The SANS Institute 代表 兼 調査研究部門ディレクター アラン・パーラー氏

　アラン・パーラー氏は、情報セキュリティ教育を目的として1989年に設立された団体「The SANS Institute」の設立者。National Infrastructure Advisory CouncilのオリジナルボードメンバーやFederal CIO Councilに情報セキュリティ分野で表彰受けるなど、セキュリティ分野で活躍している。今回、SANSのイベントに合わせて来日し、ラウンドテーブルにて自身の見解を発表した。


　パーラー氏は冒頭、昨今のセキュリティの攻撃者に3つの傾向があることを指摘した。1つめと2つめは、「サイバー攻撃が麻薬の売買よりも儲かるということに気づき始めた」と金銭的な詐取を目的としたもの。1つめは無断でキーロガー（キーボードで打ち込んだ文字を記録するソフト）から銀行口座情報を盗み出して、そのまま口座の中にある金銭を詐取するということ。また、クレジットカード詐欺も同様の手法や、正規サイトに偽ったサイトなどで情報を搾取。仕組みが自動化されているのが特徴で、クレジットカード情報を盗み取ると、そのままオークションサイトに掲載され、限度額に応じた額で取引されているという。

　2つめは、何千台ものPCによる一斉攻撃で、サーバにDoS/DDoS攻撃をしかけるというもの。攻撃をやめてほしければ100万ドル以上の支払要求を行う。海外では「オンラインギャンブルサイトが大きな被害を受けている」という。

　3つめは、各国のスパイ活動。「昨年の11月、軍事的な諜報活動を行っている英国のMI5は、自国の企業300社に向けて、中国国内との電子的なやり取りは中国政府にすべて筒抜けになっているという警告文を送った」のだという。「軍事的な活動の9割はソーシャルエンジニアリング」とはいえ、情報戦は軍事活動の基本であり、そうした攻撃もまた飛び交っているわけだ。


　では実際にどういう攻撃がなされているのだろうか？パーラー氏がSANSの情報セキュリティ警告システムInternet Storm Centerでキャッチした情報によると、最近狙われているソフトウェアは3つあると指摘。1つはアンチウイルスソフト。2つめはバックアップソフト。3つめがWebアプリケーション。シマンテックのバックアップソフトの脆弱性を突いた攻撃が2005年急速に増え、さらにCAやEMCなどもその標的に晒されているという。

　また、今日ではさらに進んで、企業向けにカスタマイズされたアプリケーションが攻撃の対象になっている。こうしたカスタマイズされたアプリは、外部とつながっているWebアプリへの攻撃（SQLインジェクションやクロスサイトスクリプティングなど）が主要だが、「社内向けのアプリは内部向けだからと散漫に作られることが多い」と警告。バックアップサーバなどについても、特定のポートを狙った攻撃、ネットワーク経由の遠隔地バックアップなどをその対象としているようだ。

　特に、Webサイトの脆弱性を突いた攻撃においては、たった1度の攻撃で150万ものサイトが乗っ取られ、サイトを訪問したすべての人に感染した事件があったことを指摘。最初はオンラインゲームのパスワードが盗まれるだけだったが、キーロガーにより銀行口座の情報も搾取されたという。また、会社の無線LANからFTPに空いていたセキュリティホールを利用して社内ネットワークに潜り込み、金銭的に大きな被害を与えたケースも紹介した。

　「これまで企業は、セキュリティに問題があれば、シマンテックやマイクロソフトのせいにしていれば良かった。しかし、これからは自分たちで書いているコードが狙われる」「セキュリティ対策に対する考え方がまったく変わってしまった」。