我々JSOCは24時間365日休むことなくお客様へ迫る脅威と戦い続けている。

2008年は2007年に引き続き、脅威の見えない化が進行した。Webアプリケーションを狙ったSQLインジェクションはWebサイトから情報を盗む手法だけではなく、情報を改ざんする手法へとシフトした。

2007年11月からWebサイトを改ざんするSQLインジェクションは現れた。そして年を越し、2008年3月からその攻撃は急増し、現在も攻撃はとどまるところを知らず、猛威を振るっている。

（クリックで拡大）

SQLインジェクションがどこの国から行われているかは以下のサイト「脅威は世界中からやってくる」に掲載している。興味がある人は参照して欲しい。驚くほど多数の攻撃にさらされていることがわかるだろう。

攻撃の急増とともに攻撃手法も進化している。9月にはIDS/IPS/WAFなどのセキュリティ機器を回避するためだけに攻撃手法が進化しており、世界中のシステムが見えない攻撃の脅威にさらされている。

このような見えない脅威に対してJSOCでは「マルチデバイス対応」によってより広い範囲の脅威をカバーし、セキュリティのエキスパートである「セキュリティアナリスト」が見えない状態がないか常に監視している。JSOCにとって「見えない」状態すらわからないことが一番の脅威なのだ。「見えない」ことを認識することができれば、アクションをとることができる。見えない状態であることが判明したデバイスには「JSIG」（JSOCオリジナルIDS/IPSシグネチャ）を投入することで脅威の見える化を行う。

（クリックで拡大）

• JSOC全体では攻撃が見えていない状況そのものがわかる
• 見えていない状態のときは、JSIG化して対応
• 全ての製品で攻撃を検知していないということはほぼない

この「マルチデバイス対応」「セキュリティアナリスト」「JSIG」が見えない脅威に対抗するための重要なキーワードなのだ。今後も我々セキュリティアナリストはお客様を見えない脅威から守っていくつもりである。

攻撃者はWebサイトを改ざんし、Webサイトを訪れるクライアントを不正Webサイトに誘導する。クライアントアプリケーションの脆弱性を悪用してボットを仕込み、情報を搾取する。この手法は攻撃者にとって以下の3つのメリットがある。

• 正規のWebサイトを改ざんすることでクライアントを不正Webサイトに誘導しやすい
• 一般的にクライアントはセキュリティ対策がとられていない場合が多く、成功率が高い
• 被害にあったクライアントはセキュリティに関して詳しくない人が多く、被害にあったことに気づくことがない

このようにして、脅威はWebサイトのみならずクライアントユーザにも迫っている。Webサイトの守りを固めることは自社の資源を守ることだけではなく、自社の顧客を守ることにつながるのだ。インターネットを利用してビジネスを行っている事業者全てが自社の顧客を保護する視点を持ち、セキュリティ対策を行って欲しい。

最後に以下の3点をチェックして、2009年を迎えて欲しい。

• アプリケーションに脆弱性が存在しないか?
• 脅威が見えるようになっているか?
• 川口のコラム（@ITにて好評連載中「川口洋のセキュリティ・プライベート・アイズ」）はお気に入りに入っているか?

また2009年にお会いしましょう。

• 西本逸郎のセキュリティ総括2008