インターネットイニシアティブ(IIJ)は11月8日~10日の日程で、インターネットの最新技術動向を演題とした講演会「IIJ Technical WEEK 2017」を開催している。ここでは初日に行われた「セキュリティ動向2017」について紹介する。
大きな脅威となったマルウェアの動向
最初の講演である「セキュリティ動向2017」には、IIJの齋藤衛セキュリティ本部長が登壇。昨年から今年(2016年~2017年)にかけてのセキュリティ上の主要な問題と、それらに対するIIJの取り組みについて紹介する内容だ。
まずセキュリティ問題としてはマルウェアの活動が目立った1年となった。国内でも大手企業数社に感染して話題となった「Wannacry(WannaCrypt)」は、HDDを暗号化してデータを人質に取り身代金を要求するランサムウェア。これはWindowsなどのファイル共有プロトコルであるSMBv1の脆弱性を利用し、社内ネットワークを通じて横方向へ感染を広げるという、同じマルウェアでも「ワーム」型の感染が特徴だ。
ただしワーム型というマルウェア自体が最近見かけないタイプであり、最後に話題となったワームは2008年の「Conficker」(別名Downup)に遡る。このため、若いセキュリティ技術者によってはワームの挙動を知らないというケースもあり、齋藤氏は知識・技術の伝承が必要だと指摘していた。
Wannacry自体は1カ月程度で終息したが、その後も6月以降、IIJではハニーポット(マルウェアに感染・攻撃させるための罠になる機材)でWannacryの亜種を確認しており、暗号化せず感染のみを続ける、ワームとしてのWannacryはまだ存続しているという。また亜種の中には身代金を要求せず、単にデータ破壊のみを目的としたものもあり、純粋なランサムウェアとは呼べない状況だという。
マルウェアの問題としては、非正規のアプリ配布サイトなどを通じたもののほか、システムメンテナンスツールとして人気の高い「CCleaner」の正規版が感染したケースを紹介。これは特定の企業内で感染した場合のみ、新たにマルウェアをダウンロードして実行するタイプだったため、ダウンロードしても気づかないケースも多かったようだ。被害は40サイト程度で見られたという。
Webブラウザの脆弱性を利用してマルウェアを感染させる「Web ExploitKits」については、ブラウザ側の対応により脆弱性が減った結果、感染させる試みも減っているとのこと。一方で「感染しています」などのダイアログを表示させて不要なソフトを押し売りする「Support Scam」と呼ばれる手法や、仮想通貨の採掘を閲覧者のブラウザに行わせる「Coinhive」と呼ばれる手法が新たに登場しているという。
こうした手法の移り変わりについて、齋藤氏は「攻撃側のコストの問題であり、コストが減ったらまたその攻撃が増える」と分析している。一度終息したように見える攻撃であって、ユーザーは気をつけていかねばならないだろう。