2008/5/31【シマンテック 】「ノートン ブロガーミーティング」に参加しました。(開催:アジャイルメディア・ネットワーク/AMN様)。
ミーティングは、ノートンの製品の説明や販売促進とは関係が無く、進化し続けるインターネット上の脅威について、1999年代から2008年に至までの歴史を振り返り、それにシマンテックを始めセキュリティベンダーがどの様に対処してきたか、から始まりました。ゲストはネットセキュリティーの第一人者のデーブ コール(dave cole)氏です。
会場はシマンテックの渋谷事業所です。エレベーターでフロアーに上がると、2重のセキュリティに守られたセミナールームに案内されました。これまで参加してきたメーカーの商品発表会やブロガーミーティングとは雰囲気が全く異なります。セキュアな製品を扱う企業というものの一端を入口で体験できました。
第一部 デーブ コール氏
巧妙化を続けるオンラインの脅威
1999年代のアタッカーの動き
アタッカーがメールを送信し、ユーザーがうっかりメールを開けてしまうことでウィルスに感染するというものでした。ウィルスに感染したユーザーからウィルスが広まるというものでした。
あるいは、アタッカーが、大企業や公官庁などに対してアドウェアやスパイウェアを、相手が意図せずに入れてしまう様にしました(winnyに似ている)。
アタッカーの次の動き
アタッカーの行動がフィッシングへと変わりました。
ユーザーが何かを操作することで、メールアドレスやクレジットカードの番号などの情報をアタッカーに送信してしまうようになりました。
アタッカーの次の動き
アタッカーが正規のサイトをハッキングして、WebSiteを改ざんするようになりました。改ざんされたWebSiteには広告バナーなどに悪意のあるプログラムをダウンロードするように細工が施されていて、ユーザーが知らずにクリックをするとウィルスがダウンロードされ自動的にインストールされてしまうと言うものです。
更にアタッカーは進化をしました
改ざんしたWebSiteのページを閲覧をするだけで自動的にユーザーのパソコンにダウンロードされインストールさせることも出来るようになりました。
例えばWebSiteなどに埋め込まれたgif画像などは、ページを表示すると自動で段ロードされますが、そうした機能を悪用するわけです。
なぜWebSiteが狙われるか
WebSiteはブラウザーなどと比較する遥かに脆弱性を見つけるのが簡単だからです。
現在では自動化されたプログラムがアタッカーの手でインターネットの中に放たれ、脆弱性のあるWebSiteを24時間態勢で見つけています。
悪意のあるプログラムを配布しているWebSiteの殆どは、正規のWebSiteが改ざんされたものです。攻撃を目的として作られたWebSiteはわずかしかありません。
有名な例としてはアメリカのアーチストAlicia KeysのMySpace(Alicia Keys)のページが改ざんされ、TIME(Behind the Alicia Keys MySpace Scam)などでも大きく報道されたことがあります。この改ざんをクリーンするのに2ヶ月以上を費やし、Alicia Keysのニューアルバムの発売前日にようやくクリーンが完了しました。
また、悪意あるWebSiteも存在します
中国のサーバに置かれているYouTubeのデザインをそっくりまねたサイトでは、「Flashをダウンロードする」リンクをクリックすると、トロイの木馬がダウンロードされ自分のパソコンにインストールされてしまいます。ユーザーはURLを見ない限りこのWebSiteがYouTubeと違うことに気づかないでしょう。そしてURLを見るユーザーはわずかです。
アタッカーのもう一つの動き、ブラウザのプラグインを狙う
インターネットエクスプローラーやファイアーフォックスといったブラウザのセキュリティがより強固となったことで、アタッカーはブラウザそのものを狙うのではなく、FlashやQTimeに代表されるプラグインをターゲットとして選びました。プラグインはブラウザと比較するとセキュリティがあまいからです。
プラグインの脆弱性から自分を守には常に、最新のプラグインをインストールするしかありません。最新のバージョンほどよりセキュアになっているからです。常に最新のバージョンが配布されていないか、アンテナを張り巡らさなければなりません。
しかし、ここで問題も起きてきます。最新のプラグインは時に十分なテストを経ないまま配布される場合があり、インストールすると誤作動を引き起こす場合が希にあるからです。最新のバージョンが配布されたら直ぐにインストールするセキュリティを重視する変わりに誤作動のリスクを負うか、多少の脆弱性を覚悟して安定したバージョンを使うか、ユーザー自身が判断を下さねばなりません。
ユーザーの行動パターンの変化とそれにあわせたアタッカーの変化
1999年代から2002年代にかけてはユーザーがネットを利用する時間は短く目的もメールの送受信やWebSiteの閲覧くらいでした。
現在ではユーザーがオンラインで過ごす時間が増えています。また、ネットショッピングやネットバンクの利用なども一般的となりました。
こうしたユーザーの行動の変化に対応して、アタッカーにも変化が見られてきました。
企業などのセキュリティが強化されたことでアタッカーが攻撃をしかけることが困難となりました。それに対してユーザーはまだ脆弱です。ユーザーは個人としては大企業ほどの価値を持っていませんが、まとまったユーザーをだますことが出来れば、結果的に大企業と同等の価値が得られるとアタッカーは考えています。
こうしたことから、アタッカーは大企業への攻撃からユーザーへの攻撃へと、攻撃対象を換えつつあります。
そして、大量のユーザーをだますのに有効な手段の一つが正規のWebSiteの改ざんなのです。
インターネットで得られる情報やサービスの種類も数も増えています。写真や動画を共有できるサービスがあります。アタッカーはこうした新しいユーザーの行動パターンに直ぐに対応してきます。偽の画像や動画を配信して攻撃をかけてきます。
紙などの既存のマスメディアとオンラインのマスメディアと、ユーザーが費やす時間は現在ではほぼ同等となっています。ニュースの閲覧時間が長くなっているのです。
アタッカーはこうしたユーザーがオンラインに費やす時間が長くなったことや、様々なサイトを閲覧することにも対応してきます。人間の感性に訴えるような素晴らしいデザインのWebSiteを作成して、それでユーザーをだまそうとしています。
また旬の話題を提供することで人間の好奇心に訴えてきます。現時点(2008/6/6)でのアメリカの最もホットな話題は大統領選挙の民主党予備選挙でしょう。「ヒラリー・クリントン氏が立候補を取り下げた!!」という見出しを見れば、クリックをするユーザーもいるはずです。アタッカーはこうした人間の感性や好奇心を巧みに突いてくるようになりました。
日本にとって良いニュースもあります。
殆どのアタッカーの攻撃は1バイト文字、つまり英語を代表とする欧米の言語を対象としていることです。日本語に対しては攻撃をかけても無力です。例えばポルトガル語やフランス語で書かれた改ざんされたWebSiteをみる日本人も少ないでしょう。
日本にとって悪いニュースもあります。
こうした悪意あるアタッカーの主峰やプログラムが、毎日、日本語に書き換えられていることです。
まとめ
アタッカーの攻撃がより巧妙化し、数も増していますが、状況が悪くなったと考えるのは誤りです。防御側も進化をしているので、状況が変化し続けていると考えるべきです。決して悲観してはいけません。
アタッカーはこれまでのブラウザーなどの脆弱性を突くことから、ユーザーをだます事へ方向性を変えつつあります。特に、ユーザーが自ら自分のパソコンにインストールをしてしまうような攻撃方法を開発しています。
ユーザーは自らを自分で守らなければなりません。
第二部 浜田 穣治氏
日本での悪意のある活動 及び
Symantec Security Responseの紹介
日本の現状
日本は日本語というローカルな言語を使用しているために、他の国に比べると悪意のあるコードによる被害(フィッシングなど)は比較的少ないです。
日本での悪意のあるコードの上位10位の内、6つは情報を盗むためのもので、2つはオンラインゲームの情報を盗む目的となっています。
コードが盗もうとする個人の情報は、銀行口座やクレジットカードに関するものです。盗まれた本人は盗まれた自覚が全くありません。銀行口座から金銭が引き落とされたり振り返られたり、あるいは身に覚えのないクレジットカードの支払い明細を見て、初めて盗まれたことに気づきます。
オンラインゲームの情報はユーザーのアカウントを盗み、盗んだアカウントでゲームの世界でのみ流通可能な「リアル・マネー」を使ってアイテムを購入して、そのアイテムを実際の世界で他者に実際の金銭と交換で販売します。
オンラインゲームのアカウントを盗むコードはアジアで感染率が高く、特に中国がホットスポットとなっています。
感染したパソコンから盗めるゲームのアカウント情報
- パーフェクトワールド
- ワールド オブ ウォークラフト
- Legend of Mir
- 多数の中国専用のオンラインゲーム
欧米ではマイスペースなどのSNS(ソーシャル・ネットワーキング・サービス-Wikipedia– )の情報の漏洩が起きています。
このようにアジアではオンラインゲームの情報の漏洩が、欧米ではSNSの情報の漏洩が問題となるなど、悪意あるコードの活動の目的には地域差があります。
日本ではこうした被害の報告は少ないですが、yahooオークションやイーバンクなどの情報を盗もうとするフィッシングが確実に増えています。
Webが改ざんされる
サーバの脆弱性を自動で探すプログラムをアタッカーが開発し、インターネットを巡回させています。これによって脆弱性が見つけられた複数のゲームサイトが改ざんされる被害に遭いました。
改ざんされたWebページは、ユーザーが閲覧をするだけでウィルスに感染してしまいます。感染したユーザーは自分のパソコンが感染した事には気づきません。パワーユーザがタスクマネージャーを起動して見つけようとしても見えないように細工が施されているのです。
これらはHacktool.Rootkit、及びInfostealer.Gampassと呼ばれています。
具体的な動作はこうです。
まず、ユーザーが改ざんされたWebページを閲覧します。閲覧すると自動的にTrojan.Dropperに感染し、Hacktool.RootkitやInfostealer.G
ampass<がパソコンに投下されます。一度感染すると、これらの悪意あるコードは通常では動作していることすら分からないような細工が施されていますので、通常の方法での発見は困難となります。
シマンテックのGlobal Intelligence Network
シマンテックのGlobal Intelligence Networkは全世界の内のインターネットが普及している社会をほぼ全てカバーしています(アフリカなどは除かれています)。180カ国以上に4万以上の登録センサーを設置しています。
また、クローラーによって、自動的にウィルスなどの悪意あるコードを検知しています。
シマンテックのセキュリティ レスポンス
インターネット上の脅威に対処するために24時間態勢で、世界的規模で対応しています。
この24時間態勢の方法がとても合理的です。拠点を世界の3箇所に設けていて、9時間ごとに業務を引き継ぐことで、時間的な空白が発生しないようにしています。
1つは東京です。当然アジアの拠点でもあります。2つめはヨーロッパのアイルランドのダブリンにあります。3つめはアメリカのカリフォルニアにあります。時差の関係でそれぞれの業務時間が日中に行うことが出来るので、人間が仕事をする上で夜間に作業をすると言った不自然さを防いでいます。これは業務の効率を高めていることでしょう。
また、アジアの東京、ヨーロッパのダブリン、北米のカリフォルニアと、3つの地域に拠点を設けることで、地域差による悪意あるコードの特徴の違いも把握しやすくなります。ゲームアカウントの盗難はアジアに多く発生し、SNSの情報の漏洩はヨーロッパで多く発生しています。
こうして集められた情報が一箇所にまとめられて、セキュリティ・スペシャリストの集団によってウィルスかウィルスでないか解析され、ウィルスなら対策を執りコンテンツを作成し、シマンテックのユーザーのパソコンにオンラインで素早く配信されます。これにより、日々刻々と進化するインターネットの脅威からユーザーが守られるわけです。
また、アップデート以外でもメールの配信などで常に最新のセキュリティ情報をユーザーの手元に届くようにしています。
セキュリティ・スペシャリストの集団はそれぞれが専門家の集団に細分化されいます
第三部 風間 彩氏
今あなたに必要なセキュリティソフト
及び日本市場の動向
ユーザーの悩み
ユーザーはアンチウィルスソフトなどのセキュリティソフトを進んで入れたいとは思っていません。ゲームや業務用のアプリケーションなら必要だから、自分が楽しむためにインストールをしますが、セキュリティソフトは不安に対処するためという消極的な目的のためにインストールをします。
ユーザーは手軽にネットを利用できるようになる一方で、ネットバンクやネットショッピング(クレジットカードの利用)で情報が漏洩しないか、常に心配しています。このためにやむを得ずセキュリティソフトをインストールしています。
パソコンのストレス調査とそこから得られたユーザーの不満の解消
シマンテックが実施したパソコンの利用者を対象としたストレス調査では、セキュリティソフトに対する不満はパフォーマンスの低下につきます。
大きい、重い、遅い
このため、シマンテックでは数年前に社内にパフォーマンス目標を設けました
よりセキュアなバックアップシステムの提供
オンラインバックアップ SwapDriveの買収
ノートン360のユーザーにはオンライン上に2Gのスペースが提供されます。ユーザー自身が所有しているパソコンや外付けハードディスクは、ウィルスの感染などの脅威や落下や破損などの物理的な脅威、他のソフトとのコンフリクトによるデータの破損や誤っての消去など、様々な脅威にさらされています。そうした脅威から最も重要なデータをノートンが提供するセキュアなネット上のスペースに保管することで、データの安全性を高めようというサービスです。
セキュアなスペースの利用者は様々で、ハイエンドのデジタル一眼レフユーザーが自信が撮影したデジタル画像の保管場所として利用したり、TVドラマなどをデジタルで録画したユーザーがバックアップとして保管したりしています。
欠点は2Gと容量が少ないことでしょうか?
わたし自身は物理的に二重のバックアップを取っているので、ノートンの提供するセキュアなスペースにはあまり関心がありません。特に2Gという容量が、現在のパソコンが扱うデータ量から見ると、細小であることは否めません。最低でも10Gは欲しいところです。
ノートンとユーザーを結ぶ試み
ノートンインキュベーターでは、ワイヤード(wired)と呼ばれるパソコンに詳しい人に参加してもらい、ノートンがお客からフィードバックして制作したコンテンツを使用してもらっています。アルファ版のテストを行っているような物でしょう。ここでテストを繰り返した後、製品やサービスとしてお客に提供されるものもあるそうです。
ノートンに関するブログとフォーラムを昨年、アメリカで立ち上げました。ノートンとユーザーを結ぶ試みで当初は3ヶ月の期間限定で閉鎖する予定でした。ところが当初の目標を3週間で達成してしまうほどの活況で、その後も閉鎖されずに維持運営されています。利用者は約1400名、月間ページビューは100万を越えるそうです。
このフォーラムはデーブ コール氏の個人的なアイデアが出発点の一つになっているそうです。コール氏がガレージの扉が開かなかったことがあり、ガレージの会社のアフターサービスに電話をして修理を依頼することが嫌だったので、個人的なネットワークを当たってガレージの修理の方法を探し出しました。
コール氏は、この経験から、「きっとノートンのユーザーにも同じようにノートンのアフターサービスを利用したがらない人がいるはずだ」と思い、ノートンのユーザー同士がコミュニケーションを図れるフォーラムを立ち上げたそうです。
約1400名のユーザーの中にはスーパーユーザーと言われ皆から「グル」と敬称を受けている方が何人もいますが、その殆どが否英語圏の国の人だそうです。それで、英語圏以外のユーザーにも参加してもらえるようにと、否英語圏の国にフォーラムを立ち上げる予定だそうです。 技術に詳しい人が多い日本を、最初のフォーラムを立ち上げる国にしたいと、コール氏は強く希望していました。
ノートンに助けを求めるパソコンユーザーへのサービスの提供
パソコンは複数のプログラムによって動いています。基本にBIOSと呼ばれるシステムがあり、その上にOSと呼ばれるシステムが稼働しています。OSがwindowsやMac、Linuxと呼ばれるものです。OSの上でワードやエクセル、一太郎というアプリケーションが動いています。
アプリケーションを複数、同時に起動した場合に時に、パソコンが不自然な動作をする事があります。最悪の場合にはフリーズと呼ばれて全く動かなくなることもあります。キーボードからの入力を全く受け付けなくなり、マウスのポインターも動かなくなります。<
一般のユーザーには、これが何が原因で発生したのかが分かりません。
アプリケーションが原因なのか、OSが原因なのか、それともセキュリティソフトが原因なのかが分からないのです。
ひょっとすると、メモリーの容量が不足しているのかもしれませんし、CPUの処理速度が遅いだけでフリーズしているように見えているのかもしれません。
ユーザーはソフト的な原因なのか物理的な原因なのかも分からないのです。
こうした場合、一般的なユーザーは何処に助けを求めてよいか分からないはずです。
パソコンを購入した販売店やパソコンを製造しているメーカーに連絡を取る人もいるでしょう。
シマンテックに助けを求める人も多数いるそうです。
シマンテックでは有料で、こうした方たちへのサポートを提供しています。
例えば、ノートンをインストールしたいが自分ではしたくないという方には、シマンテックがユーザーに代わってインストールを代行します。その際にハードディスクを最適化することも行うことが出来ます。
しかも、このサービスはシマンテックの方がユーザーの所へ訪問をする必要はなく、ネットを通じて遠隔操作で行うことが出来るのです。遠隔操作が行えることで、ユーザーは時間と場所に拘束されることが無くなります。これはとても利便性の高いサービスと思います。
ようやくノートンの宣伝
インターネット上の脅威やシマンテックの脅威に対する取り組みの話の後、ようやくノートンの製品の宣伝が入りました。
製品の説明と販売実績に割かれた時間はわずかで、この日のブロガーミーティングの趣旨がノートンの製品ではなく、インターネット上の脅威とそれへの対処方法にあったことが、これでよく分かります。
懇親会
ブロガーミーティングの後の懇親会では軽食が用意されていたので、皆で食事を採りながら和気あいあいの雰囲気となりました。
懇親会では、わたしはデーブ・コール氏と直接話をする機会を得ることが出来ました。コール氏から得た助言はシステムエンジニアとしてのわたしにはとても貴重なものでした。
また、直接シマンテックの社員の方たちにわたしの持っている疑問や、日常のセキュリティソフトに対する不満点や改善の要望を伝えることが出来ました。
しかし、コール氏や浜田氏、風間氏との話に夢中になり、他の参加者とは殆ど話をすることが出来ませんでした。しかも、最後までわたしが話しに夢中になって時間がたつのを忘れてしまったため、懇親会の時間が大幅に超過してしまいました。この場を借りてお詫び致します。
ノートンブロガーミーティングは、得るものがとても多く、この記事1ページではとても足りません。わたしの備忘録としても不完全なので、まだまだ書き留めておきたいことが沢山あります。時間を作って別途に記事を書きたいと思います。
mizunuma 6月 6th, 2008
Posted In: インターネット上の脅威・詐欺, 参加レポート・ブログ・ブロガーミーティング