海の向こうの“セキュリティ”

第81回

対マルウェア防御機能が優れたウェブブラウザーは? ほか

 5月もセキュリティ関連の話題にこと欠かない1カ月でしたが、まず日本国内では、最大2200万件のYahoo! JAPAN IDが不正アクセスにより流出した可能性があることが明らかになったほか、自民党治安・テロ政策調査会が、官民による新組織「総合的サイバー犯罪対策のための産学官連合」(日本版NCFTA)を新設することなどを盛り込んだ提言案をまとめ、その中でログの保存を義務化する内容が含まれているとの報道がありました。

 一方、海外に目を向けると、インドでは今年の4月から国民の電話やインターネットなどの通信のすべてを監視するシステムを運用しており、本来はテロ対策目的だったはずが、法執行機関だけでなく、政府や税務当局も合法的に利用できることから、政府によるプライバシー侵害が指摘されています。

 ほかには、2010年に明らかになったGoogleに対するサイバー攻撃「Operation Aurora」の目的が、中国情報機関の諜報員に対する米国の法執行機関による監視状況を探ることだった可能性があるとの報道がありました。

インドからのAPT攻撃

 APT攻撃を含む標的型攻撃の発信元というと、一般的には中国、そして米国やイスラエル、東欧といったイメージがあると思いますが、ノルウェーのセキュリティ企業Normanが、インドを拠点としている(とみられる)グループによる標的型攻撃が過去3年以上に渡って行われている実態を詳細に調査した報告書を公開しました。

 今回の報告書は、2013年3月に明るみになったノルウェーの大手通信会社Telenorに対する標的型攻撃について、NormanがノルウェーのCSIRTであるNorCERTから提供された痕跡ファイルのMD5ハッシュやC&Cサーバーに関する情報をもとに詳細な調査を進めて行く中で明らかになったものをまとめたものです。

 なお、Telenorへの攻撃は、同社幹部への標的型攻撃メールが侵入の入り口だったとみられています。

 報告書によると、マルウェア等の詳細な分析により、攻撃はTelenorだけでなく、世界中のさまざまな企業や政府、警察組織に対して行われていたことが判明し、使用されたマルウェアの名前から一連の攻撃は「Operation Hangover」と呼ばれています。

 攻撃の目的は主に国家安全保障に関する調査だったとみられています。また、産業スパイも行われていましたが、特定の業種を狙っていたわけではなく、天然資源、通信、法曹、食品、外食、製造など、幅広い業種・業界に渡っていたようです。

 攻撃先のIPアドレスを国別でまとめると、圧倒的に多いのはパキスタンで全体の約6割を占めており、それ以外ではイラン、米国、台湾、シンガポールの順となっています。また、政府機関や軍隊だけでなく、民間団体も含まれています。

 インド国内に対する攻撃もあり、インド北西部パンジャブ州におけるシーク教徒による分離独立運動やインド北東部ミャンマー国境付近のナガランドの独立運動をターゲットとしていたようです。

 このように政治的な意図が明らかな攻撃ですが、Normanが調査した限りではインド政府が直接関与していることを示すものはなかったようです。その一方で、バイナリファイルの中身や関係するドメインの登録などに、インドのセキュリティベンダー「Appin」を示す文字列が頻繁に見られることから、意図的か否かは別として何らかの関与の可能性が示唆されています。このことに対し、Appin側は(当然ながら)関与を否定し、Appinの名前が含まれているのはAppinを貶めるためのものであるとしています。

 標的型攻撃に関しては「中国」に注目しがちですが、今はどこの国から行われてもおかしくない時代であり、中でもインドのように人口の多い国であればなおのこと。今回のNormanの報告書は、そんな当たり前のことに改めて注意を喚起するものになったと言えるでしょう。

対マルウェア防御機能が優れたウェブブラウザーは?

 ウェブ経由でのマルウェア感染が一般化する中、メジャーなウェブブラウザーには、それ自体にマルウェア感染を防ぐ機能が設けられています。この機能は、ブラウザーの脆弱性を悪用するタイプのマルウェアではなく、ユーザーにダウンロード・実行させて感染するタイプのマルウェアに対してダウンロード前に警告を発するなどして防御するというのが一般的です。

 この防御機能について、実際にそれぞれのブラウザーがどの程度の防御率を持っているかを調べた結果が公開されました。これは、米テキサス州オースティンを拠点とするNSS Labsが、以下のブラウザーについて調査した結果をまとめたものです。

 ・Apple Safari 5
 ・Google Chrome 25/26
 ・Microsoft Internet Explorer 10(IE10)
 ・Mozilla Firefox 19
 ・Opera 12

 調査期間は2013年3月13日から4月9日で、対象とした「危険」なURLは754です。また、それらのURLが稼働を停止するまで6時間ごとにアクセスしてブラウザーが警告を発するか否かを調べています。

 実験の結果をグラフ化したのが図1です。

図1:各ブラウザーのブロック率

 これらの結果を見ると、IE10のブロック率の高さが際立っていますが、これにChromeが競っており、それ以外の3つとは段違いの差を見せています。特にOperaに至っては「ほとんど機能していない」と言っても過言ではありません。しかし、どのような手法でブロックしたのかという内訳を含めて示した図2を見ると、印象がかなり変わってきます。

図2:各ブラウザーで使用されているブロック手法の内訳

 図の中で青で表記されている「URL Reputation」だけでの比較ではIE10が突出しており、「URL Reputation」だけで、Chromeの全ブロック率とほぼ同じ値を示しています。それに対し、「URL Reputation」だけではChromeもSafariやFirefoxとほとんど違いがありません。これは、「URL Reputation」としてChrome、Safari、Firefoxの3つは同じGoogleの「Safe Browsing API」を使っているからで、これに対し、IE10はMicrosoft独自の「SmartScreen」を使っているという違いがこの差を生んでいます。

 Chromeのブロック率を大幅に向上させていてる「Download Protection」は、CAMP(Content-Agnostic Malware Protection、内容にとらわれないマルウェア防御)と呼ばれる手法を用いており、Googleの論文によれば、従来のSafe Browsing APIによるブロック機能に加えてCAMPを導入することでブロック率は99%近くになるとされています。

 これに対してNSS Labsは、CAMPがその定義からして誤検知やユーザーによるエラーを生み易いと断じています。そして、誤検知が多いことをカバーするため、ユーザーに対してはブロックするか否かを選択させるインターフェイスになっており、ソーシャルエンジニアリング攻撃に不慣れなユーザーに対しては安全なブラウジングを提供しているとは言えないとしています。これはIE10が採用しているMicrosoft独自のCAMPである「Application Reputation(App Rep)」も同様です。

 さらに、Googleが論文内でCAMPによって99%のブロック率を得られるとしているのに対して、今回の実験では83%程度にとどまっていることについてNSS Labsは、99%という数字は理論上の見積値でしかなく、83%は実際のブロック率であるとしています。

 ブロック率の時間変化を示したのが図11です。

図11:ブロック率の時間変化

 IE10のブロック率の高さはここでも際立っており、この結果はMicrosoftのReputation機能の実装が、実際のマルウェア検知(ウイルス検知ソフト)よりも有効であることを示しています。

 ウェブからのマルウェア感染に対しては、ウイルス検知ソフトによる同様の機能でも防げますが、それはあくまで「最後の砦」。最近のマルウェアはウイルス検知ソフトでは防げないものも多いため、多段での防御が必要とされています。少なくとも防御率の低いSafariやFirefox、Operaについてはアドオンを使うなど、ブロック機能を「加える」ことが推奨されます。

韓国のサイバーテロ対策案

 3月20日に韓国で起きたサイバーテロについて詳細が明らかにされる一方、韓国では同じような事態に備えた対策を進めています。

 そんな中、韓国未来創造科学省が6月初めに「サイバーセキュリティ強化総合対策」を発表することが明らかになり、その概要が報道されました。あくまでまだ「案」に過ぎませんが、簡単に紹介します。

1)主な放送局を国家基盤施設として追加指定し、経営公示制度のように各企業が自社のセキュリティ状況を公示する。これによりセキュリティに対する実質的投資を誘導。

2)円滑な初期対応のために、韓国インターネット振興院などの関連機関に捜査権を付与する。

3)中小企業向けのDDoS待避所を構築する。これは、DDoS攻撃が発生した場合にまずトラフィック全体を待避所に移動させ、容量が十分なセキュリティ装備によってDDoS攻撃を一次的に取り除いた後に正常トラフィックだけを既存サイトに送信するというもの。

4)情報保護産業の育成のため、まずセキュリティコンサルティング業者の登録条件を緩和して、より多くの企業が市場に入れるようにする。

 イケイケの韓国の風土を考えると、これらの案がそのまま議会で承認される可能性もありますが、企業の「セキュリティ状況」が具体的に何を指すのかもよく分かりませんし、いずれも「本当にできるの?」「(そもそも)効果は本当に期待できるの?」という点でいろいろと興味深いので、状況は注視していきたいです。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。