今年5月にソニーのプレイステーションネットワークが不正アクセスを受けて7,000万件以上の個人情報を漏洩させて世間を騒がせたが、企業に対するセキュリティリスクが収まる様子はまったくないようだ。そこで今回、WatchGuard Technologies Senior Network Security AnalystのCorey Nachreiner氏に2011年はどのようなセキュリティリスクに注意する必要があるかについて聞いてみた。

WatchGuard Technologies Senior Network Security Analyst Corey Nachreiner氏

セキュリティ攻撃の主戦場はメールからWebへ

Nachreiner氏はここ数年のセキュリティ業界の流れとして、攻撃の対象が電子メールからWebにシフトしていることを挙げた。その理由について、同氏は次のように語る。

「理由は2つある。1つは、Salesforce.comのようなクラウドサービスやソーシャルメディアなど、企業においてブラウザベースのアプリケーションが増えたことから、Webブラウザを利用する時間も長くなり、攻撃者にとってブラウザは魅力的な存在となった。加えて、AdobeのAcrobatやSkypeなど、サードパーティのアプリケーションがWebブラウザの一部となったことで、それらの脆弱性を悪用した攻撃が行われるようになった」

これまで、電子メールの添付ファイルを悪用した攻撃が行われてきたが、ウイルス対策ソフトの進化に加えて、ユーザーの意識も改善され、「怪しいファイルは開かない」といったことが浸透してきた。

このように、電子メールを用いた攻撃はユーザーでもその危険性を判断することが可能になりつつあるが、「Webベースの攻撃は違う」と、同氏は警告する。Webベースの攻撃に、ユーザーがWebサイトを閲覧しただけでマルウェアがダウンロードされてしまう「ドライブバイダウンロード」というものがあるが、いわゆる偽のサイトではなく、企業の公式サイトでもそれが行われてしまっているというのだ。そうなると、ユーザーとしてはお手上げである。

しかも、同氏によると、ドライブバイダウンロードが仕掛けられているサイトは日ごとに変わるため、今日安全だったサイトが明日はもう危険かもしれないという。

Facebookのリンクが危ない

このようにWebベースのセキュリティ攻撃が増えるなか、2011年、特に狙われる可能性が高いのが「Facebook」だという。

Nachreiner氏は、Facebookが危険な理由の1つとして、SNSであるFacebookは「友人関係」が構築され、そこから信頼関係が生まれていることを挙げる。つまり、友人のページに張られているリンクであれば、何の疑いもなくクリックしてしまう可能性が高いというわけだ。攻撃者はこうしたFacebookにおける友人関係を悪用するため、いろいろな人のページに悪意のあるリンクを張りまくり、無差別攻撃を繰り広げている。ある調査では、Facebookユーザーの5人に1人が悪意のあるリンクを自身のページに埋め込まれているという結果が出ているそうだ。

また、同氏は、「FacebookにはWeb 2.0アプリケーションが大きく入り込んでいるため、安全なコードを書かないと脆弱性が生まれてしまうというリスクがある」と指摘する。さらに、Facebookのユーザーは6億人を超えると言われており、攻撃者にとっては魅力的な市場と言える。「TwitterやYouTubeなど、Facebookのほかにも人気があるソーシャルメディアはあるが、ユーザー数が多いという点でもFacebookの危険度は高い」

ボットネットより怖い潜伏攻撃する「APT」

Nachreiner氏は、さらに2011年に注意すべきセキュリティリスクとして、「APT(Advanced Persistent Threat)」を挙げる。APTとは、価値の高い政治的団体や企業を対象に継続的かつ執拗に高い技術を用いて行われる攻撃をいう。APTの代表例に、中国におけるGoogleのハッキング事件がある。

同氏は、APTの特徴について、「マルウェアをネットワークに常駐させておくこと」と語る。APTで用いられるマルウェアは大きな動きをすることなく、外に転送するデータも抑えられているので、その存在になかなか気づかないという。「派手に動き回るボットネットとは大違い。存在がわからない分、怖い」と同氏はいう。

「APTはターゲットが絞られているため、中小企業の人々は自分達には関係ないと思うかもしれない。しかし、イランのウラン工場を狙ったAPTで用いられたマルウェアであるStuxnetのコードがWeb上で公開されており、攻撃が広がっていく可能性は高い」と、同氏は警告する。

従来のファイアウォールでは太刀打ちできない

企業がこうしたセキュリティリスクを回避するにはどうしたらよいのだろうか? まず、Facebookにおける攻撃に対処するには、「コンテンツのトラフィックまで調べることが必要。従来のファイアウォールではWebアプリケーションに対する攻撃をブロックできない」と、Nachreiner氏はいう。

「ウォッチガードはWebセキュリティにフォーカスしており、当社の次世代UTMが搭載しているHTTPS プロキシ技術は、アプリケーションレベルの検査を行う。またIPSでは、シグネチャによって、SQLインジェクションやクロスサイトスクリプティングといった攻撃を検知することが可能だ」

加えて、同社が提供しているクラウドベースのセキュリティサービス「RED(Reputation Enabled Defense)」を活用することで、不正なサイトをブロックすることが実現される。同サービスでは、クラウドを介してWebサイト・IPアドレス・URLのレピュテーションを全世界のユーザーから収集し、それをシェアする。

APTに対しても、同社は対策を用意している。「APTは複数の脅威から構成されており、古くからあるスレッドと似ている。当社の次世代UTMであるXTMシリーズであれば、ファイアウォール、IPS、URLフィルタリングと、複数のレイヤで脅威をブロックすることができるので、APTの防御にも有効」と同氏。

XTMシリーズは新たな脅威にいつでも対処できるよう、機能追加が簡単に行えるようになっているという。同氏は、XTMシリーズを「進化する脅威に対抗できる進化するセキュリティ対策を提供できる機器」と表現する。

確かに、セキュリティの脅威の進化はとどまることを知らず、被害を受ける企業の数は一向に減らない。となると、柔軟に対応できるセキュリティ対策がとれる体制を敷いておくことが重要だろう。