Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

セキュリティ担当者会議「Joint Workshop on Security 2008」が東京で開催


「Joint Workshop on Security 2008, Tokyo」が東京・秋葉原のUDXギャラリーで開催された
 企業や組織でセキュリティ対策やインシデント対応にあたるCSIRT(Computer Security Incident Response Team)間の意見交換を目的とした会議「Joint Workshop on Security 2008, Tokyo」が、東京・秋葉原のUDXギャラリーで25日~26日の2日間にわたり開催されている。

 Joint Workshop on Security 2008, Tokyoは、CSIRTの国際組織であるFIRST(Forum of Incident Response and Security Teams)に加盟する日本国内のCSIRTで構成されるJFIRST2008運営委員会が主催。JFIRST2008運営委員会は、JPCERT/CCやCFC(警察庁情報通信局)のほか、IIJやNTTなどのCSIRT10チームが参加。また、Telecom ISAC-JapanやIPAなどのほか、シマンテック、トレンドマイクロ、マカフィー、カカクコム、楽天などが協賛している。

 会議は、単独のCSIRTでは解決困難な事態に対して、CSIRT間の信頼関係に基づいた体制作りを推進するための意見交換の場となることを目指して開催。会議には国内だけでなく海外からも多くのCSIRT関係者が参加し、攻撃やセキュリティ対策の状況、災害対応、セキュリティガバナンスなど多数のテーマに渡る講演が行なわれる。


社会インフラの基盤となるIT技術、技術者にも説明責任が問われる

奈良先端科学技術大学院大学の山口英教授
 25日の午前中には、オープニングスピーチとして奈良先端科学技術大学院大学の山口英教授が講演。IT技術はあらゆる生活インフラの基盤になっているという現状を紹介し、システムが止まると生活に深刻な影響を及ぼすとして、止まらないシステムをどのように作っていくのかというマネージメントが今後さらに重要になっていくと訴えた。

 今後はさらに各種のインフラやシステムがIT技術によって統合されていく中で、ユーザーにとってはすべてがつながっているというシステムを前にした際に、その中で行なわれていることへの信頼感や安心感が得られるようになっていかなければいけないと主張。システムは統合されることで利便性は高まるが、「1つの巨大なシステムが出来上がっていくのは怖い」という不安に対して、どのように説明責任を果たしていくのかは、システムを構築する技術者にとっての課題でもあるとした。

 また、システムは技術者のために存在するものではなく、ユーザーのために存在するものであるという観点が、コンピュータシステムが生活インフラを支える基盤となっていく中でさらに必要になってくると説明。「技術者も難解な技術者用語ではなく、ユーザーに通じる言葉で説明しなければいけない時代が来ている」と呼びかけた。


複雑化する標的型攻撃、脅威の解析ツールやエンジニアの育成が課題

情報処理推進機構(IPA)の鵜飼裕司氏
 続いて登壇した情報処理推進機構(IPA)の鵜飼裕司氏は、特定の企業や組織などを狙った「標的型攻撃」に関する調査の結果を紹介した。

 鵜飼氏は近年の攻撃の特徴として、攻撃もダウンローダーと実際に活動するウイルスが分離されているなど複雑化しており、未発見の脆弱性を利用するなど巧妙化していると指摘。さらに標的型攻撃では、攻撃の発端はウイルスなどのマルウェアをメールで送りつけるといった旧来の攻撃手法と同様だが、特定の企業や組織だけを狙っているため検体の収集も困難になっているとした。

 また、マルウェアを解析するためのツールも開発されているが、検体を入手してそれに対するパターンファイルを作成するという目的では有効ではあるものの、マルウェアの活動を詳細に分析することまでは難しいとして、調査では実際に標的型攻撃に用いられたウイルスをリバースエンジニアリングにより詳細に調べることで、攻撃全体がどのような形をしているかといった分析を行なったとした。

 鵜飼氏は今回分析した「Mdropper」の詳細を紹介。MdropperはWordの脆弱性を利用するトロイの木馬で、ユーザーがWordファイルを開くと攻撃コードをエクスプローラに埋め込み、一方では開いたWordファイルからは攻撃コードを取り除き「無毒化」してしまうことで、事後の検出を困難にするという。

 エクスプローラに埋め込まれた攻撃コードはキーロガーとして動作するとともに、さらにInternet Explorer(IE)に別の攻撃コードを埋め込み、IEに埋め込まれた攻撃コードが外部のサーバーとの通信を行なうという複雑な仕組みになっていると説明。攻撃コードは難読化されているなど、解析を困難にするための対策が施されているとした。

 また、ウイルス対策ベンダーの分析では、Mdropperは外部からの命令(コマンド)を受け取るとされていたが、実際に分析したところコマンドではなくプログラム(実行コード)をサーバーから受け取っていることが判明したという。鵜飼氏は、マルウェアの自動解析では外部サーバーからダウンロードされるものがコマンドかコードかを見分けることは難しく、表面的に見える挙動のトレースだけでは脅威の本質的な分析が不正確になってしまうケースがあると指摘した。

 鵜飼氏はこうした分析から、最初に送りつけられてくるマルウェアは単なるダウンローダーで、サーバーから送られてくる「2番目のマルウェア」こそが本当の脅威となっているが、これはただ検体を調べるだけでは脅威を正しく分析できないと指摘。解析は思ったよりも複雑で困難だったとして、今後は解析を補助するためのツールの開発や、解析技術を持つエンジニアの育成が重要な課題だと語った。

関連情報

URL
  Joint Workshop on Security 2008, Tokyo
  http://www.first.org/events/colloquia/mar2008/program/

関連記事
不必要なポートの遮断などが有効、IPAが標的型攻撃の調査報告書(2008/03/19)


( 三柳英樹 )
2008/03/25 17:49

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.