SNSインタビュー:GReATエキスパートに聞く

お寄せいただいた質問にカスペルスキーのアナリストがお答えするシリーズ。今回はカスペルスキーの研究部門から、エキスパート中のエキスパートたちが登場します。

brainstorm

優れたエキスパートに問題を解決してもらうのは、ありがたいものです。今回はエキスパート中のエキスパートが勢揃いしました。カスペルスキーの研究部門、Global Research and Analysis Team (GReAT)のメンバーです。GReATは、ユーザーの皆さんに危害が及ぶ前に脅威の存在を明らかにし、分析して、これに対処することを専門に行っています。

Kaspersky Labには毎日、20万件を超えるマルウェアの検体が送られてくることをご存知でしたか?これは延べ数ではありません。1つ1つ、別々のマルウェアなのです。このようなマルウェアや製品、セキュリティに関係した質問をGReATのエキスパートに送って、回答してもらいました。

experts

Q. アナリストの作業環境を教えてください。OSやブラウザー、その他どんなツールを使っていますか?

A. Michael Molsner:

特定のセットアップをしているわけではなく、必要に応じて環境を構築しています。私が使っている一番古いマシンではまだWindows 2000が稼働しています。そのほかにはWin XP、Win7、CentOS、Ubuntu、FreeBSDを使っています。

 

マルウェアはどのように見つけていますか?

A. Roel Schouwenberg:

新しいマルウェアのサンプルは1日に最高20万件も届きますので、検出は自動化されています。さまざまなタイプのクローラーを駆使して、インターネットから新種のマルウェアを検索しています。クローラーはさまざまなWebサイトにアクセスして、感染がないかどうかを確認し、セキュリティ上の弱点やマルウェアを捕捉します。また、いろいろなタイプのハニーポットを用意し、メールやネットワークトラフィックなどで使用しています。発見されたマルウェアを処理するときに、さらに別のマルウェアにつながるURLが見つかることもよくあります。このようなマルウェアはもちろん自動的に処理されます。検知されたマルウェアはアンチマルウェア業界内で共有されるため、他のベンダーからサンプルが送られてくることもあります。そうそう、大事なことを言い忘れていました。「熱心なアンチマルウェア派」の方々や専門家、お客様が手作業でURLを追加してくださることもあります。

Q. 最近のマルウェア作者はPCとモバイルプラットフォームのどちらを標的にしていますか?

A. Sergey Novikov:

マルウェア作者は、財産や貴重な情報を持っている人ならだれでもターゲットにします。不正侵入しやすい人が好まれていますね。その点、モバイルデバイスのユーザーはまだまだ注意が足りません。スマートフォンやタブレットのデータ保護に無頓着すぎます。この認識のなさに都合よくつけこまれるのです。プラットフォームの面からみると、モバイル関係の攻撃の99%はAndroidに集中しています。コンピューターの世界では、Windowsマルウェアが依然として大半を占めていますが、これはユーザー数が膨大だからです。マルウェア所有者は、金銭を得る目的で、財務情報や、メールやSNSへのログイン情報を盗もうとします。盗まれたデータはすべて、他の犯罪者に転売され、悪用される恐れがあります。また、ハッカーはマルウェアに感染したデバイスを使用して、スパムの送信やDDoS攻撃などさまざまな犯罪活動を行うこともあります。現在、これらのシナリオはどれも複数のOSを対象にしていて、AndroidやMac OSベースのボットネットもすでに確認されています。

 

Q. スマートフォンでよくある脆弱性といえば何ですか?

A. Christian Funk:

サイバー犯罪者が正規のアプリを媒体として、マルウェアをばらまくことは一般によく行われています。彼らは正規のアプリに悪意のあるコードを組み込み、その評判を巧みに利用して、改造したアプリを再配布し、ダウンロードさせます。

Q. 「サイバー戦争」に対抗する準備が整っている国はどこですか?スペインやヨーロッパの政党や政治機関はサイバー戦争の危険性を意識し、十分なリソースを配分していると思いますか?

A. Vicente Diaz:

こういったデリケートな問題に関する情報を公表している国はありません。しかし、この状況にどこよりも長い時間をかけて準備を進めている国がアメリカであることは間違いありません。中国は大量のリソースをつぎ込んでこの問題に取り組んでいます。これに、フランスやイギリス、ドイツ、ロシア、イスラエルなどの技術先進国が続きます。

 

Q. Mac OS Xのマルウェアにはどのような種類がありますか?どこからダウンロードできますか?

A. Sergey Novikov:

MacもWindows PCと変わりません。キーロガーやボットネットなどの悪意のあるマルウェアが出回っています。マルウェアのサンプル数は比較的まだ少数ですが、増加傾向にあります。Macユーザー自身が何かを実行しなければ感染の心配はないというのは間違いです。昨年、Javaの脆弱性をついた自動展開が原因で、Flashback/Flashfakeボットネットが急激に(約100万台のMacに)広まりました。もちろん、どこからマルウェアをダウンロードできるかは申し上げられません。違法ですから。

数で言えば、Mac関連の脅威の大半は偽メールや偽Webサイトを使ったフィッシングです。ほとんどのMacユーザーには、ソフトウェアやメディアのダウンロードにApple IDを使っているという共通点があります。だから、「Apple IDの復元」に関するフィッシング作戦に大きな効果があるのです。中には、「Apple IDを所有していることを証明」したり、「支払い明細を更新」したりするために、クレジットカードの詳しい情報をさし出してしまうユーザーもいます。

Q. PDFなどの添付ファイルに隠れているトロイの木馬からの保護はどうすればいいか、教えてください。

A. Stefano Ortolani:

非常に面白い質問ですね。PDFやOffice文書を主な伝播手段として使用した攻撃は確かにこれまでもありましたし、これからも行われるでしょう。残念ながら、PDFとOfficeファイルはどちらも高度な機能を再現するために複雑なリーダーを必要としていますが、これにはバグが入りこみやすく、危険なコードに悪用される可能性があります。デバイスに優秀なアンチウイルス製品をインストールする以外に私がアドバイスできることは、高機能PDFリーダーではなく、無料のSumatra PDFのようにシンプルなPDFリーダーを使用するということです。これらは軽いだけではなく、脆弱性の危険にさらされている部分が少なくなっています。ただし、これらは問題の緩和には役立ちますが、問題を排除したり、恒久的に解決したりすることはできません。

常に疑いを持ってファイルを取り扱うことが第一の防御手段です。ソースが正確にわからない、または認識できないファイルや文書は決して開かないでください。

常に疑いを持ってファイルを取り扱うことが第一の防御手段です。ソースが正確にわからない、または認識できないファイルや文書は決して開かないでください。

A. Roel Schouwenberg:

PDFリーダーをすべてアンインストールするのが一番です。Adobe ReaderやMicrosoft Officeは必ず最新バージョンを使用してください。最新バージョンには侵入が非常に難しいサンドボックスが付属しています。Windowsの最新バージョンでは、脆弱性を狙った攻撃を緩和する機能がさらに強化されていますのでこちらもお勧めです。広く普及しているOfficeリーダーの悪用を回避する方法として、あまり有名ではないプログラムの使用を勧める人もいます。しかし、この方法は「大衆を標的とするマルウェア」タイプの攻撃には効果的ですが、標的型攻撃には効果がありません。

Q. 私はフィッシングサイトに当たったことがありません。しかし、もしかしたら気付いていないだけかもしれません。そこで質問です。

– アンチウイルスソフトが入っていない場合、フィッシングサイトであることを事前またはサイト利用直後に気付くことができますか?アンチウイルスソフトが入っている場合はどのようにして気付くことになりますか?(メッセージが出ますか?)

A. Michael Molsner:

最近では、セキュリティソフトウェアをインストールしないでインターネットをブラウジングするのには大変な危険が伴います。私がこう言うのは、別に何か売りつけようとしてではなく、セキュリティを侵害された正規のサイト(悪質なコードを撒くために作られた不正サイトではなく、普通の企業や個人が開設しているサイトがハッキングされたもの)を日々いやというほど見ているからです。正規のコンテンツの合い間に悪意あるコードが挿入されていることがよくあり、これが脆弱性を抱えたコンピューターを攻撃するのです。きちんとした防御策をとっていないと、こうしたサイトを訪れたときに感染してしまうでしょう。たとえ何もクリックしなかったとしても、です。

セキュリティソフトウェアをインストールしてある場合、フィッシングメールを目にすることはほとんどないでしょう。いまどきの個人向けセキュリティ製品は、アンチウイルス機能だけでなく、それ以外の危険なコンテンツや不要なコンテンツに対しても防御を行うからです。フィッシングメールの99.5%は、自動的に迷惑メールフォルダー行きになっているはずです。

もしもフィッシングサイトのリンクをクリックしてしまったなら、当社の製品ならば「これ以上先へ進むと危険だ」と警告するメッセージをポップアップ表示します。

Q. フィッシングサイトに誘導されるリンクはどのような場所に多いのでしょうか?有名企業のサイトやブログサイト上のリンクであれば安心できますか?ブログサイトの広告リンクは危ないですか?

A. Michael Molsner:

フィッシングサイトのリンクはメールで届くことがほとんどですが、ダイレクトメッセージやフォーラムのコメントに含まれていることもあります。

ネット関連の発言で「信頼」という言葉をつかうのはためらわれますね。著名な企業のWebサイトやブログであっても、侵入されて悪意あるコンテンツをホストすることになる危険にさらされているのですから。そういうことは過去にもありましたし、これからも起こるでしょう。

Q. 「ウイルスの大部分はアンチウイルス企業が作成している」という見解が気になります。たとえば、Androidでは、最初のアンチウイルス製品が市場に登場したときに、最初のウイルスが現れました。

A. Vicente Diaz:

たとえば、次のように考えてみましょう。Kaspersky Labでは1日に約20万件の検体を分析しています。Kaspersky Labが新型ウイルスを1つ作成しても、そのために人々がKaspersky Labの製品を買いに殺到することはないでしょうから、利益は0です。その代わり、こんなことをしていると世の中に知れたら、その翌日には廃業せざるを得ないでしょう。

おわかりのように、まったく意味がありません。アンチウイルス企業がそんなことをしなくても、この世はすでにあらゆる種類の脅威や、他人を食い物にして大金を稼いでいる人でいっぱいなのです。

Q. スマートフォンの保護はなぜ必要なのですか?スマートフォンを使って2年になりますが、まだウイルスを見たことがありません。モバイルにはWebリンクチェッカーだけあればいいと思いますが。

A. Sergey Novikov:

これまでウイルスを見たことないからといって、そのようなウイルスが存在しないというわけではありません。おそらくあなたは運がいいか、または非常に用心深いのでしょう。もしかすると、マルウェアに感染していることに気づいていないだけかもしれません。犯罪者たちはマルウェアを隠すために必死で努力していますから。中には、長期間、何もせず、犯罪者から呼ばれるまでじっとデバイスで待っているように設計されたバックドアもあります。

もう1つ、重要な点があります。保護されていないデバイスは、同じネットワークにある他のコンピューターに感染を広げる可能性があります。したがって、まったく気付いていないうちに、自分のスマートフォンが何らかの攻撃か、マルウェアの拡大に参加しているかもしれません。このため、個人的には、プロテクションソフトウェアの使用を拒否するユーザーは無責任だと思っています。このようなユーザーは自分の意志とは関係なくサイバー犯罪に加担していることを見逃している可能性があります。

Q. カスペルスキーのどこがノートンやマカフィーよりも優れているのですか?

A. David Emm:

当事者としては答えづらい質問ですね。どうしてもひいき目で見てしまいますから。当社がアンチマルウェア開発の先頭を切っていることは確かです。これは、当社がwww.securelist.comで公開している大量の調査データからもわかります。また、当社がお客様の安全を守るために設計したさまざまなテクノロジーにも見て取れます。これらは当社が一から作り上げたものです。どこかから買ってきたものではありません。これらのテクノロジーについては、当社のCEO、Eugene Kasperskyがブログで詳しく説明しています。また、これまで、www.av-test.org、www.av-comparatives.org、www.anti-malware-test.comなどの第三者試験機関によるさまざまな試験で着実にあげてきた実績からも明らかです。

Q. アドウェアに対して、カスペルスキーが何らかのアクションを取るか、ポリシーを変更する予定はありますか?アドウェアを検知するように戻す必要があると思います。少なくとも、「アドウェア」や「望ましくない可能性のあるプログラム」などの検知カテゴリを作成してください。現在のポリシーではアドウェアの大半が合法的とみなされていますが、通常、アドウェアとともに余計な「いいもの」がインストールされるため、ユーザーのコンピューターでは大きな問題となっています。

A. Vicente Diaz:

アドウェアとしてのソフトウェア自体は、必ずしも悪意のあるものではありません。実際、何が悪意のあるアクションで、何がそうではないかということを判断するのが難しいこともあります。とはいえ、アドウェアが捉え難く、ユーザーを誤った方向に導くことが多いのは確かです。単に「うっとうしい」ものではなく、「悪意がある」ものをブロックする必要があります。たとえば、ソフトウェアのこのようなふるまいが法律で許されているときに、このタイプのソフトウェアのブロックを決定するには、アンチウイルス業界とユーザーの結束が必要になります。当社では、ユーザーのみなさんができるだけ安全でいられるようにするため、製品の改善に努めています。脅威の中にはアドウェアも含まれています。悪質なアクションを試みるアドウェアを1つでも発見したら、Kaspersky Labの製品が必ずブロックします。

Q. カスペルスキーの皆さん、安全で確実なオンライン取引やデータの保存を行うためのアドバイスをください。

A. Christian Funk:

オンライン取引など、一般に機密情報を扱う操作は、信頼できるコンピューターからしか行わないようにしてください。インターネットカフェにあるコンピューターやターミナルPCでは、バックグラウンドでどのようなソフトウェアが実行されているか、セキュリティソフトウェアがインストールされ、最新の状態になっているか、すでにマルウェアに感染しているかなどを確認できませんので、使用しないでください。また、取引を行う場合、インターネットバンキング用のWebサイトにはブックマーク経由でアクセスするか、ブラウザーのアドレスバーにキーボードからアドレスを入力しましょう。銀行から送信されたとされるWebやメールに表示されているリンクは使用しないようにしてください。こうすることで、フィッシング詐欺を回避できます。

さらに、バンキングサイトにアクセスする前に、OSのセキュリティ更新プログラムとサードパーティアプリケーションのアップデートがすべて適用済みの状態にしておくことも大切です。ソフトウェアの脆弱性は、マルウェアがコンピューターへ感染する際に一番よく狙われるポイントの1つです。

銀行は、オンラインバンキングの安全を確保するさまざまな手段を用意していますので、利用している銀行にこういった手段が最新のものであることを確認してください。

コンピューターに最新のアンチウイルスソフトウェアをインストールし、さらに銀行が提供する手段を使用することで、セキュリティのレベルが一段と高くなり、お金をあるべきところ ― 銀行口座の中 ― にしっかりと預けておくことができます。

Q. なぜ、サンドボックスを外してしまったのですか?

A. David Emm:

サンドボックスは外されていません。しかし、しばらく前に、サンドボックス技術の名前を「仮想実行」から「ネット決済保護」に変更しています。この名前は、お客様がこの技術を利用する最大の理由である「オンライン取引の保護」をより正確に反映したものです。さらに使いやすさも改善されています。これまでは、この機能を使用するたびに手で「オプトイン」(選択)しなければなりませんでしたが、金融関連取引の大半を自動的に検知できるようにし、必要な時に自動的に実装されるようにしました(もちろん、必要に応じて、Webサイトを追加することもできます)。ちなみに、スキャンエンジンもサンドボックスを使用して、コードが悪意のあるものでないかどうかを判断しています。

Q. ユーザーがブラウジングの安全確保やWebコミュニケーションの暗号化を効率よくできるようにするために、KISなどの製品にプラグインやアプリ、拡張機能を追加する予定はありますか?

A. David Emm:

Internet Explorer、Chrome、Firefox向けには、以下のような拡張機能を提供しています。

•             アンチバナー:バナーのダウンロード元アドレスをスキャン

•             コンテンツブロック:危険なURLからのコンテンツをブロック

•             危険サイト診断:URLのセキュリティを確認し、そのステータスを「信号機」式(赤・黄・緑)で表示

•             ネット決済保護:オンライン取引のセキュリティを確保

•             セキュリティキーボード:キーロガーによるパスワードの読み取りを阻止

Q. アンチウイルスやこれに類似したソフトウェアは、マルウェアの識別にシグネチャを使っているそうですが、なぜシグネチャを使用する必要があるのですか?すべてのソフトウェアにシグネチャがありますが、アンチウイルスは実際、どのようにして脅威のあるシグネチャとそうでないシグネチャを分類しているのですか?マルウェアが実際に操作しているものは何ですか?

A. Roel Schouwenberg:

シグネチャは、マルウェア、マルウェアファミリー、またはある種の悪質なアクション1つ1つを独自に特徴づけるもので、その形はさまざまです。シグネチャを使って、ある特定のアルゴリズムの使用に関与しているコードを検知していることもあれば、システムでのある種のふるまいを検知することもあります。現代のシグネチャの多くは非常に高性能で、何万種類もの悪質なファイルをたった1つの高性能なシグネチャを使って検知することができます。

自動化されたシステムでも、生身のアナリストでも、所定のファイルをどのように検知するかを選択するだけです。あるマルウェアが分析を邪魔するようなふるまいをしている場合は、そのコードやふるまいに基づいてシグネチャを作成すると、悪意のあるファイルを効率よく検出できます。つまり、マルウェアの作者は検知を逃れるために、新しいワザを編み出さなければならなくなります。そして、このいたちごっこは永遠に続くのです。

当社では、高性能な拒否リストと許可リストの両方を使用しています。巨大で日々拡大されていく許可リストデータベースを使用することにより、スキャンを高速化し、誤検知を防ぎ、未知のファイルに対する警戒を強めることができます。

Q. DDoS攻撃から身を守るには何をすればいいですか?

A. Roel Schouwenberg:

DDoSは難しい問題で、簡単な解決策はありません。DDoS攻撃は種類や規模に大きなばらつきがあります。攻撃者がサービスに大量のネットワークトラフィックを送りつけようとしているときには、DDoSの緩和経験が豊富なサービスプロバイダーと共同で対処するか、またはプロバイダーに対応を任せましょう。さまざまなシナリオが考えられますが、厄介な仕事は不正侵入検知/防御(IDS/IPS)が片付けてくれるはずです。

Q. 開いたポートは脆弱性につながりますか?

A. Roel Schouwenberg:

ポートを開くのはプログラムです。つまり、この質問のポイントは、ポートを開くプログラムを信頼できるかどうかということにあります。ポートを開いたのがマルウェアである場合、これは脆弱性になります。このように開かれたポートは、通常、システムへのバックドアとして使用されます。正規のプログラムによりポートが開かれた場合は、それがどのような種類のプログラムであるか、インターネットに向けて開かれたポートを必要としているか(必要とする可能性があるか)という問題になりますが、ほとんどの場合は必要ではありません。これが、現在、大半のセキュリティ製品に含まれているファイアウォールの実行が重要である理由です。

Q. カスペルスキーのAndroid用アンチウイルスはObadマルウェアから保護してくれますか?

A. Sergey Novikov:

もちろんです。Obadは珍しいマルウェアではありませんので、カスペルスキー モバイル セキュリティ for AndroidはObadからの保護を提供しています。

Q. カスペルスキー インターネット セキュリティの一部として、安全なブラウザーを開発する計画はありますか?

A. Sergey Novikov:

いいえ、そのような計画はありません。Kaspersky Labの得意分野はセキュリティです。その他の種類のソフトウェアを作るつもりはありません。その代わり、一般によく使用されているあらゆるブラウザーを強力なセキュリティレイヤーで強化します。この機能はすでに当社のネット決済保護テクノロジーに実装されています。

Q. Webサーバーに常駐して、さまざまな攻撃からサイトを保護するWeb用アンチウイルスの開発は行われていますか?

A. Sergey Novikov:

Kaspersky Labにそのような計画があるかどうかは知りません。ただ、大きな問題であることは確かです。なぜならば、ほとんどの開発者、特に低予算のプロジェクトの担当者は、セキュリティに注意を払わないからです。ここでは、Webサイトのセキュリティ向上にお勧めの簡単な手順をいくつかご紹介します。まず、FTPや管理コンソール、さまざまなサーバー設定へのアクセスには、非常に長く、複雑なパスワードを使用してください。また、サーバーソフトウェア(スクリプト、つまりCMSを含む)は定期的に更新しましょう。これは非常に単純なことですが、小規模なサイトの中には放置されたままになっていて、何年も更新されていないものもあります。犯罪者たちにとって、このようなサイトは不正侵入し、マルウェアの種を蒔くには絶好の場所であることは言うまでもありません。Kaspersky Labでは、こういった感染サイトにユーザーがアクセスできないようにすることにより、この問題をクライアント側で解決しています。

 

Q. ランサムウェアへの最善の対処法を教えてください。

A. Christian Funk:

使用しているコンピューターがランサムウェアに感染した場合は、最新の有効なアンチウイルス製品を準備し、OSだけではなく、ブラウザーとサードパーティアプリケーションも更新してください。ランサムウェアによってユーザーアカウントがブロックされ、システムにアクセスできなくなった場合は、無料のレスキューCDをダウンロードしてください。このCDを使って、CDドライブから小さなLinuxシステムを起動し、外部からハードドライブをスキャンし、クリーニングすることができます。また、システムを復元するための専用のレスキューツールも用意されています。

A. Sergey Novikov:

Kaspersky Internet Securityの次期バージョンには、最新の汎用アンチブロッカーテクノロジーが搭載されます。特定の組み合わせのホットキーを押すだけで、そのときに行われているフォアグラウンドプロセス(ランサムウェアアプリ)を駆除できます。

Q. Windows 8は安全ですか?これから登場するWindows 8.1のセキュリティは改善されていると思いますか?

A. Sergey Novikov:

Windows 8のセキュリティは非常にうまく設計されています。当社ではWindows 8の十分なテストを行いましたが、古いバージョンは言うまでもなく、Windows 7と比べても、かなり機能が強化されていると言えます。しかし、残念ながら、これほど複雑な製品を1つの欠点もなく設計することは不可能で、ハッカーはすでにWindows 8を危機におとしいれる方法をいくつか発見してしまいました。Windows 8にも専用のプロテクションソフトウェアが必要なのはこのためです。バージョン8.1はまだベータの段階ですので、コメントできません。

Q. テレビでロシア人のハッカーが30分でPCに侵入するのを見て怖くなりましたが、カスペルスキーの製品を入れているから安心して良いものでしょうか?導入していても気をつける点があれば知りたいです。

A. Michael Molsner:

自分が安全だとは決して思わないでください。100%のセキュリティなどありえません。もちろん当社の製品がインストールされていれば、何もしないよりずっと安全です。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?