ファッションとセキュリティ脅威の共通点は意外と幅広い
ファッションとセキュリティ脅威の共通点:IT mediaエンタープライズより
「ファッションと同じように、マルウェアの世界でも、昔流行したものが一定周期で再び登場してきている」——米 Symantecのセキュリティ研究センター、Symantec Security Responseでオペレーションディレクターを務めるケビン・ホーガン氏が11月6日来日し、昨今のセキュリティ脅威の動向について解説した(関連記事)。
ホーガン氏はまず、「人が増えれば(=人気の高いものには)セキュリティリスクも付いてくる」と述べ、アプリケーションレベルの攻撃の増加やWeb 2.0ならではの脅威の登場といった最近のトレンドについて触れた。
「先祖返り」のもう1つの例が、「ファイル感染型のウイルス、いわば純粋なウイルスがまた増加してきたこと」だという。
この手法はまた、古典的かつ有効な攻撃手口の1つである「ソーシャルエンジニアリング」の応用とも表現できるという。
なおソーシャルエンジニアリングの手法は今も、脅威をちらつかせて入金を迫るミスリーディングソフトウェア(偽セキュリティソフトウェア)で使われている。最近の手口としては、中身は同一のプログラムなのにスキン(見かけ)だけを変え、新しい配布用Webサイトを設けて詐欺を繰り返すケースがあるという。
Web2.0のサービスが新たなセキュリティリスクに:IT pro Securityより
ソーシャル・ネットワーキング・サービス(SNS)やオンラインゲームといった比較的新しいタイプのWebサービスの空間に、従来から存在した不正プログラムやインターネット詐欺の手口が進出していくというケースだ。「SNSに人が集まっているので、セキュリティリスクもそちらに移っていく」(ホーガン氏)。例えば、2006年7月には米国の大手SNS「MySpace.com」を介して感染する不正プログラムSpaceflash」が出現している。いずれもシマンテックのケビン・ホーガン氏の話だ。
古いものが復活してくる。最近ではよく聞くことの1つだ。
セキュリティというか、どの世界でも同じような事は繰り返すようだ。
まるでヘーゲルの弁証法のようだ。
いずれも、最新の流行と古典的手口のハイブリットで迫ってくる。
YouTubeビデオに見せかけた“罠”に注意,再生するとスパイウエアがダウンロード:IT pro Securityより
ハッカーがWikipediaをマルウェア配布に悪用:IT mediaエンタープライズより
この2つも同じく、最新流行+古典的手口の融合型だ。
結局、引っかかりやすいところにトラップは仕掛けられる。仕掛ける側からすれば最も効率の良い話だ。
人の集まるところに、人気のあるところに、リスクはついてくるってのは、インターネットに限ったことではない。
人混みでスリが多くいたり、混雑した電車の中で痴漢が多いのと変わらない。
ここで学びたいことは、現実社会と仮想空間での違いはない!ってことだ。
どうも仮想空間の場合、現実社会と違く見られがちだが、まったく変わらない。
唯一の違いは、より見えにくく、利用者が自ら進んで参加してしまうところだろう。
この回避方法は、インターネットを使わないこと!これでは話にならない(笑)
となると、アヤシイとすべてを疑うのか?これも現実的でない。
シマンテック流に言えば、アンチウィルスなどのセキュリティ対策ソフトを導入してくれ!って事になるだろう(笑)しかしこれは正しい答えだ。アヤシイ判定はソフトに任せ、プロテクトする。これしか方法はないだろう。ちなみに私はシマンテックの回し者ではない(笑)
他に出来ることは、脅威のパターンを知ることだ。これも有効な方法の1つだ。
大体が同じような事を、小手先だけ変えて迫ってくるだけで、流行こそあるがほぼ変わらない。
パターンを知る事は、現実社会でも仮想空間でも同じ事だから、両方で使えるプロテクトのハイブリットになる(笑)
利用者側にも、アーモンドキャラメルのように”一粒で二度おいしい”ことがあっても良いのではないだろうか?
現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?
技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。
一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。