「確率は低いが被害は甚大」--脅威を増す標的型攻撃 - (page 2)

これからのウイルス対策

　それぞれのウイルスの特徴（シグネチャ）を基にした従来型のセキュリティ製品では、未対応の脆弱性を利用したゼロデイ攻撃を防げない。従来の製品では、攻撃のパターンが分からないと防御できないため、少なくとも過去に1度確認されたことのある攻撃しか防げない。

　「これは未来型のウイルス攻撃だ」と語るのは、ドイツにあるマグデブルク大学のウイルス対策ソフトウェア専門家Andreas Marx氏だ。「ウイルスの特徴が分かっていないため、このような攻撃を受けても防げない」（Marx氏）

　シグネチャが判明するのは、ウイルス対策企業が攻撃を受けた企業から報告を受けるか、仕掛けたハニーポットでサンプルを入手できた場合、および同業他社からサンプルを貰った場合だ。「標的型攻撃ではこのようなことは起こらない。攻撃を受ける対象がきわめて少ないからだ」と、Marx氏は述べた。

　Shipp氏は一例として、1カ月前に初めて特定されたある標的型攻撃に関して、その攻撃を検知できた現行のウイルス対策製品が4つしかなかったことを挙げた。他の製品は侵入を許してしまったのだ。同氏によれば、メールに添付されたOfficeファイルのある部分を詳細に調べて、そこに含まれる独特のコードを特定することでMessageLabsが判別できる攻撃もあるという。

　攻撃者の身元は不明なことが多い。セキュリティ専門家は、世界中に複数の攻撃者グループがあると見ているが、その身元を特定するには至っていない。

　攻撃の動機も議論の的だ。Shipps氏は分析結果から、情報を盗むのがその目的だと考えている。「言い換えれば、産業スパイだ」（Shipp氏）

　だが、SymantecのWeafer氏は、そういう見方に確信が持てないでいる。「お金のためにそんなことをしているのか、それとも単に自分たちの作ったウイルスを試しているだけなのかはよく分かっていない」と同氏は述べた。

　セキュリティ企業では、システムを保護するために、シグネチャによる検知方法に代わるものを開発中だ。ウイルスの振る舞いに基づいてブロックするなどの手法がある。たとえば、ヒューリスティックスによる検出は、アルゴリズムの解析ではなくパターン認識を応用したものだ。

　「ウイルス対策企業はヒューリスティックスの分野において急速な進歩を見せた」と、Cluley氏は語る。「検知できないようなウイルスであっても、救いようのない悲惨な結果にはならない。プロアクティブ（事前防衛）型のよくできたセキュリティソフトウェアなら、その多くをブロックすることが可能だ」

　Shipp氏によると、ウイルス対策の現状については、いいニュースと悪いニュースがあるという。いいニュースとは、2005年中に特定の企業が攻撃を受ける確率は非常に低かったということだ。「悪いニュースというのは、いったん攻撃を受けてそれが成功した場合、被害は小さくないことだ」と、Shipp氏は述べた。