セキュリティという言葉は,いろいろな側面で利用される.具体的には,非常に広義の意味の「サイバーセキュリティ」,情報に視点においた「情報セキュリティ」,インターネットのみを対象とした「インターネットセキュリティ」,物理的なリスクに対応する「物理セキュリティ」,暗号などで代表される「基盤的セキュリティ」などが主に挙げられるが,本稿では,インターネットを含めた広義のサイバー空間に必要となるセキュリティ技術に限定して議論をしたい.
セキュリティは,第3章で述べるマルウェアとの「イタチごっこ」の戦いの歴史により語られるといっても過言ではない.それは,第2章で述べるインターネットの歴史と深く関係する.さらに,インターネットが世界の情報通信インフラとして成熟した後においても,インターネットを活用するといった視点で,重要インフラやIoT活用など多種多様な環境が登場し,セキュリティにかかわる脅威を大きく増大させており,さらにネットバンキング,ネットショッピングなど,インターネットのインフラ上で利用されるアプリケーションやサービスにおいても,その脆弱性を狙った攻撃が後を絶たない状況になっている.
すなわち,情報通信インフラ,システムやサービス等に内在する脆弱性,弱点などをついた攻撃が発生し,それら攻撃に対抗するためのセキュリティ技術が(後追い的に)開発されてきたといえる.近年では,非常に高度なコンピュータシステムや通信技術の技能を保有している攻撃者(悪い意味のハッカー)がいる一方,既存のマルウェアを模倣し,既存の攻撃作成ツールを用いて,高いスキルがないものでも攻撃を行うことができる状況にあり,高度な攻撃から既存攻撃手法を模倣するレベルの攻撃まで広範囲の攻撃に対し,セキュリティ技術を用いた総合的な対策が必要になってきている.いずれにしろ,人間が設計するインフラ,サービス,アプリケーション,さらに利用者が人間であることに鑑み,攻撃者が優位な立場で攻撃を行い,それを迎え撃つ防御側が「イタチごっこ」的に後追いでセキュリティ技術を用いた対応を行うといった構図は当分の間変わらないであろう.
本稿は,第2章でセキュリティを語る上で基盤となる「インターネット」の歴史に触れ,第3章で脅威の根源となっている「マルウェアの変遷」を概観する.第4章では,脅威に関連するセキュリティ対策技術を要約し,主に「侵入検知システム」「パッシブモニタリングシステム(ダークネットやハニーポット)」「マルウェア解析」「セキュリティマネジメント」,および「インシデント対応」などのセキュリティ技術について触れる.第5章ではこれまでのセキュリティ技術の全体像を概観し,今後の新しいインフラ環境における多様化,高度化,複雑化する脅威に鑑み,将来に向けたセキュリティ技術の在り方,その方向性についても言及する.
1960年にインターネットの原型となる考え方が登場した後,今やその利用の拡大は想像以上に多様化,高度化し,世界中の人々がビジネスだけではなく,個人の余暇も含め,インターネットなくしては成り立たなくなっている.その反面,インターネットを用いた環境におけるセキュリティに関連する脅威(攻撃など)も年々増加し,また高度化,多様化しているのが現状である.本章では,セキュリティ上の脅威に深く起因するインターネットの歴史を概観する[1].
1)「分散型コミュニケーションネットワーク」の提案(1960年):計算機科学者ポール・バラン(Paul Baran)氏(米)は,大量の冗長リンクを持つ分散型コミュニケーションネットワークを考案.現代のインターネットの概念を提案.
2)「パケット交換理論」の考案(1968年):計算機科学者しドナルド・デービス(Donald Davis)氏(英)は,これまでの「回線交換」とは異なる「パケット交換理論」を考案.パケット交換は,現代のインターネット技術の基本となる.
3)「インターネット」の起源(1969年):米国防総省(ペンタゴン)の機関である国防高等研究計画局(DARPA)は,パケット交換理論に基づく分散コンピューティングネットワークの構築を行った.これは,パケット通信ネットワーク「ARPANET」と呼ばれ,世界で初めて運用され,1969年10月29日の22時30分に初めてパケットが送信された(図1).
4)TCP/IPプロトコル(1978年):「インターネットの父」の1人と呼ばれるヴィントン・サーフ(Vinton Cerf)氏とロバート・カーン(Robert Kahn)氏は,現在のインターネットの基礎となっている,TCP(トランスミッション・コントロール・プロトコル)とIP(インターネット・プロトコル)による「TCP/IP」の構築を行った.
5)インターネットの誕生(1983年):ARPANETは,TCP/IPを介してユーザ同士が通信できるネットワークの世界標準を提案.ここで,パケット通信,および分散コンピューティングネットワークに基づく実用システムとなる「インターネット」が誕生.
6)米国議会での法令制定(1986年):米国議会ではデータの盗難や不正なネットワークアクセスなどの不正行為を警戒し,これらのコンピュータ関連の犯罪行為に対して,法的制裁を与える法案「コンピュータ不正行為防止法」を1986年に制定.(なお,日本の「不正アクセス禁止法」の法制化は2000年).
7)大規模ワーム(Morris Worm)の登場(1988年):ロバート・T・モリス(Robert・T・Morris)氏(当時,コーネル大学在学)は,インターネットワーム(Morris wormと呼ばれる)を作成し,当時インターネットに接続されていた機器に感染し,その内10%にあたる数千台をクラッシュさせた.本ワームは,初めてバッファーオーバーフローを使用.モリス氏は米国のコンピュータ不正行為防止法により,初めて有罪判決を受けた.
8)WWWの登場(1991年):欧州原子核研究機構 (CERN) のティム・バーナーズ=リー(Tim Berners-Lee)氏は,1990年,世界初のWebブラウザと世界初のWWWサーバを構築.1991年,彼は WWW プロジェクトを公開し,WWWがインターネット上で利用可能なサービスとして初めて登場した.
9)革新的なブラウザ登場(1992年):イリノイ大学の米国立スーパーコンピュータ応用研究所 (NCSA) によって,現在のように画像なども扱える革新的なブラウザ Mosaic が開発され,WWW は手軽に使うことのできるメディアとなる.一方で,本普及は,セキュリティ脅威が本格的なものとなるきっかけを与えた.
10)Webのアニメーション化(1996年):Flashなどの新しい描画ツールやアニメーションツールやWeb拡張機能の登場し,Webブラウザは劇的に機能拡大.しかし,これらを悪用し,遠隔からのコンピュータ操作などを行う攻撃に繋がることとなる.
11)マルウェアの拡散の時代に(1996年以降):世界的な利用が進むインターネットの環境は,犯罪を含めた悪事を働くもの(ハッカーなど)にとって,格好の場所となっていく.数千万人が感染したとされる2000年の「ラブレターウィルス」に代表されるように,インターネット利用者を攻撃対象として,多くのマルウェアが登場し,悪事に使われることとなる(第3章参照).
12)インターネットの世界的定着(2003年から):世界中にインターネットが浸透し,爆発的なインターネット利用が確認された時期.インターネットは金融,ネットショッピングなど多くのビジネスのインフラとなっただけでなく,多くの一般利用者の間でメール,Webを中心に利用され始めた.
13)モバイルデバイスの登場(2007年):2007年にAppleによる初代iPhoneが発売され,2008年にはGoogleによるAndroidスマートフォンが発売され,モバイルデバイスの需要が加速.インターネットに接続される機器を持ち歩く時代に突入した時期.
14)インターネットの活用の爆発(2010年以降):産業制御系システム,クラウドコンピューティング,IoT,車など,多くの環境において何らかの形でインターネットが利用される.2010年以前は発見される脆弱性の数は多くはなく,それらを管理運用する(登録管理/パッチ対応後の脆弱性公開など)ことが可能であったが,2010年以降,インターネット上に運用されるサービス,アプリケーション,機器が爆発的に増大し,発見される脆弱性についても,管理できない状態になっているといわれている.
最近,不正なプログラム(コード)を「マルウェア」と総称して呼ぶことが多いが,単に「(広義の)ウィルス」と呼ばれることも多い.歴史的には,「ウィルス」という言葉は,1983年11月,フレッド・コーエン(Fred Cohen)氏が自己複製するコンピュータ・プログラムを初めて「ウィルス」と呼び,1984年には,コンピュータ・ウィルスを「ほかのプログラムを書き換えて,自分自身をコピーするという手法で『感染』するプログラム」と定義した.コンピュータ・ウィルスの拡散を「感染」と初めて呼んだのもコーエン氏である.「ウィルス」の言葉の定義を正確に記載すること自身に意味はなく,総括的に不正なプログラムをウィルスやマルウェアと呼称しているのが現状である.しかしながら,マルウェアに関連する用語がいろいろと使われているため,それらの意味を以下に整理することとしたい.
3.2節では,感染力が高く注目を集めたものや新しいマルウェア機能が作成されたものなどを中心に紹介したが,1971年から1980年前半あたりまでのマルウェアは,「可能性を探ること」が目的で,発見されたマルウェア数も多くない.その後1998年ごろまでマルウェアは次のステップに進み,マルウェアの実用性や機能性を確かめるために,「実験的な試行」を目的とする形に変遷している.その後,インターネットの発展と同期するように,多種多様なマルウェアが作成され,徐々に「犯罪目的(主に金銭)」のマルウェアが増加した.また,2003年以降,多くのパーソナルコンピュータにボット型のマルウェアが感染し,多種多様な攻撃(DDoSや情報詐取など)に利用する手法(ボットネット)が主流となってきた.2009年以降は,金銭目的のマルウェアだけではなく,産業制御システムや政府を標的としたサイバー攻撃にマルウェアが利用されるようになった.本攻撃は「標的型攻撃」と呼ばれ,ボット型の攻撃とは異なり,攻撃先となるターゲットを決め,マルウェアを用いてターゲットに侵入し,実際の攻撃は攻撃者(人間)によって実行され,政府機関などの重要な情報詐取が主な目的となってきた.
2013年以降,マルウェアの数は激増の一途をたどっており,1つのマルウェアに多くの亜種が出現する.特に,2014年以降は,ランサムウェアが多く流行しており,「CryptoLocker(2014年)」,「TeslaCrypt(2015年)」,「Locky(2016年)」などが有名.当初のランサムウェアは言語的問題で日本をターゲットとすることは少なかったものの,徐々に多言語対応が進み,2017年には28カ国言語対応(日本語も含む)のWannaCryが世界中に猛威を振るった記憶は新しい.2018年に入り,世界全体で一日に発生するマルウェア数は,300,000を超えていると言われており,それらへの対策がますます難しくなっている現状にある.
上述したインターネット,およびマルウェア(ウィルス)の変遷に追随する形で,数多くのセキュリティシステムが開発され,発展してきた.本節では,マルウェア対策といった視点を中心に主なセキュリティ技術について外観する.具体的には,不正な侵入を検知する侵入検知システム(IDS),マルウェアの解析技術,マルウェア捕獲やその挙動を観測するためのモニタリングシステム,組織などのためにリスクを特定,認識した上で総合的なセキュリティ対策を実施するためのセキュリティマネジメントなどについて説明する.なお,現在多くの組織で利用されているファイアーウォール(FW)[6]は,登録されたルールにしたがって外部から内部へ(または内部から外部へ)のトラヒックを遮断したり,遮断した通信ログをとったりする基本的なセキュリティシステムではあるが,本稿では詳細の説明を割愛している.
第3章で概説したマルウェアをまずはシステム等に侵入させることが攻撃者のモチベーションであるため,その侵入を検知するためのシステム(IDS)は重要な役割を担う.IDSは,侵入の検知を行い,その検知結果をシステム管理者に通知する機能を保有するが,侵入の防御は行わない. 以下に,IDSに関連する用語がいろいろと使われているため,それらの意味を整理する.
IDSについては,現在ではNIDSを中心に,多くの組織でその活用が実施されているが,新しい攻撃パターンに追随するための定義作成の自動化が課題.また,通信環境の高度化/高速化の現状において,10Gbps程度の通信速度に耐えられるような検知能力,定義との照合処理能力の具備も必須となる.さらに,ネットワーク上の通信内容が暗号化された場合,どのような検知を考えるべきかなどといった課題も存在する.
また,異常検知などのルールの更新には機械学習などを利用した自動化も多く研究されている[10].
マルウェア解析は,新しく観測検知したマルウェアの挙動を解析・把握することにより,インシデント対応(4.6節)でのマルウェアによる被害状況の特定/推定などに役立てることができる.マルウェアの解析手法は,動的解析と静的解析の2つに大別できる.両手法にはメリットとデメリットがあり,実際のマルウェア解析作業では,双方のやり方を組み合わせて行うのが効果的であると考えられる.
ほかのシステムに影響を与えない隔離環境で,実際にマルウェアを実行して,その挙動を調べる手法.さまざまなシステムモニタリングツールが利用される.短時間で容易にマルウェア動作を把握することができるといった利点はあるものの,たとえば,日付や確率などで発症するマルウェアについては,条件が一致するような環境整備が必要となり,煩雑となる.本手法では,期待通りにマルウェアが動く環境を構築できるか否かが鍵.
バイナリコードを逆アセンブルして分析する.作業の中心を担うのは逆アセンブラツールで,逆アセンブルしたコードをすべてチェックすることによりマルウェアの完全な挙動を把握することができる.ただし,それらの挙動解析にはそれ相応の時間と手間がかかるといった難点がある.静的解析は気軽にできる作業ではなく,それを実施するためにはあるレベルのスキル(OSやネットワーク,プログラミング言語など幅広い知識)が要求される.
動的解析,静的解析のいずれの方法でも,時間さえかければマルウェアの動作を細部にわたって詳細に解析できるが,1つの解析に十分な時間をかけられない.解析が長引けば,マルウェア感染が拡大し,甚大な被害をもたらす危険性がある.したがって,いかに解析時間を短縮させるかが最重要課題である.
最近では,大抵のマルウェアが難読化(静的解析を困難化)やアンチデバッギング(デバックを困難化)といった機能を持っており,さらにマルウェア解析を困難にしている.攻撃者は「パッカー」と呼ばれるツールを利用することで,容易に難読化などが施されたマルウェアの作成が可能となっている.また,マルウェアによっては,解析環境検知(アンチサンドボックス/アンチVM機能)を保有しており,これらの機能への対策も課題となる.
すべてのマルウェアの手動解析では,迅速に解析結果の提供ができないため,マルウェア挙動の自動解析が必要となる.自動化を提供するサービスも近年では多く提供されており,短時間で解析結果が入手し,マルウェアに対する初動対応に役立てている.
「ダークネット観測」とは,未使用のIPアドレス空間を用いて,攻撃者による不正な挙動(マルウェアによるスキャン,DDoS攻撃の跳ね返りなど)を観測し,それをセキュリティに資することを目的としており,インターネット上の大規模攻撃活動の観測に適している.特に,ネットワーク経由で感染を拡げるワーム系マルウェアの大量感染などについては,ダークネット観測ではその特徴や傾向を早い段階で把握することが可能となる.
2000年初期から,米国ミシガン大学のプロジェクトが発端となったArbor Networksプロジェクトでは,複数の/16のIPアドレス空間をダークネット観測に活用し,主に研究活動を実施していた.
2005年から,情報通信研究機構(NICT)ではダークネットに基づくインターネット上のトラヒック観測を行っており,観測した情報に基づき,スキャン手法,スキャン元アドレス,利用するポート番号などの情報から,該スキャンに関連するマルウェアを導出する相関分析などの研究を行っている.現在,NICTでは30万アドレスのダークネット空間で観測を進めており,ダークネットで観測したトラヒック量は年々倍増している.2016年の年間観測パケットは1,280億個を超えており,2017年はさらに大きく増加している.
2013年まではMicrosoft Windowsの脆弱性を狙ったスキャンが主流であったが,2014年以降は,徐々にIoT機器に関連するスキャンが増加する[11].2016年のダークネット観測データによると,全スキャンの60%以上はIoT機器(IoT機器使用のポート)を狙ったものであった.本現象は,マルウェア感染した多数のIoT機器が脆弱なIoT機器探索を実施している推測される.
一方,ダークネット観測を用いると,送信元IPアドレス偽装されたSYN-Flood 攻撃(DDoS)の跳ね返り(DDoS攻撃の標的からの応答(SYN-ACK))を実時間で観測できるため,これらの検知情報をDDoS攻撃早期対応などに活用することが可能となる.
ハニーポットは,攻撃者の標的となるシステムを模倣した「おとり」を用いることで,第3章で述べたマルウェアを捕獲し,マルウェア本体やその侵入方法を解析することを主な目的とする.また,不正アクセスなどを行う攻撃者をおびき寄せ重要なシステムから攻撃をそらしたり,リフレクション型DDoSのリフレクタを模倣したハニーポットでは,実際のDDoS攻撃を受けることで,早期のタイミングでDDoS攻撃を把握できる.さらに,広域にハニーポットを設置することにより,それらに記録された操作ログ・通信ログなどの情報から,世の中で広く蔓延しているマルウェア侵入方法やそれらの傾向分析を行うことも目的となる.以下に,ハニーポット技術を概観する.
一般的なハニーポットシステムは,オペレーティングシステム (OS) やアプリケーションに脆弱性を残して攻撃を受ける機能(おとり機能),受けた攻撃によって外部への踏み台とならないための通信制御機能,および攻撃者の不正アクセスなどを適切に記録する機能(通信ログも含む)によって構成される.
実際に脆弱性を残した「被害ホストと同等」のOSやアプリケーションなどをハニーポットとして利用する.このため,情報収集能力は高い反面,侵入されたときのリスクが高い.
特定のOSやアプリケーションをエミュレートし監視を行う.エミュレートした範囲に機能が制限されるため,情報収集能力は低い反面,高対話型に比べ比較的安全に(感染しないで)運用ができる.
攻撃者が用いる侵入挙動を解析する方法として,実際のシステムに侵入される前に,ハニーポット技術を用いた解析を行うことで,マルウェア挙動などを事前に把握でき,早期の対策を打てるようになってきている.しかしながら,高度な攻撃者はハニーポット検知機能をマルウェアに搭載し,ハニーポットでの解析を回避する等,ある意味攻撃者と解析者のイタチごっことなっている.
さらに,近年では,リフレクション型DDoS検知用,IoT機器への感染解析用など,攻撃種別や応用に特化した目的のハニーポットが多く開発されており,攻撃早期警戒などに一定の効果を上げている.
組織やサプライチェーンにおいて,内在するセキュリティ上のリスクを特定し,それらのリスクを低減するためのセキュリティ対策を策定・決定し,その対策の有効性を評価し,さらに組織の目標にあった効果的なセキュリティ対策に向けて改善するために管理・運用することを「セキュリティマネジメントを実施する」という.セキュリティ対策には人的な対策(人材育成を含む),物理的な対策,管理上の対策,技術的な対策があるが,近年では,変化の激しい脅威(攻撃)の環境などに鑑み,組織におけるリスクを把握することが重要となり,把握されたリスク低減のため,環境の変化に合わせて適切なセキュリティ対策を動的に配備することが重要になっている.
情報漏えいやシステム停止などの攻撃に起因するインシデントが発生した際の対応を迅速かつ適切に行えるよう,平時からその準備や対策を配備すること.あらかじめ侵入や被害を受けることを前提として,その検知と初動対策に注力することで被害を最小化することを狙っている.なお,上記のセキュリティマネジメント(4.5節)においても,インシデント対応は重要な対策となっている.以下に,本節に関連する用語を以下に整理する.
SOC (セキュリティ・オペレーション・センター):組織に設置するファイアウォールや侵入検知システム, ネットワーク機器や端末のログなどを常時監視し,インシデントの発見や特定,連絡を行う役割の専門組織.
CSIRT(Computer Security Incident Response Team,シーサート):主にインシデントレスポンスを実施する組織.すなわち,ウィルス感染,不正アクセス,情報漏えいなどのセキュリティを脅かしている事象およびインシデントに対して,原因の調査,対応策の検討,サービス復旧などを適切に行うことが主務.たとえば,内閣官房内にある緊急対応支援チーム(NIRT:National Incident Response Team)は,CSIRTとして位置づけられる.
なお,インシデント対応を行う組織名称に,しばしば「CERT(Computer Emergency Response Team)」を用いるが,CERTはCMU商標で認可が必要であり,一般名称としては,「CSIRT」が使用される.ただし,日本には認可を受けているJPCERT/CCやNTT-CERTが存在する.
近年,インシデント対応の重要性が増加し,多くの組織にSOCやCSIRTの機能が実装されている.しかしながら,多くの組織でインシデントを監視し,発見する手法は,既存のセキュリティ機器であったり,監視機器であるため,高度な(新種の)攻撃によるインシデントの対応が遅れ,組織への実被害がでてしまう例も多い.したがって,最新の脅威情報,攻撃手法などを十分に調査・把握し,インシデント対応をより効果的に実施することが鍵となり,そのためには高いスキルと経験も必要となる.
本稿の目的の1つとして,本特集号を構成するほかの論文のガイド的な位置づけになることがあるため,これまで解説していない「電子認証技術」について,以下に簡単に解説する.電子認証技術とは,通信相手の正当性を確認するために,電子認証局から発行される「電子証明書」を用いて,なりすましの防止や情報の改ざんを防止する技術.本技術により,現実世界で物理的に実施されている署名,捺印などの業務を安全に電子化することができ,近年では,電子契約書,電子請求書,電子議事録,電子稟議書などの多くの応用において,電子認証技術が活用されており,さらに,電子的に保存する文書や電子申込書などにおいても,文書の作成者の真正性を保証するための技術として利用されている.
インターネット,マルウェア,セキュリティ技術につき,上記に概観した.近年,脅威環境(攻撃の多様化など)は非常に複雑になっており,誰一人,脅威の全体像を把握できていない現状がある.さらに,攻撃と防御が「イタチごっこ」であることに加え,攻撃者の保有能力と防御側の能力には乖離があり,常に攻撃側が優位に立っているといえる.近年の高度な攻撃をしかける攻撃者集団では,セキュリティ機器の解析・調査だけではなく,攻撃モジュールの自動化開発を遂行するための十分な資金力もあり,防御側との技術的な差がさらにひらく.
これに対抗するためには,個別に活動している防御側は連携することが必須となり,脆弱性情報の迅速な連携共有,フレッシュな不正ドメイン/IPアドレスの共有化,国際的に連携したハニーポット配備などによる,攻撃挙動の連携観測などの実施が鍵となる対策となろう.一例として,セキュリティベンダ,OSベンダ,大学,警察組織などの組織が連携して,悪性サーバ(ボットネットC2等)のテイクダウンを行った事例があり,Operation B49(Waledac対策(3.2.4項),Operation B71(Zeus対策)などが有名である.また,セクタ(エネルギー,通信,金融など)においては,ISAC(Information Sharing and Analysis Center)の活動強化,および異なるISAC間の連携が重要となろう.さらに,個々の組織においては,上述の人材育成の強化等のセキュリティマネジメントの適正実施が必須となるが,組織のインシデント対応能力をさらに向上にするために,インシデント発生後の耐久力(レジリアンス)の強化,たとえば攻撃の影響を最小化などの実施も肝要となろう.
最後に,本特集号を構成する他論文の主テーマである,SOC構築,標的型攻撃,インシデント対応,CSIRT,人材育成,および電子認証技術については,第3章~第4章において概説した.
謝辞 本稿作成にご協力いただいた,星澤裕二氏(PwC),中里純二氏(NICT),吉岡克則氏(横浜国立大学),秋山満昭氏(NTT研究所)に深謝いたします.
1979年早稲田大学卒業後,国際電信電話(株)に入社.KDD研究所を経て,現在KDDI(株)顧問,および研国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所 主管研究員,横浜国立大学 客員教授を兼務.ネットワークおよびシステムを中心とした情報セキュリティ技術/サイバーセキュリティ技術の研究開発に従事.電子情報通信学会会員.経済産業省大臣表彰賞,KPMG情報セキュリティアワード,文部科学省大臣表彰賞,情報セキュリティ文化賞,総務大臣表彰等を受賞.
会員種別ごとに入会方法やサービスが異なりますので、該当する会員項目を参照してください。