2010年は標的型攻撃の元年、モバイルの脅威はこれから--シマンテック総括

　シマンテックは毎年、セキュリティ上の傾向を総括した「インターネットセキュリティ脅威レポート」をまとめている。このほど発表された最新版の第16号では、2010年の脅威の動向として「標的型攻撃」「ソーシャルネットワーキング」「かくれんぼ」「攻撃キット」「モバイルへの脅威」――という5つのテーマを挙げている。

　標的型攻撃では「Hydraq」と「Stuxnet」が注目されている。HydraqはInternet Explorerの脆弱性を悪用したものであり、2010年1月に発生したGoogleへの攻撃（Operation Aurora）に活用されたと指摘されている。一方のStuxnetは、デジタル署名を窃取するとともに、4件のゼロデイ脆弱性を悪用し、イランの核処理施設で使われているシステムを狙ったものだ。

　こうした施設の場合、ネットワークから隔絶されている。だが、StuxnetはUSBメモリに仕掛けられて、攻撃に至っている。このことからシマンテックの浜田譲治氏（セキュリティレスポンスシニアマネージャー）は、Stuxnetについて「場所を“跳び越える”能力がある」と説明。核処理施設を狙ったことから「インフラに損害を与える可能性がある」ことも含めて「攻撃が“洗練”されてきている」と分析している。浜田氏は「2010年は標的型攻撃の“元年”」と表現し、今後も進化を続けるとも推測する。

　ソーシャルネットワーキングは、2010年に突如としてユーザーへの普及拡大が起きているわけではない。ただ、ユーザーへの浸透が進むにつれて、犯罪者のターゲットになる可能性がより広まったということを示している。

　犯罪者は、ソーシャルネットワーキングにあるプロファイル情報を利用して、標的型攻撃を仕掛ける手口を使う。また友人を装って攻撃を仕掛けたり、ニュースフィードを利用して、スパムや詐欺情報、大量の攻撃を仕掛けたりという手口も巧妙に活用している。「ソーシャルネットワーキングとソーシャルエンジニアリング（社会工学）を巧みに組み合わせることで、危殆化している」と浜田氏は表現する。

　ソーシャルネットワーキングで2010年に新たに見られたのが、短縮URLに悪質なリンクを隠して、感染を拡大させるという手法だ。実際にソーシャルネットワーキング上で発見された悪質なウェブサイトに誘導する短縮URLの73％が11回以上クリックされていたという。

　かくれんぼというのは、ゼロデイ脆弱性と「ルートキット」を意味している。ゼロデイ脆弱性は、短期的には拡大傾向にあるものの、長期的には拡大はしていないという。だが、ゼロデイ脆弱性は、より積極的な形で使用されるようになっており、HydraqとStuxnetが示しているように、標的型攻撃に活用されるようになっている。

　ルートキットは、システムの深いところに潜んで悪意ある活動を行うものだが、ここに来て攻撃性を増していると浜田氏が説明する。現在主流になっているルートキットとして「Tidserv」「Mebratix」「Mebroot」が挙げられ、特にTidservはボットネットが活用しているという。これらのルートキットは、Windowsのマスターブートレコード（MBR）を改ざんすることが明らかになっている。

　攻撃キットは使用が拡大しており、ここに来て顕著なのが、Javaの脆弱性をエクスプロイトすることを目的にしたキットが出現していることだ。浜田氏は「Javaがマルチプラットフォームで稼働していることが大きな原因ではないか」と推測する。しかし、Javaがマルチプラットフォームであることは、この数年というわけではない。そのため浜田氏も、ここに来てJavaが狙われることの詳細については不明としている。

　2010年の5つめの動向として挙げられるのが、モバイル端末への脅威だ。モバイル端末を狙った脅威は、これまでも少なからず存在していた。しかし、iPhoneやAndroid端末などのスマートフォンが拡大することで、脅威も増えているという状況だ。浜田氏は2010年時点でモバイル端末に対する脅威は「まだ爆発的ではない」と説明。つまり、今後爆発的にスマートフォンを狙った脅威が拡大する可能性があることを示している。

　モバイル端末の脆弱性は2009年で115件だが、2010年には163件に増加している。42％もの増加だ。そのうちiOSの脆弱性は2件となっている。ただ、iOSの2件の脆弱性はいわゆる“脱獄”したものが対象だ。ほとんどがAndroidの脆弱性だ。スマートフォンなどのモバイル端末は、商取引の決済手段になる可能性を秘めており、今後標的にされるとレポートは分析している。