偽ルータによる「サプライチェーン攻撃」とは、米SANS代表が解説

米SANS Institute代表のアラン・パーラー氏

　情報セキュリティの最新動向を紹介するイベント「SANS Future Visions 2009 Tokyo」が16日と17日、東京・台場のホテル日航東京で開催されている。同イベントに伴い、米セキュリティ機関のSANS Institute代表のアラン・パーラー氏が来日。「いま注目される新しいセキュリティの潮流」と題して、情報セキュリティの最新動向について解説した。

　パーラー氏は、最も破壊力のあるセキュリティ攻撃として、次の3つを挙げた。

　1）ソーシャルエンジニアリングとゼロデイ攻撃の融合
　2）閲覧者をウイルスに感染させる信頼されたサイト
　3）サプライチェーン攻撃

　1）については、米salesforce.comの従業員がフィッシング詐欺の被害に遭い、同社の顧客リストが流出した事例を紹介した。攻撃者はFTC（米連邦取引委員会）を装い、不正なサイトへのリンクを含むフィッシングメールをリストの顧客に送信。メールには顧客の氏名や役職が書かれていたことから、多くの人がリンクをクリックしたという。

　不正サイトにアクセスした顧客のPCに脆弱性が存在した場合には、キーロガーがインストールされた。パーラー氏は、「多くのPCがMicrosoft Updateで自動アップデートされているが、『Adobe Flash Player』などのプラグインは更新されていないこともある」と指摘したほか、こうした手口ではゼロデイ攻撃が行われる可能性もあるとした。

　2）については、一般的に信頼されているサイトが改ざんされていると指摘。攻撃者はSQLインジェクション攻撃で不正なスクリプトをサイトに埋め込むことで、閲覧したユーザーのPCにウイルスを感染させているとした。具体的には、国連や米国土安全保障省、セキュリティ企業のCAなどのサイトがこれまでに改ざん被害に遭っていると説明した。

　3）については、海外で製造されたCisco製ルータの偽物が米国内で出回ったことを挙げた。パーラー氏によれば、正規製品が1375ドルであるのに対して、偽物は234ドル。偽物が販売された理由は「単なる金儲けのため」と指摘する一方で、「偽ルータが製造された国の政府はアナウンスを出ていないが、国家ぐるみの行為と見ている」という。

　さらに、「ある国家が偽ルータを使って通信を遮断すれば、相手国のIT環境を混乱させることもできる」と懸念を示した上で、「実際に世界中のさまざまな国の政府は、他国のコンピュータを乗っ取りたいと考えている。偽ルータのようなサプライチェーン攻撃を政府が認めれば、企業は堂々と犯罪を行える」と語った。

　これら3つの攻撃についてパーラー氏は、「止められない状況」とコメント。こうしたことから情報セキュリティに対する予算は今後、「ファイアウォールなどの境界線セキュリティではなく、脅威がシステムに侵入した後の対応に多く割かれるようになるだろう」と話した。実際に米国政府の予算もそのようになっているという。

　また、脅威に対抗するためのセキュリティ専門家に求められるスキルも高まっていると指摘。具体的には、フォレンジック、ネットワーク分析、マルウェアのリバースエンジニアリング、アプリケーションの侵入テスト、セキュリティ監査などの人材が求められるとしたが、「これらの高度なスキルを持つ人材は10％程度」（パーラー氏）だという。

　このほかパーラー氏は、7月7日に韓国や米国の政府サイトなどに仕掛けられたDDoS攻撃についても言及。「MyDoom」の亜種に感染して乗っ取られたPCが、いっせいにDDoS攻撃を行ったことで、一部の政府サイトがアクセス不能になるなどの被害を受けたと説明した。対応方法としては、「Akamaiを使ってトラフィックを分散させた」という。