ホーム > 情報セキュリティ > スピアなんとか

スピアなんとか

情報通信研究機構(NICT)より大変興味深い研究に関する発表があった。

報道発表(お知らせ)
* スピア型サイバー攻撃判定システム開発のための共同実証実験を開始
-特定の組織に限定したサイバー攻撃を早期に検知するシステムの実現に向けて-

(独立行政法人情報通信研究機構, 2008/3/3)

以下本文中、気になった箇所をピックアップする。

インターネットにおいて最近頻繁に出現している「スピア型サイバー攻撃*1」

本当に頻繁に出現しているのだろうか?どの程度頻繁なのだろうか?

スピア型サイバー攻撃
スピア(Spear)は槍のことであり、特定の対象に限定して攻撃するパターンのサイバー攻撃のことを指します。

これはスピアフィッシング攻撃(Spear Phishing Attack)という世界で広く別の意味で使われている用語の誤用ではないだろうか?(以下同じ意味の一般的な用語であるターゲテッドアタックと読み替えることにする。)

スピア型サイバー攻撃は通常のサイバー攻撃と異なり、特定の組織のみに対してマルウェア(ウィルス等)を送り付けるなど、攻撃対象が限定的であることから、・・・

ウィルス/ワームだけが通常のサイバー攻撃ではないので、通常のサイバー攻撃の中にも攻撃対象が限定的なものは多く存在する。

攻撃対象が限定的であることから、攻撃発生の早期検知が困難な状況となっていました。そのために、スピア型サイバー攻撃を早期に検知し、判定するためのシステム開発が切望されていました。

「攻撃対象が限定的である」→「攻撃発生の早期検知が困難」
→「スピア型サイバー攻撃を早期に検知」「するためのシステム開発が切望されていました。」

はありえるとして、

→「判定するためのシステム開発が切望されていました。」→?

攻撃を検知するシステムが切望されるのは理解できるが、判定するためのシステムの開発が切望されていたのだろうか?

今回のこのシステムは、検知自体は従来の個々のベンダーのシステムやサービスで行われるため、すでに検知済みのマルウェアを他社の保有情報と、その情報自体を公開することなく比較し、既知のものであるか否かを確認することができるものだと読み取れる。

このシステムをウイルス対策ソフトなどの複数のセキュリティソフトウェアベンダーが利用しようとする場合、各ベンダーが自社の製品やサービスを他社よりも優位にするために、図に示された「秘密共通集合計算サーバー」に提供する「検体ハッシュ」情報を制限しようという経済的な動機が働く可能性がある。

つまり、すでに検体情報を持つベンダーは「検体ハッシュ」情報を出し惜しみすることで、他社が捕獲した検体をターゲテッドアタックに誤認識させることが可能となり、出し惜しみをしたベンダーほど自社の製品・サービス品質を優位に保つことができる。

課題として「セキュリティサービス事業者単独ではスピア型サイバー攻撃を判定できない」という言葉が挙げられているが、仮に「セキュリティサービス事業者」とはこの図で言う「株式会社ラック」のことを指し、「トレンドマイクロ株式会社」は「セキュリティ製品事業者」であり、このしくみは競合関係にない「セキュリティサービス事業者」が「セキュリティ製品事業者」の助けを借りてターゲテッドアタックを認識するためのものだとすれば、協力のインセンティブが働くことは考えられる。

しかし「秘密共通集合計算サーバー」に情報を提供するウイルス対策ソフトベンダーが一社しかいない場合に、そのベンダーが当該マルウェアを保有していなかったというだけで、ターゲテッドアタックと判定するのは危険と思われる。ひとつのウイルス対策製品が出回っているすべてのウイルス・ワームの検体を保有しているわけではないし、ポリモーフィックやメタモーフィックなど自己改変機能を持つマルウェアも存在するからだ。ハッシュ値を使用しているなら検体のほんの1ビットを変更するだけで、ターゲテッドアタックということになってしまう。

文面から察するに、やはりこのシステムでは複数のウイルス対策ベンダーが検体情報を持ち寄ることを想定していると思われるのだが、その場合、先に述べた競合製品を開発するベンダーがどこまで協力的になれるかという問題が存在する。

もっともセキュリティ業界は社会的責任感の強い企業ばかりなので、このような心配をする必要はないということか・・・。

【参考情報】
■スピア型サイバー攻撃判定システム開発のための共同実証実験を開始-特定の組織に限定したサイバー攻撃を早期に検知するシステムの実現に向けて-(独立行政法人情報通信研究機構, 2008/3/3)
http://www2.nict.go.jp/pub/whatsnew/press/h19/080303/080303_1.html

■「標的型」はなぜ「スピアー」なのか?(武田圭史, 2007/6/27)
http://motivate.jp/archives/2007/06/post_133.html

カテゴリー: 情報セキュリティ タグ:
  1. コメントはまだありません。
  1. トラックバックはまだありません。

CAPTCHA