。

　また、これに絡んで、スウェーデンのBitTorrent検索サイト「The Pirate Bay」に対するアクセス制限や、その運営者に対する裁判なども話題になりました。

◆関連記事
　・第30回：デンマークのISPに「The Pirate Bay」へのアクセス遮断命令　ほか
　　http://internet.watch.impress.co.jp/static/column/security/2009/03/03/index.htm

2）児童ポルノに対するヒステリックな対応

　国際的に児童ポルノに対する規制が強化されている中、欧米では「行き過ぎた」対応がさまざまな悲劇を生んでいます。これは数年前から指摘されているものですが、例えばマルウェアが勝手にダウンロードした児童ポルノ画像のために逮捕・起訴されてしまったケースなど、司法当局側に冷静な判断力と十分なフォレンジクス技術があれば生まれなかった悲劇もあり、今後の改善が強く求められます。

◆関連記事
　・第39回：サイバー犯罪捜査支援の無償ツール「BATTLE」提供開始　ほか
　　http://internet.watch.impress.co.jp/docs/column/security/20091203_332994.html

3）韓国DDoS「7・7大乱」

　7月に米国と韓国で発生した大規模DDoS攻撃。結果的に米国では深刻な被害には至らなかったものの、韓国ではかなりの被害を生んだようです。また、その手法がこれまでの単純なボットネットを使ったDDoS攻撃とは若干異なっており、技術的な観点からも興味深い事件でした。現時点でも全容は明らかになっていないようなので、今後も引き続き注目していきたいと思っています。

◆関連記事
　・Gumblar、中国のDDoS事情など「脅威のトレンド」振り返る
　　http://internet.watch.impress.co.jp/docs/event/iw2009/20091124_331127.html
　・第35回：韓国での大規模DDoS攻撃、技術的側面とその後の影響
　　http://internet.watch.impress.co.jp/docs/column/security/20090804_306868.html

4）FIRST年次会合、初の日本開催

6月28日から7月3日まで京都で開催された「FIRST Conference」の会場

　CSIRT（Computer Security Incident Response Team）とその周辺で長年生活して来た者にとって、2009年で忘れてならないのは、CSIRTの国際フォーラムであるFIRST（Forum of Incident Response and Security Teams）の年次会合が日本で初めて開催されたことです。

　毎年年次会合が行われる6月末から7月頭にかけての時期は、日本ではちょうど梅雨であり、おせじにも快適とは言えない季節。また、日本は国際的に見るとアクセスの良い場所とは言えません。そんなこともあり「どれだけの方が参加してくださるんだろうか？」と不安でもありましたが、ふたを開ければ例年と同程度の参加者。もちろん日本からの参加者が多数を占めたのですが、それでも十分な参加者と充実した内容で成功に終わり、海外からの参加者も満足されていたようです。

◆21st Annual FIRST Conference KYOTO
http://conference.first.org/2009/

◆関連記事
　・第34回：「FIRST Conference」京都で開催、世界から約400人参加
　　http://internet.watch.impress.co.jp/docs/column/security/20090709_300875.html

●2010年のキーワードは？

　最後に、2010年の「セキュリティ」がどうなるか、個人的な考えを述べさせていただきます。

　現時点で言えることは、「2009年の状況がさらに進む」ということです。

　例えば、サードパーティアプリが攻撃対象として狙われる状況はますます深刻化するでしょう。サードパーティアプリの未公開・未修整の脆弱性が悪用されるゼロデイ攻撃はますます増えていくでしょうし、対象となるサードパーティアプリの種類も増えていくことは間違いありません。「MyJVN バージョンチェッカ」のようなツールや仕組みの必要性がより一層高まるでしょう。

　また、攻撃の対象や媒体もさらに拡大して行くでしょう。例えば、2009年から既に発生していますが、いわゆるクラウドを対象とした攻撃や、クラウドを悪用した攻撃はますます増えて行くと考えられます。これは「クラウドというもののセキュリティ」がまだ十分に検討されていない、言い換えれば「経験値」が足りないからだと思われます。2010年は「クラウドのセキュリティ」がキーワードになるかもしれません。

　そしてこれは毎年のように言っていることなので、既に「狼少年」状態になってしまっているのですが、今年もあえて言わせていただくのは「CSIRT」です。

　ここ数年で日本企業におけるCSIRT構築の動きは以前に比べるとかなり活発化して来ましたが、欧米各国に比べるとまだまだ十分とは言えません。

　一方、企業を取り巻くセキュリティ上の脅威はますます複雑かつ深刻化しています。このような状況で十分なセキュリティ対策と的確なインシデント対応を行なうにはCSIRTの構築は必要不可欠です。とはいうものの、そもそも「欧米の文化」とも言うべきCSIRTの概念をそのまま日本企業に適用するのはなかなか難しいこと。したがって、今求められるのは日本企業の特性に合わせたCSIRTの構築、およびそのための指針ではないかと思います。事実、そのような指針の作成に向けた動きが、既に構築済みの日本国内CSIRTをベースに進められているようです。期待して良いのではないかと思います。

◆関連記事
　・CSIRTのトレーニングワークショップ「TRANSITS」、日本で初開催
　　http://internet.watch.impress.co.jp/cda/news/2009/03/12/22754.html