久々に、こちら方面のネタ。マラッカから帰ってきて、飛び込んできたニュースがこれ。
http://www.nytimes.com/2010/04/20/technology/20google.html?ref=internet
NY Timesのすっぱ抜きのようだが、あちこちで話題になっている。ある意味、典型的な「標的型攻撃」にやられたのだと思う。これが、Googleのいう、「中国(の国内)」からの「サイバー攻撃」の一つだとするならば、私は、よく発見できたなと思う。もし、この記事に書かれていることが事実だとすれば、攻撃者はGoogleの社員(おそらくは中国の現地スタッフ)を特定した上で、その人間にマルウエア(へのリンク)をIMで直接送りつけたことになる。その結果が、ソースコードの流出なのだとしたら、我々はこの事実をある意味で深刻にとらえる必要がある。
この問題は「Google」「中国」というキーワードが強調されがちだが、本質はそこにはない。このような攻撃が、世界中で、様々な組織を対象に広がっているからだ。広く流布されない、特定目的に使われるマルウエアを検出することは容易ではない。ウイルス対策ソフトはほぼ無力だと思っていい。ヒューリスティックもレピュテーションも、回避する方法はあるし、それがオーダーメイドで作られ、こっそりと使われるようなマルウエアであれば、有効とはいいがいたいだろう。(言い難い。。。でも胃が痛い? ^^;)
ならば、どうすればいいのか。まず、感染しないこと。これは、基本に忠実にやるしかない。怪しい添付やURLをクリックしないこと。検索エンジンなどでサーフィンする際は、ブラウザのセキュリティ機能を有効にして、なおかつ怪しげなサイトへのアクセスはURLをきちんと見て避けること。(これもフィッシングの例なんかを見れば、標的にされた場合は難しいのだけど・・・)あと、PCを普段使うときは、管理者権限のないアカウントで使うのもいい方法かもしれない。(パワーユーザーにとってはかなり面倒だが、一般ユーザにはさほど不便はないはず)あと、セキュリティパッチは必ずあてよう。Windowsだけじゃなくて、最近は、プラグイン系のソフトも狙われる。Adobe系のソフトは特に、常に最新版にしておきたい。
でも、これを叫んでマルウエア感染がなくなるのだったら、ウイルス対策ソフトベンダなんかとっくに滅んでいるはずだし、あとは感染してしまったのをどうやって発見するかだが、これもかなり難しい。単純なアウトバウンドの通信でも、httpを使われたらWebアクセスとの区別は難しいし、相手先は怪しいサイトばかりとは限らない。ガンブラーでは、真っ当な(はずの)サイトも多く改ざんされて、マルウエアを埋め込まれているのだから。httpsならば、なおのこと、暗号化されてしまって中身もわからない。中身がわかったところで、通信を巧妙に偽装する(いわゆるCovert Channelみたいな)ことも可能だから、発見は容易ではない。
そうなると、もう少し受け身の対応も必要になるだろう。重要と思われる情報へのアクセスを常時監視し、異常を発見できればいいかもしれない。しかし、これも簡単ではない。本来、その情報へ頻繁にアクセスするであろう人間が、標的にされる可能性が高いからだ。特に重要な情報へのアクセスに、別途、マルチファクタの認証が必要なようにする対策もあるだろう。ただ、マルウエアが正当なユーザのアクセスを盗み見ていたらお手上げだ。
つまりはいたちごっこ・・・。先のGoogleの例で、「よく見つけられたな」というのはそういうことである。少し前に、あるセキュリティ専門家と話をしたときに、彼が言っていた言葉。
「昔は、攻撃側がアマチュアだった。でも、今はプロ中のプロが多いから、防御側も守りきれなくなってきている。」
さて、付け焼き刃の「セキュリティ屋」さんではなく、プロに対抗できるような、防御側の担い手をどうやって育成するか、それが問題だと思う。しかも、大量に・・・・。この時代、ネットの利用をやめるわけにはいかない。それはもうビジネスや生活の重要な要素だ。さらに、世の中の変化は激しい。それをうまくキャッチアップしていかなければ、競争に負けてしまう。新しい技術は人に先駆けて使っていきたい。そうしながら、安全を守っていくことは本当に難しい。しかし、今、それが求められているのだとしたら、我々セキュリティ屋は、もう一度、真剣に技術を磨き治さなければならないのかもしれない。
コメントする