DNSキャッシュ・ポイズニング、フィッシング、SQLインジェクションなどの最新動向

（左から） 日立情報システムズ 丹京真一 氏 日本電信電話 石橋圭介 氏 ラック 川口　洋 氏（モデレータ） （左から） アイアイジェイ テクノロジー 木村真理 氏 NECネクサソリューションズ 中西克彦 氏 ラック 滝口博昭 氏

　パネルディスカッション「最新セキュリティ事情とセキュリティ運用の勘所～セキュリティオペレーションの現場から」では、日頃からセキュリティオペレーションに従事するパネラーにより、今年、話題となったセキュリティ関連のトピックについてプレゼンが行われた。

DNSキャッシュ・ポイズニング（DNSキャッシュ汚染）、フィッシング詐欺、SQLインジェクションなど最近動向を報告

　トップバッターとなったのは、日本電信電話 情報流通プラットフォーム研究所の石橋圭介氏。今年、大きな話題になったDNSキャッシュ・ポイズニングについて取り上げ、名前解決の仲介を行うDNSキャッシュサーバーが汚染されることにより、Webサーバーやメールサーバーが乗っ取られる危険性について説明した。ただ、キャッシュ汚染攻撃そのものは、昔から知られていたとも指摘し、プロトコル自体の脆弱性が問題であり、より抜本的な対策が必要であると同時に、日常的な監視・検出の重要性が強調された。

　日立情報システムズの丹京真一氏からは、フィッシング詐欺の最新動向が報告された。ホームページビルダーを使ってフィッシング詐欺サイトを作り、金曜日にフィッシングメールをばらまき、土日に漫画喫茶で情報を回収し、月曜日にお金を引き出していたという逮捕事例が紹介された。今年に入ってから、日本語のフィッシング詐欺サイトが目立つようになってきたという。さらに海外では、フィッシング詐欺用のキットが出回り、組織的な犯罪としてフィッシング詐欺が行われているという危険な実態が報告され、今後は、前述のDNSキャッシュ・ポイズニングが悪用されるケースにも対応していく必要があるだろうと説明された。

　ラックの滝口博昭氏は、SQLインジェクション攻撃の現状と、その対策としてのファイアウォールおよびIPS（Intrusion Prevention System：侵入防止システム）の重要性を説明。ただし、最近はIPSを回避するための攻撃も登場しているとし、IPS回避をねらった具体的なコードが紹介された。また、危険が認識されて、シグニチャが更新されるまでには、どうしてもタイムラグが発生するため、IPSもけっして万能ではないと警鐘を鳴らした。

DNSキャッシュ・ポイズニングの仕組み フィッシング詐欺の現状

情報セキュリティを守るには企業間の連携不可欠

　「セキュリティの共通認識と開発・運用の理解」というタイトルでプレゼンを行ったのは、NECネクサソリューションズの中西克彦氏。まず、WAF（Web Application Firewall）の概要、およびWAFの実現方法としてホワイトリスト方式とブラックリスト方式について説明。最も良いのは2方式を組み合わせることだが、コスト面ではブラックリスト方式を採用するのが現実的だろうとしたうえで、最近は手軽に導入できる低コストのWAFも登場し、導入の敷居が下がっていることが紹介された。また、セキュリティ診断を「3ヶ年計画」や「5ヶ年計画」で実施するアイデアを紹介。そのほか、セキュリティ製品やサービスを導入しても使いこなせていない現状とその解決策、教育の重要性などが熱く語られた。

　本セッションの最後となったアイアイジェイテクノロジーの木村真理氏は、「ITプラットホームサービス事業におけるセキュリティオペレーション」と題して、サービス事業者にとってのセキュリティについてプレゼンを行った。最近は、ダウンタイムが限りなくゼロであることを求められる一方で、システムの複雑化・多様化によってシステムの脆弱性を正確に把握することが困難になっている現状を指摘。オペレーションミスによるセキュリティインシデントへの対応が求められているなど、サービス事業者が置かれている厳しい実態が説明された。

　いずれのプレゼンにも、パネラーが日常的な業務から得た知見が数多く含まれており、情報セキュリティを守るには企業間の連携が不可欠であるという認識が、すべてのパネラーに共通していた点が印象的だった。パネラーの1人は、「互いに協力すればよりよい結果が得られるにもかかわらず、自社のセキュリティだけに目を向けていると、結果的に自社のセキュリティも守れなくなる」と指摘。改めて、情報セキュリティを守るうえで、企業間の連携および継続的な情報交換の重要性が確認された。

IPSの回避を狙った攻撃