誰でもいいから引っかかるひと居ませんか？ってな具合に片っ端からばらまくのをマスメールって言うみたいなんですが、逆にこの組織のこのあたり、ってな具合でピンポイントで狙うのをスピア型って言うんですかね。そういうの増えてるみたいですねえ。
今回のゼロデイなネタもスピア型spamってのが出始めているとか聞きます。ますます厄介なことになってきてるんですねー。
何が厄介かってぇとまあスピア型ってのはとにかく、亜種ウイルスなどと組み合わせると検知も難しい上にヒット率が高い、ということになるわけですからね。一般的な攻撃検知の仕組み、特にウイルス対策ソフトは、ウイルスそのもの、攻撃そのものと寸分違わず一致して初めて警告してくれるわけなので、言い換えると亜種には弱い、ということになるわけです。その弱さを今まではある意味人海戦術で補ってきたわけなんですが、ここへきてそれも破綻しつつあるようですね。これまでのIDSも同じ徹を踏みつつあるわけなのですが、IDSはもう少しインテリジェンスに検知をしようとしているので、まだまだ、という意見もあります。通信量の変化や振る舞いなどを見る方法論ってのはそれに当たるわけですよね。しかしあまり決定打にはなってないっすね。
スピア型になると通信量は目立って変化してくれないようになりそうな気がするし、振る舞いでどこまで捕捉できるか、いろいろ成果を見ていると今のところはこの点にかかっているような気がします。そんな振る舞い検知にもまだ弱点はありそうですけどねえ。
新しい方法論が必要な気がするんだけどなあ。しかもマスにばらまいても人海戦術に頼らず、かつ軽く動かせるヤツが。