個人によるいたずらや小遣い稼ぎの領域を超えた「闇ビジネス」も成立するようになってきた。そのビジネスではウイルスのサプライチェーンが組織化されており、ウイルス作者と攻撃実行者、両者を仲介する者、そして遠隔操作可能な攻撃用サーバをあらかじめ多数用意(気付かれないよう遠隔操作ウイルスに感染させておく)して「ボットネット」と呼ばれる攻撃用ネットワークを形成し、それを時間貸しする者などが連携して、それぞれ専門性をもって効率的に攻撃できる体制ができている。連携できるのは、主として金銭の見返りが期待できるからのようだ。
この、攻撃が「マネタイズ」できるところが昔と今とで大きく違うところだ。ウイルスをスパイに仕立てて機密情報を奪う(そして恐らくは売却する)標的型攻撃や、システム資産を人質にとって脅迫で身代金をとるランサムウェア、オンラインバンキングから預金を奪う不正送金ウイルスなどが生まれ、不正に得た利益を分配できる仕組みができている。
だからこそコストをかけた技術開発や新手口の開発が進むのだ。昔からのゆがんだ自己顕示欲を動機とするウイルス攻撃者も相変わらず存在する中で、一部は専門特化してプロ犯罪者集団と化しているというわけだ。
なおプロ化といえば、これらの個人やグループのレベルとは次元が違うプロフェッショナル集団が関わっているとみられる国家レベルでのサイバー攻撃もある。例えば標的型攻撃の仕組みが明るみに出たのはイランの原発関連施設への攻撃(2010年)が発端であり、日本でも大手総合重機メーカーの情報が狙われた事件(2011年)などが起きている。
この種の攻撃には相当に高い技術力とコストが必要といわれ、高度な攻撃手法が利用されるようだ。そのため、それができるのは国家レベルでの活動でしかあり得ないと推定されているのだ。現在一般にまん延する攻撃は、彼らの手口を模倣、踏襲したものといっても過言でないだろう。
ともあれ近年目立つウイルスの動向を整理すると、次のようになろう。
現在では毎日、秒単位で新種、亜種のウイルスが誕生しているといわれている。それに従来型のアンチウイルスツールは十分に対応できていない。一説には、ウイルス検出率は「4割以下」ともいわれるほどだ。
といっても、この数字は未知のウイルスも含めた推測の値。現実的にテスト可能な既知のウイルスに関しては、メジャーなアンチウイルスツールは少なくとも90%以上、上位の数製品では99%超の検出率が第三者機関で確認されている。
この能力を用いていまだ終息してはいない従来型のウイルスからシステムを防御しつつ、最新のウイルス、未知のウイルスにどう対抗していくかが、現在のアンチウイルスツールが直面している課題だ。
ウイルスはコンピュータ内のファイル間やコンピュータ間で自分を複製する機能をもったプログラム。ワームはその発展形でコンピュータのメモリ内で自己増殖する機能をもったプログラム。トロイの木馬は感染力はないが、正当なプログラムであるかのように自分を偽装してシステムに侵入、破壊や改ざんを行う他、機密情報を収集して外部に送信する機能などを備えたもののこと。スパイウェアはキーボード入力などシステムで発生する情報を勝手に外部送信する機能をもつものをいう。これら全てを一くくりにした表現がマルウェア(悪意のあるソフトウェア malicious software)。ただし本稿では一般的な用法にならって、これら全てをウイルスと呼んでいる。
パターンマッチング方式の限界が明らかになっているわけだが、セキュリティツールベンダーは手をこまねいているわけではない。ウイルスパターンが分からなくても、怪しいものを検知、排除できる仕組みがこれまでも開発されてきた。例えば次のような機能やサービスだ。
こうした工夫により、パターンファイルがなくても安全をできる限り強化しようとしているのが現在の「総合セキュリティソフト」と呼ばれるアンチウイルスツールの注目すべきポイントだ。
次回の記事では、これら従来のアンチウイルスの範囲を超えたエンドポイントセキュリティの実際を、さらにその次の回ではホワイトリスト型システム運用によるウイルス対策について解説していく。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。