インターネットイニシアティブ(IIJ)はマスコミ向けのセキュリティ勉強会を開催した。昨今世界中で猛威を振るっており、日本での被害もしばしば報道される「マルウェア」による攻撃はどのように行われているのか、また対応する側はどのようにしてマルウェアの被害を特定しているのだろうか。

今回の勉強会は、IIJのセキュリティ本部に所属する4人を講師役として行われた。このうち、IIJが誇るセキュリティオペレーションセンター(SOC)のセンター長である野間祐介氏を除く3人は、日本人として初めて、国際的なITセキュリティカンファレンスである「Black Hat USA」で講師役を勤めるアナリストだ。セキュリティにおいて、これほど精通した人材はなかなかいないだろう。ちなみにSOCはIIJ内でセキュリティサービスを提供している部署であり、厳重なセキュリティで守られたセンターから365日・24時間ネットワークを監視し、侵入時には瞬時に対応するという即応部隊だ。

さて、インターネット経由での攻撃というと、漠然と「パソコンに侵入されて情報を盗まれる」という印象がある。しかし昨今では、パソコンだけでなくルーターやゲーム機、ビデオレコーダーなどが悪意あるソフトに感染し、サーバーに大量のアクセスをしかけてサービスを停止させてしまう「DDoS」攻撃の「砲台」にされたり、ほかのウェブサイトに偽装してユーザーに個人情報や秘密の情報を入力させて盗み出すなど、非常に手口も多様化している。

一般に、こうした攻撃に使用されるソフトを「マルウェア」と呼ぶ。マルウェアとは「Malicious Software」(悪意のあるソフト)から生まれた造語で、以前「コンピュータウィルス」と呼ばれていたものも、マルウェアに含まれる。現在の主要なマルウェアとしては、ユーザーのデータを圧縮・暗号化してデータの身代金を要求する「ランサムウェア」、遠隔操作を行えるようにする「RAT」(Remote Administration Tool)を組み込んで侵入する「標的型攻撃」、銀行へのアクセス情報を盗んで悪用する「Banking Trojan」(バンキング型トロイの木馬)などが含まれている。ランサムウェアは昨年、日本でも話題になったので、記憶に新しい人も多いだろう。

このうち「標的型攻撃」は、ターゲットに侵入し、管理者権限を乗っ取り、情報を盗んだり破壊するのが最終目的となる。そのために相手を調査し、ツールをインストールして遠隔から操作できる環境を作り、内部を調査して目的の情報を探し出すという手順を踏む。最終的に目的を達したら、痕跡を消して撤退する。リアルな泥棒とそっくりだ。対して、こうした侵入に対抗するセキュリティ管理者の仕事は、侵入を防ぐのはもちろんだが、万が一侵入を許した場合も、侵入をいち早く発見し、いつ・何が・どこから行われたかを検証し、追跡することにある。地道ながら、こちらもリアルな警察の捜査に似ていると言えるだろう。

こうした攻撃に対して普段取りうる対策としては、攻撃の準備となる調査段階で、いかに相手に情報を握らせないか、になるだろう。SNSなどの公開情報から、名前や誕生日、居住地、趣味といった情報を掴まれれば、そこからパスワードなども推測しやすい。また当人が気をつけていても、出入りの業者や取引先などから情報が漏れることもある。メールアドレスひとつが知られれば、SPAMメールからマルウェアに感染させられるケースも多い。不要にメールを開き、添付ファイルを実行してはいけない、というのはこのためなのだ。