闇ビジネスが成立する新世代スクリプトキディは凶悪、代替わりを迫られるアンチウイルス対策:IT導入完全ガイド(3/3 ページ)
組織化、凶悪化するスクリプトキディに狙われた企業はどう守るべきか。従来型のアンチウイルスの限界と新世代アンチウイルス対策としてのエンドポイントセキュリティを紹介する。
毎秒発生する新種、亜種ウイルス、それを利用する闇ビジネスも成長
個人によるいたずらや小遣い稼ぎの領域を超えた「闇ビジネス」も成立するようになってきた。そのビジネスではウイルスのサプライチェーンが組織化されており、ウイルス作者と攻撃実行者、両者を仲介する者、そして遠隔操作可能な攻撃用サーバをあらかじめ多数用意(気付かれないよう遠隔操作ウイルスに感染させておく)して「ボットネット」と呼ばれる攻撃用ネットワークを形成し、それを時間貸しする者などが連携して、それぞれ専門性をもって効率的に攻撃できる体制ができている。連携できるのは、主として金銭の見返りが期待できるからのようだ。
この、攻撃が「マネタイズ」できるところが昔と今とで大きく違うところだ。ウイルスをスパイに仕立てて機密情報を奪う(そして恐らくは売却する)標的型攻撃や、システム資産を人質にとって脅迫で身代金をとるランサムウェア、オンラインバンキングから預金を奪う不正送金ウイルスなどが生まれ、不正に得た利益を分配できる仕組みができている。
だからこそコストをかけた技術開発や新手口の開発が進むのだ。昔からのゆがんだ自己顕示欲を動機とするウイルス攻撃者も相変わらず存在する中で、一部は専門特化してプロ犯罪者集団と化しているというわけだ。
なおプロ化といえば、これらの個人やグループのレベルとは次元が違うプロフェッショナル集団が関わっているとみられる国家レベルでのサイバー攻撃もある。例えば標的型攻撃の仕組みが明るみに出たのはイランの原発関連施設への攻撃(2010年)が発端であり、日本でも大手総合重機メーカーの情報が狙われた事件(2011年)などが起きている。
この種の攻撃には相当に高い技術力とコストが必要といわれ、高度な攻撃手法が利用されるようだ。そのため、それができるのは国家レベルでの活動でしかあり得ないと推定されているのだ。現在一般にまん延する攻撃は、彼らの手口を模倣、踏襲したものといっても過言でないだろう。
ともあれ近年目立つウイルスの動向を整理すると、次のようになろう。
- ウイルスが多様化し、種類が膨大になっている
- 新種、亜種の誕生スピードが速く、検体入手からパターンファイル配布が追い付かない
- システムに侵入してもユーザーが気付かないように潜伏する
- 潜伏したまま外部サーバと接続し、新たな攻撃ツールを呼び込むなどして侵入を拡大する
- 機密情報(金銭化できる情報)を発見したら、気付かれないように外部に送信する
現在では毎日、秒単位で新種、亜種のウイルスが誕生しているといわれている。それに従来型のアンチウイルスツールは十分に対応できていない。一説には、ウイルス検出率は「4割以下」ともいわれるほどだ。
といっても、この数字は未知のウイルスも含めた推測の値。現実的にテスト可能な既知のウイルスに関しては、メジャーなアンチウイルスツールは少なくとも90%以上、上位の数製品では99%超の検出率が第三者機関で確認されている。
この能力を用いていまだ終息してはいない従来型のウイルスからシステムを防御しつつ、最新のウイルス、未知のウイルスにどう対抗していくかが、現在のアンチウイルスツールが直面している課題だ。
コラム:ウイルス、ワーム、トロイの木馬、スパイウェア、マルウェアとは?
ウイルスはコンピュータ内のファイル間やコンピュータ間で自分を複製する機能をもったプログラム。ワームはその発展形でコンピュータのメモリ内で自己増殖する機能をもったプログラム。トロイの木馬は感染力はないが、正当なプログラムであるかのように自分を偽装してシステムに侵入、破壊や改ざんを行う他、機密情報を収集して外部に送信する機能などを備えたもののこと。スパイウェアはキーボード入力などシステムで発生する情報を勝手に外部送信する機能をもつものをいう。これら全てを一くくりにした表現がマルウェア(悪意のあるソフトウェア malicious software)。ただし本稿では一般的な用法にならって、これら全てをウイルスと呼んでいる。
最新アンチウイルスツールに備えられた機能
パターンマッチング方式の限界が明らかになっているわけだが、セキュリティツールベンダーは手をこまねいているわけではない。ウイルスパターンが分からなくても、怪しいものを検知、排除できる仕組みがこれまでも開発されてきた。例えば次のような機能やサービスだ。
- サンドボックス機能
- ヒューリスティックまたは「振る舞い検知」機能
- レピュテーション機能(Web、メール、モバイルアプリ対象)
- 実行中のプログラムの動作や利用APIの監視機能
- プログラムのPE、リンカー、パッカーなどの分析機能
- ログの相関分析機能
- 脆弱性対応ルールによる攻撃検知機能
- 不正ネットワークトラフィック検出ルールによる攻撃検知機能
- 脅威情報の提供機能
- ホワイトリストによるシステム運用支援機能
こうした工夫により、パターンファイルがなくても安全をできる限り強化しようとしているのが現在の「総合セキュリティソフト」と呼ばれるアンチウイルスツールの注目すべきポイントだ。
次回の記事では、これら従来のアンチウイルスの範囲を超えたエンドポイントセキュリティの実際を、さらにその次の回ではホワイトリスト型システム運用によるウイルス対策について解説していく。
Copyright © ITmedia, Inc. All Rights Reserved.