─ 最近のウイルスやマルウェアの特徴はどのようになっていますか？

新井●最近は、サイト改ざんを仕掛けてくる攻撃元自体もウイルスです。ソフトウェアが自動的に攻撃しているんですね。以前は、ハッカーが手動で攻撃したりするケースも多かったのですが、最近はほぼすべてがソフトウェアです。手作業だったものが全自動化されているのです。

ウイルス作成ソフトウェアも公開されていて、悪意を持った人にウイルスを作成するスキルは必要ないのです。ウイルス作成ソフトで希望の機能を持ったウイルスを作ってくれるサービスさえ出てきています。お金さえ払えば、誰でもウイルスを作ってバラまくことができるのが現状です。

2007年12月に2人のロシア人が逮捕されましたが、これはウイルスを作るソフトをバラまいたという容疑だったんですね。つまりこれは、「あなた専用のウイルスを作ります」という新しいビジネスの誕生だったわけです。

どんなウイルスかというと、入力履歴を盗み出してサーバに送るというものでした。ロシア製とはいえ非常に良く出来ていて、日本産のメーラーである「Becky」のID/パスワード、POP/SMTPサーバの接続情報も盗み出すようになっていたくらいです。

─ そのウイルス作成ソフトで作られたウイルスは、同じソフトで作られたもの同士、似ている部分などが出てくるのでしょうか？

新井●同じウイルス作成ソフトで作ったウイルスでも、それぞれ全部違います。ファミリー名でグルーピングできなくはないですが、あくまで便宜的なものですね。それで一気に検知という訳にはいきません。グルーピングが不可能なくらい種類が多いという側面もあります。パターンは個別にしないと対応できません。

例えば、「トロイの木馬」という典型的なウイルスのカテゴリがありますが、その中に属しているウイルスには、トロイの木馬的な動きをしないものもあります。本質的に危険な動作がカテゴリを代表するような振る舞いとは異なっている訳です。

─ ウイルスの動作が良く分からないということで、ますます危険ですね。

新井●そうなんです。そのウイルスの個々の動作をすべてチェックしなければならないのです。どのような機能が隠されているか分かりませんから。

最近では、被害自体がうやむやになってしまっていて、何が起こって、どんな被害を受けたのか分からないままということも多いのです。それだけ、巧妙で分かりにくくなっていると言えます。ラックはこうした状況を踏まえ、これまでのウイルス対策での実績に加えて、今現在の新しいウイルスやマルウェアについても絶えず情報収集を続けていますから、蓄積されたデータベースはとても充実していると思います。

─ 最近の被害の例とその実際の手口についてお話いただけますか？

最近の例では、某セキュリティ対策ソフトの会社、大手ISPなど有名企業のWebサイトが改ざんされています。

こういった人が集まりそうなサイトを起点にして、アクセスしてきた人たちのパソコンの脆弱性をついてウイルスが感染していくわけです。2008年に入ってから、同じ手口でによる被害が相次いで報告されています。

手口としては、「SQLインジェクション」「リモートファイル・インクルージョン」「コマンド・インクルージョン」「ローカルファイル・インクルージョン（アップロード時）」「パスワード破り」などで、従来から危険が指摘されていたものがほとんどです。

このような既知の手口による被害が連続しています。これは、2005年くらいからWebサーバがあまり進化していないことが要因のひとつとして挙げられるかと思います。

─ Webは複雑で大規模になってきていますし、CMS（コンテンツ管理システム）なども、それほど進化しているとは言えませんね。とはいえ、セキュリティ・チェックなどのサービスも多くの企業が提供しており、ユーザ企業の利用も進んでいるとは思うのですが...。

セキュリティのチェックサービスもありますが、普通のユーザは1回しかチェックを受けないんですよ。Webサイトは構築してお終いではないですね。コンテンツや機能が増えたり、常に何か新しいものが追加されたりします。セキュリティチェックを1回しかやらないのでは、意味がありません。

サイトのバージョン管理も出来ていない場合が多いですし、新機能の追加などで新しいセキュリティホールが出来てしまうことは珍しくありません。バージョン管理ができていないと、セキュリティホールがどのタイミングでできたのかも分かりませんね。

• 次のページ　P03：実際の被害者は、サイトにアクセスした一般ユーザ