Internet Week 2009レポート「インターネットセキュリティ2009」
11月24日から27日にかけて秋葉原で、今年で13回目となる「Internet Week 2009」が社団法人日本ネットワークインフォメーションセンター(JPNIC)の主催で開催された。同イベントでは、インターネットにかかわる様々な人々が1年に一度、一堂に会し、インターネットの基
特集
特集
今回、SCAN編集部は、24日午前に行われた2009年のセキュリティを総括するプログラム「インターネットセキュリティ2009」の様子をお伝えする。
─
●「ソフトウェアの更新」が重要
「インターネットセキュリティ2009」では、3つのセッションが行われた。
1つめのセッションとして、龍谷大学 理工学部 実習講師で セキュリティホールmemo を運営されている 小島肇氏による講演「2009年インターネットセキュリティの課題を振り返る」が行われた。
小島氏は、まず2008年後半から続く「SQLインジェクション」、「Conficker/Downad」、「USBウイルス」、「アプリケーションソフトウェアへの攻撃」について、それぞれの特徴や対策を紹介した。特に「アプリケーションソフトウェアへの攻撃」に関しては、Microsoft Updateでは更新されないFlach Player、Adobe Reader/Acrobat、Quick Time、Firefox等が問題であるとし、アプリへの0-Day攻撃の事例を紹介しながら、その問題が発見された日とそのpatchが提供された日を列挙した。patchは早いもので1週間以内に提供されているが、遅いものでは1ヶ月以上(中には数ヶ月も)リリースされていないと喚起した。
同氏はまた、2009年の流行ものとして「Gumblar(GENOウイルス)」「にせアンチウイルス(FAKEAV)」、「仮想化関連」の3点を挙げた。3月〜6月に流行したGumblarについては、2009年10月から「難読化が高度に進化」「攻撃サイトが複数にわたる」「Adobe Reader / Flash Playerの他、Internet Explorer(MS09-002)やMicrosoft Office Webコンポーネント(MS09-043)を攻撃」、「挿入スクリプトを随時改訂、再感染(AVベンダの対応が追いつかない)」「AVベンダ対策としての調査妨害機能の強化」などの特徴を備えて活動を再開している。仮想化関連では、英ISPのVAservが使用していた仮想化ホスティングサービスの管理ソフトの脆弱性を突かれた0-day攻撃を受け10万ものWebサイトのデータが消えた事例を挙げ、仮想化管理ソフトが単一障害点として大損害を与える危険性を言及した。
今後の課題として特に同氏は、「ソフトウェアの更新」をアンチウイルスソフトウェアよりも重要なものとして挙げ、OSについては統合的な更新が実現しているが、サードパーティアプリケーションについては各ベンダが独自に実装しており、これらに共通のフレームワークを用意することはできないのか、Secunia PSIの様な機能が「統合セキュリティソフト」の多くに搭載されていないのは何故か、本来はOSに備えるべきではないかと提起した。
●安全なWebサイト構築のために
2つめのセッションでは、モデレータをマイクロソフト株式会社 チーフセキュリティアドバイザー の高橋正和氏、パネリストを株式会社日立製作所 HIRT チーフコーディネーションデザイナの寺田真敏氏、NRIセキュアテクノロジーズ株式会社 セキュリティコンサルタントの櫻井厚雄氏、一般社団法人JPCERTコーディネーションセンター理事 分析センター長の真鍋敬士氏が務める「パネルディスカッション 脅威のトレンド2009:ソフトウェア、プロトコル、ウェブサイトをめぐる動向」が行われた。
寺田氏は、気になる脆弱性情報として「TCPパケットを用いたDOS攻撃」、「Adobe Flash Player、Acrobat Reader」、「X.509証明書のドメイン名処理」、「Mozilla Firefox」、「PHPで開発されたWebサイト用プログラム」を挙げ、その実験結果や問題点を紹介し、攻撃手法の多様化が進む中、最新状態を維持するためにチェックできる仕組みづくりをする必要性を説いた。
櫻井氏は、2009年のWebサイト被害状況とWebサイトのセキュリティ実態を述べ、同社のセキュリティ診断サービスの結果より35%のWebサイトに致命的な欠陥が存在した事実を挙げ、セキュリティ診断を実施する意識の高いサイトでこの数値なので、多くのWebサイトが危険な状態のまま運営されていることが懸念されると警鐘を鳴らした。そして安全なWebサイト構築のために、「要件定義段階でのセキュリティガイドライン設定」、「ガイドライン/セキュリティレビューを利用したセキュア設計」、「実装工程でのソースコードレビューの実施」、「各フェーズで多層的にチェック」することを挙げた。
真鍋氏は、マルウェア添付メールについて文面の例や傾向を示し、実行されたマルウェアが偽アンチウイルスをダウンロードして実行し、実際にインストール後はどうなるかを紹介した。
●海外のセキュリティインシデント
3つめのセッションでは…
【文・構成:編集部】
【関連記事】
Internet Week 2009 特集 (1) 2009年のセキュリティ対策を振り返り、2010年を考える
https://www.netsecurity.ne.jp/3_14098.html
【関連リンク】
Internet Week 2009
https://internetweek.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》