ファッションとセキュリティ脅威の共通点は意外と幅広い

ファッションとセキュリティ脅威の共通点IT mediaエンタープライズより

ファッションと同じように、マルウェアの世界でも、昔流行したものが一定周期で再び登場してきている」——米 Symantecのセキュリティ研究センター、Symantec Security Responseでオペレーションディレクターを務めるケビン・ホーガン氏が11月6日来日し、昨今のセキュリティ脅威の動向について解説した(関連記事)

ホーガン氏はまず、「人が増えれば(=人気の高いものには)セキュリティリスクも付いてくる」と述べ、アプリケーションレベルの攻撃の増加やWeb 2.0ならではの脅威の登場といった最近のトレンドについて触れた。

「先祖返り」のもう1つの例が、「ファイル感染型のウイルス、いわば純粋なウイルスがまた増加してきたこと」だという。

この手法はまた、古典的かつ有効な攻撃手口の1つである「ソーシャルエンジニアリング」の応用とも表現できるという。

なおソーシャルエンジニアリングの手法は今も、脅威をちらつかせて入金を迫るミスリーディングソフトウェア(偽セキュリティソフトウェア)で使われている。最近の手口としては、中身は同一のプログラムなのにスキン(見かけ)だけを変え、新しい配布用Webサイトを設けて詐欺を繰り返すケースがあるという。

Web2.0のサービスが新たなセキュリティリスクに:IT pro Securityより

ソーシャル・ネットワーキング・サービス(SNS)やオンラインゲームといった比較的新しいタイプのWebサービスの空間に、従来から存在した不正プログラムやインターネット詐欺の手口が進出していくというケースだ。「SNSに人が集まっているので、セキュリティリスクもそちらに移っていく」(ホーガン氏)。例えば、2006年7月には米国の大手SNS「MySpace.com」を介して感染する不正プログラムSpaceflash」が出現している。いずれもシマンテックのケビン・ホーガン氏の話だ。

古いものが復活してくる。最近ではよく聞くことの1つだ。

セキュリティというか、どの世界でも同じような事は繰り返すようだ。

まるでヘーゲルの弁証法のようだ。

いずれも、最新の流行と古典的手口のハイブリットで迫ってくる。

YouTubeビデオに見せかけた“罠”に注意,再生するとスパイウエアがダウンロードIT pro Securityより

ハッカーがWikipediaをマルウェア配布に悪用IT mediaエンタープライズより

この2つも同じく、最新流行+古典的手口の融合型だ。

結局、引っかかりやすいところにトラップは仕掛けられる。仕掛ける側からすれば最も効率の良い話だ。

人の集まるところに、人気のあるところに、リスクはついてくるってのは、インターネットに限ったことではない。

人混みでスリが多くいたり、混雑した電車の中で痴漢が多いのと変わらない。

ここで学びたいことは、現実社会と仮想空間での違いはない!ってことだ。

どうも仮想空間の場合、現実社会と違く見られがちだが、まったく変わらない。

唯一の違いは、より見えにくく、利用者が自ら進んで参加してしまうところだろう。

この回避方法は、インターネットを使わないこと!これでは話にならない(笑)

となると、アヤシイとすべてを疑うのか?これも現実的でない。

シマンテック流に言えば、アンチウィルスなどのセキュリティ対策ソフトを導入してくれ!って事になるだろう(笑)しかしこれは正しい答えだ。アヤシイ判定はソフトに任せ、プロテクトする。これしか方法はないだろう。ちなみに私はシマンテックの回し者ではない(笑)

他に出来ることは、脅威のパターンを知ることだ。これも有効な方法の1つだ。

大体が同じような事を、小手先だけ変えて迫ってくるだけで、流行こそあるがほぼ変わらない。

パターンを知る事は、現実社会でも仮想空間でも同じ事だから、両方で使えるプロテクトのハイブリットになる(笑)

利用者側にも、アーモンドキャラメルのように”一粒で二度おいしい”ことがあっても良いのではないだろうか?

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。