 |
 |
記事検索 |
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
| 海の向こうの“セキュリティ” | |||||||||||
 |
|||||||||||
|
第16回:中国の「悪性Webサイト」に関する研究 ほか
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
■2007年の傾向と2008年の予想 今回は2008年の最初ということで、セキュリティベンダーなどが発表した2007年のセキュリティの傾向と、2008年のセキュリティの動向に関する予想などを紹介します。 まずSymantecが、少々早めですが11月末にセキュリティ10大ニュースを発表しました(「Symantec Security Response Weblog」2007年11月23日付記事)。 1. 情報漏洩 かつては英語圏のみの問題で、日本人にとっては対岸の火事だった「フィッシング」が、2007年には日本でも深刻な被害を生んでいるというのは、少々感慨深い(?)ものがありますが、Symantecが挙げた10項目は、基本的にはいずれも日本と海外の間で特に大きな差はありません。 また、これらの項目は、「Windows Vista」を除けば、いずれも以前からある話題とも言えます。それでも特に2007年を代表するものとしてインパクトがあったのは、「プロ向け攻撃ツール」と「有名サイトの悪用」であり、ここで鍵になるのがプロ向け攻撃ツールの代表格であるMPackです。 もちろんMPack以前から、さまざまな攻撃ツールがネット上に出回っていましたし、中には「販売」されていたものもありました。しかし、MPackが衝撃的だったのは、「プロの犯罪者」向けに大々的に販売され、実際にそのツールによるものと思われる被害が目に見える形で多発した点です。 さらに、そのMPackが攻撃において行なうのが、Webコンテンツを改竄して、マルウェアを仕込むこと。これが有名サイトの悪用に繋がっています。 以前はマルウェアを感染させるには、メールに添付した実行ファイルをソーシャルエンジニアリング的手法でユーザーに実行させる方法が多かったのですが、現在は違ってきています。有名なサイト、すなわちユーザーが信頼しているサイトにこっそりマルウェアを仕込んでおくことで、そこに安心して(油断して)アクセスしてきたユーザーのパソコンに感染させるのです。 このようなWebサイト経由のマルウェア感染は以前からありましたが、2007年の特徴的な事象として、マルウェアの感染経路の中心がメールからWebに変わってきたという点にあり、これは日本でも観測されている事象です(「ニフティ伊藤求のセキュリティ・スコープ」2007年12月25日付記事)。 次にSymantecは同じく11月末、2008年のセキュリティ予想を発表しました(「Symantec Security Response Weblog」2007年11月26日付記事)。 「ボット」「Webベースの脅威」「モバイル端末」「スパム」「オンラインゲーム」などがキーワードとして挙げられていますが、ここで注目すべきは、2008年11月に行なわれる米大統領選でしょう。 2004年の大統領選でもインターネットがさまざまな形で利用されてきましたが、今回はさらに広い範囲で利用されることは間違いなく、それに伴って献金、偽情報の流布、詐欺、フィッシング、プライバシーの侵害などさまざまな脅威が想定されています。 2008年のセキュリティ予想としては、Websenseも興味深い発表をしています(「Websense Security Labs Threat Blog」2007年12月5日付記事)。 この中で、まず注目すべきは北京オリンピックでしょう。 北京オリンピック関連では、すでに11月にチケットが当たったという内容のフィッシングメールが出回ったりしましたが、さらに別の手口のフィッシングや詐欺行為が行なわれるであろうことは容易に想像ができます。 一方、Websenseは中国のオリンピック関連サイトなどへのDDoS攻撃を予想していますが、逆に開催国が中国ということもあり、競技の結果によっては、中国から海外、特に日本への攻撃が大規模に行なわれる可能性の方が高いのではないかと思われます。 また、Symantecが2008年の予想に挙げた「Webベースの脅威」と本質的に同じものとして、ブログやSNSなどへの脅威の増大についても、いくつかのポイントに分けて細かく言及しています。具体的には、コメントスパムやトラックバックスパム、SNSで広まるワーム(2005年のSamyワームのようなもの)などのことを指しています。 Websenseは他にもいくつかの予想を立てていますが、その中で興味深いのは、標的型攻撃(Targeted Attack)が企業や組織だけでなく、特定のコミュニティに対して行なわれる可能性についてです。 ブログやSNSに掲載される内容やチャットで交わされる内容、特定のサイトで交わされる書き込みの内容を観察すれば、どのような年代の、どの程度の収入がある人か、またどのようなものを買いたがる傾向があるかなどが比較的容易に予想できてしまいます。そして、これらの情報を巧みに使えば、より効率的なフィッシングなどの詐欺行為やマルウェア感染が見込めるというわけです。 この点については、ブログなどに「日記」として個人的な嗜好を書く人が特に多い日本では、より一層の注意が必要かもしれません。 ■URLSymantec Security Response Weblog(2007年11月23日付記事) A Look Back at the Security Trends of 2007 http://www.symantec.com/enterprise/security_response/weblog/2007/11/a_lookback_at_the_security_tre.html ニフティ伊藤求のセキュリティ・スコープ(2007年12月25日付記事) 第4回 Web proxy型アンチウィルスのススメ! http://www.nifty.com/security/sec_exp/column/column_05.htm Symantec Security Response Weblog(2007年11月26日付記事) A Look Ahead to Security Trends in 2008 http://www.symantec.com/enterprise/security_response/weblog/2007/11/a_look_ahead_to_security_trend.html Websense Security Labs Threat Blog(2007年12月5日付記事) 2008 Security Predictions http://www.websense.com/securitylabs/blog/blog.php?BlogID=163 ■Webアプリのセキュリティを扱うコミュニティ ITセキュリティ関連のコミュニティは世界中に数多く存在しますが、その中でも、特にWebアプリのセキュリティに対して活動しているコミュニティ「OWASP(Open Web Application Security Project)」を紹介します。 OWASPは、信頼できるアプリケーションの開発、購入および保守を可能にすることを目的とした非営利団体であり、オープンなコミュニティでもあります。 また、OWASPはセキュリティに関する単なる理屈や理論ではなく、すぐに利用できるという点を重要視していることもあり、OWASPがWebなどを通じて提供するソフトウェアやドキュメントなどは基本的にすべてGNU Lesser General Public License(LGPL)またはGNU Free Documentation License(GFDL)に従って配布されています。 この「利用可能重視」のポリシーは、OWASPが開催するカンファレンス「AppSec」のプレゼンテーション資料が、PDFではなく、再利用しやすいようにPowerPointのデータ(PPT)で公開されている点にも如実に表われています。 AppSecは年に3、4回ほど開催されていますが、去る2007年11月にサンノゼで開催された「OWASP & WASC AppSec 2007 Conference」は、同様の団体である「WASC(WebApplication Security Consortium)」との初めての共催で行なわれました。 このカンファレンスで特に注目を集めたのは、2005年の秋にMySpaceで急激に広がり、「Web 2.0時代の新種ワーム」として話題になったSamyワームの作者、Samy Kamkarによる発表「The MySpace Worm」(PPTファイル)です。 この発表では、作者自らがSamyワームの仕組みと、感染に悪用した脆弱性とその修正点について、かなり具体的に解説しています。 ところで、先ほど紹介したSymantecとWebsenseの2008年の予想にもあるように、Webベースの脅威は今後ますます増大すると考えられます。 これまで脆弱性といえば、パソコンやサーバー上で動くソフトウェアにばかり目が行きがちでしたが、今後はWebアプリの脆弱性にも、これまで以上に注意が必要です。そのためにも、OWASPのような活動がより一層活発になることが望まれますが、残念ながら11月のサンノゼのカンファレンスでは、日本人の参加者はほとんどいなかったようです。 そのようなわけで、日本からも1人でも多くの方にOWASPの活動に関わっていただくとともに、(可能であれば)日本からも多くの方がカンファレンスに参加して、活発な意見交換をし、日本だけでなく、世界中のWebアプリのセキュリティレベルの向上に貢献してくれたらと思っています。 ■URLOpen Web Application Security Project http://www.owasp.org/ OWASP & WASC AppSec 2007 Conference http://www.owasp.org/index.php/OWASP_%26_WASC_AppSec_2007_Conference WASC(Web Application Security Consortium) http://www.webappsec.org/ Wikipedia - Samy(XSS) http://en.wikipedia.org/wiki/Samy_(XSS) The MySpace Worm(PPTファイル) http://www.owasp.org/images/7/79/OWASP-WASCAppSec2007SanJose_SamyWorm.ppt ■中国の「悪性Webサイト」に関する研究 最後に北京大学の研究者による興味深い論文「Studying Malicious Websites and the Underground Economy on the Chinese Web」(PDF)を紹介します。 世界中のあちこちで起こるインシデントに、何かと「中国(方面)からの攻撃」といった言葉が付くことが多かった2007年でしたが、この論文は、中国の研究者がドイツの研究者と共同で、中国のWebサイトを対象に、中国の「悪性Webサイト(Malicious Websites)」の実態などを調査・研究した結果をまとめたものです。 なお、この論文における「悪性Webサイト」とは、大雑把に言えば、Windows XP SP2中国語版の標準(パッチ未適用)状態のPC(厳密にはVMwareを使ったハニーポット)からInternet Explorer(IE)6でアクセスした後に、システムが改変されたものと定義されています。そのため、パッチが適用されているIEや他のブラウザでも、同じように危険というわけではありませんし、逆にIEでは安全でも、他のブラウザでは危険であるという可能性もあるわけです。 調査結果によると、中国において一般的なユーザーが最もよく訪れる14万4,587件のWebサイトのうち、平均して1.49%が「悪性Webサイト」だったそうです。また、Webサイトを「フリーダウンロード」「スポーツ・エンターテイメント」「映画・テレビ」などの12カテゴリーに分類すると、(ある程度予想通りですが)フリーダウンロードのカテゴリーに分類されるWebサイトでは問題のあるサイトの比率が1.92%と高かったそうです。その一方で、eビジネスのサイトでは0.65%、ユーザーコンテンツ(一般ユーザーが作成したサイト)では0.45%だったそうです。 さらにアンチウイルスソフトで検知を行なったところ、最も検知率の高かったソフトでも36.7%しか検知できなかったそうです。これについて論文の著者は、アンチウイルスベンダーが、まだ「悪性Webサイト」の脅威に対して十分な注意を払っていないからだとしています。 中国では、圧倒的にWindows+IEのユーザーが多いということ、またパッチ未適用の割合が高いという点を考慮すると、中国国内においては、この論文が示す「1.49%」という数字は、中国のパソコンに対する「Webベースの脅威度」とそのまま言い換えてもよいかもしれません。 さらにこれに加えて、メール経由でのマルウェア感染や、昔ながらのトロイの木馬によるマルウェア感染を鑑みれば、中国国内のパソコンがいかに大量に「汚染」されているかが容易に推測できるのではないかと思います。 ■URLStudying Malicious Websites and the Underground Economy on the Chinese Web (PDF) http://honeyblog.org/junkyard/reports/www-china-TR.pdf (2008/01/08)
- ページの先頭へ-
|
