PCユーザのセキュリティに対する意識の向上と、さまざまな対策が進んだ結果、Eメールなどが中心だった従来型のウイルス感染は沈静化しつつある。しかしその一方で、Webサイトがウイルスに感染するように改ざんされ、そこにアクセスしたユーザが感染してしまうというケースが多発している。狙われるのは、企業のWebサイトである。こうした現状を踏まえ、LACのサイバーリスク総合研究所 先端技術開発部 部長である新井 悠が、最新のマルウェアの動向とその対処法について解説する。
(聞き手:ワイアードビジョン編集委員・田邊 俊雅)
- P01:ウイルスには「ビジネスモデル」が存在している
- P02:ソフトウェアが自動的に作り出す「最新のウイルス」
- P03:実際の被害者は、サイトにアクセスした一般ユーザ
- P04:国の施策になったマルウェア対策
- P05:8.5%のサイトが、何らかのウイルスに感染させられることを確認しています
─ まずはじめに、ここ数年のマルウェアの動向と、最近の事例などに特徴的なことについてお聞かせいただけますか?
新井● LACは、10年以上にわたって、日本のセキュリティ分野をリードしてきました。セキュリティの診断や分析などを通じて得られる独自のノウハウは、LACが提供するサービスに反映しています。また、メディアなどを通じてセキュリティ意識の向上や啓蒙も積極的に進めてきました。私自身は、2000年のLAC入社以来、ウイルスやマルウェアなどセキュリティ上の問題を引き起こす可能性のあるソフトウェアの動向をウオッチしてきました。
このような背景から話をしてみますと、ウイルスなどは当初、マニアによる愉快犯的な性格が強かったんです。ウイルスに関する情報も、高度なソフトウェア技術を持った人たちのコミュニティにアクセスしなければ、入ってこなかったものです。ところが最近では、企業のインターネット活用の進展とともに、マルウェアがかなり身近な存在になってしまいました。
ちょうど2000年ころからIT(Information Technology)やICT(Information and Communication Technology)などというキーワードとともに、メールやWebが急速に一般化しました。ライブドアに象徴されるようなインターネット企業も数多く出て来ましたし、多くの企業がネットを本格的に使い始めました。
ウイルスは、はじめのうちは悪意や好奇心に基づくものが多く、自己中心的な振る舞いをするケースがほとんどでした。また、その作成者も若者が多く、攻撃対象も政府のホームページなどが中心でした。実際のところ、被害自体も大したことはなかったんですね。風評程度、と言っても良いくらいだったと思います。
ところが2001年から2003年くらいになると、「企業の顔はホームページ」という感じになってきて、一応のセキュリティ対策が当たり前になりました。そうなると、そこを利用してウイルスを拡散させようとして、セキュリティ対策をかいくぐろうとする人たちが出てくる訳です。
では何故、そこまでしてかいくぐろうとするのか。それは、そうすることで「お金になる」という状況ができあがったからなのです。
─ お金になるということは、具体的にはどのようなことなのでしょう?
新井●例えば、国内におけるブロードバンド・サービスの回線数は、既に3,000万以上ですよね。こういう数字の規模で、インターネットユーザに関連する情報がデータとしてあるわけです。サーバ上には、クレジットカード番号やWebマネーなどさまざまな個人情報、課金情報などがデータとして残っているのです。
さらに、「アカウント」という概念が一般的になってきました。かつてのシングルサインオンや、最近ではOpenIDなどといって、ひとつのアカウントで複数のサービスを利用できるようにもなっています。つまり、あるアカウントの購入履歴からそのユーザの嗜好が分かったりするわけです。それはつまり、お金になる可能性のある情報がたくさん紐付いている、ということになりますね。
Googleなどもそうです。本当の価値は、検索やクリックの履歴などを通じてため込んだユーザの嗜好が含まれたデータベースそのものだと思うのです。
かつては、マニアの愉快犯的な性格も強かったウイルスですが、最近はそういうことはほとんどなく、背後にちゃんとした「ビジネスモデル」が存在しています。つまり、企業のサーバから情報が漏れるのではなくて、企業のWebサイト経由で個人のパソコンから情報を盗むようなウイルスがばら撒かれる、ということなんです。そうして盗んだ情報がお金になるからウイルスを作る訳です。
─ 盗み出したアカウントをどうやってお金に変えるのか、という点について、もう少々具体的にお話いただけますか?
新井●例えばオンラインゲーム・アカウントのハッキングを考えてみましょう。国内のオンラインゲームのパッケージ販売額は年間二百数十億円といわれています。しかし、オンラインゲームでの課金額はこの3倍にも及ぶ、およそ七百数十億円といわれています。つまり、買ったときより、買った後にオンラインでゲームをしている時のほうが、お金をたくさん払っているのです。
これが何を意味するかと言うと、オンラインゲームのアカウントには、氏名・住所などはもちろん、クレジットカード番号等のリアルな個人情報が紐付いているということを示します。名簿などのリストビジネスと同じ構図でお金が回る可能性があるのです。
改ざん、ウイルス、データ売買とすべてリンクしてセットになっています。収益が簡単に上がるような仕組みが出来上がっているのです。サイトを改ざんされるということは、この仕組みに知らないうちに加担していることになるのです。
これに対して企業はどうすべきか、という観点から言うと、「悪のビジネスモデルに合わせて対策を追加する必要がある」ということになります。このあたりの対策におけるプランニングから実施までを完璧にやるためには、やはり我々のような専門家のサポートが不可欠です。
サイトガイド
セキュリティ情報
- セキュリティアラート
- JSOC侵入傾向分析レポート
- サイバーリスク総合研究所 発表レポート
- LAC Advisory
- SNSDB Advisory Report
- LACメルマガ購読
- 無料Webサイトログ診断ツール(SecureSite Checker Free)
- 特集スペシャル・アーカイブ
教育・資格取得
セキュリティアカデミー
![[QRコード]](/common/img/guide_qr_lac.gif)
リファレンス
新井悠 プロフィール
株式会社ラック サイバーリスク総合研究所 先端技術開発部 部長
2000年株式会社ラック入社。セキュリティ診断サービス部門を経験したのち、コンピュータセキュリティ研究所にて脆弱性の分析、R&D部門の統括、ネットワークセキュリティ脅威分析などのコンサルティング業務やセキュリティ・アドバイザを経て、現職。
著書・監修書として「ネットワーク攻撃詳解 攻撃のメカニズムから理解するセキュリティ対策」(ソフト・リサーチ・センター)、「クラッキング防衛大全 Windows 2000編」(翔泳社)、「インシデントレスポンス」(翔泳社)など。
2003年 情報処理推進機構「情報システム等の脆弱性情報の取扱いに関する研究会」委員
2004年 総務省「次世代 IPインフラ研究会」セキュリティWG 構成員
2004年7月 Microsoft MVP - Windows Security認定を受ける(現在までに同認定を4年連続受賞)
2005年 内閣官房NIRT(緊急対応支援チーム)研修講師
2006年 経済産業省「ウェブアプリケーションセキュリティガイドライン策定WG」委員
2007年 総務省「次世代の情報セキュリティ政策に関する研究会」構成員を務める。
