2005年07月23日(土) 14時08分

「セキュリティ製品もハッカーのターゲットに」——ISSのローランドCTO（ITmediaエンタープライズ）

　「セキュリティ製品が広く導入されるようになるにつれて、ハッカーもセキュリティ製品にいっそう関心を持つようになった。確かに、セキュリティベンダーはハッカーのターゲットにされている」——。

　先日来日した米Internet Security SystemsのCTO（最高技術責任者）、クリス・ローランド氏は、ユーザーを守る役割を担うセキュリティ製品にも脆弱性が発見されていることを踏まえ、このようにコメントした。

　OSやWebブラウザといったアプリケーションだけでなく、ウイルス対策製品やパーソナルファイアウォールなどのセキュリティ製品にも脆弱性は存在し、それが悪用されたケースも生じている。ローランド氏は、セキュリティ製品を導入したがゆえにその脆弱性が狙われてしまうという事態があってはならないと述べ、「セキュリティ業界全体に、より高レベルな製品を提供していくという責任がある」とした。

　ISS自身では、X-Forceによる検査を行うほか、外部機関によるダブルチェックを施し、脆弱性の洗い出しを行っているという。「研究開発による品質の向上、ソースコードの監査などに注力し、業界全体として向上を図っていきたい」（ローランド氏）

●スパムボイスメールがあふれる？

　ローランド氏はまた、今後懸念される脅威として、VoIPをターゲットとした攻撃、特に「SPIT（SPAM over IP Telephony）」が増加すると予測した。

　ISSは先日、Cisco SystemsのVoIP製品に存在する脆弱性を指摘したばかりだ。SIPやH.323、MGCPなど、VoIPを構成するプロトコルは多岐に渡っており複雑なうえ、ベンダーの実装もまちまち。結果として「VoIPのセキュリティは、スイスチーズのように穴だらけの状態だ」（同氏）という。

　特に2006年以降は、VoIPの世界のスパムであるSPITの問題が深刻化するだろうとローランド氏。ちょうど今、朝出社するとメールボックスに多数のスパムメールがあふれているのと同じように、「オフィスの電話をチェックすると、『ナイジェリア詐欺』のようなボイスメールがあふれる状態になるだろう」（同氏）

　SPITが増加すると見られる理由は2つある。1つは、いわゆるスパムメールについてはさまざまな技術的対策が登場しており、「（スパマーにとって）効率が悪くなっている」（インターネットセキュリティシステムズのエグゼクティブセキュリティアナリスト、高橋正和氏）。これに対しSPITについて有効な対策はまだ存在しない。金儲けをたくらむスパマーが、より効率的な手法を選ぼうとするのは自然なことだ。

　もう1つは、「メールよりも音声のほうが感情に強く訴える」（高橋氏）ことだ。振り込め詐欺の被害額の大きさを考えれば分かることだが、同じフィッシング詐欺にしても、文字で訴えるよりも、音声で「至急対応しないとあなたのアカウントが危ない」と訴えるほうがだまされやすい。そこに付け込むのがSPITだという。

　ISSでは現在、SPIT対策機能の開発を進めており、今年第4四半期をめどにIPS製品「Proventiaシリーズ」に搭載する予定だ。並行して、10Gbps超のスループットを実現するASIC搭載型のProventiaやハードウェアタイプの脆弱性スキャナなど、多くの製品を投入する準備を進めていくという。

http://www.itmedia.co.jp/enterprise/

http://headlines.yahoo.co.jp/hl?a=20050723-00000021-zdn_ep-sci