企業における情報漏えい対策-入門編(2/6)
~まずは「標的型攻撃」とその対策を理解しよう~

security concept - Lock on digital screen with world map

近年で最も注目されている情報漏えいの原因、標的型攻撃。時間と労力をかけた人的な攻撃に対し、一つで完全な解決を導く方法がないことはだんだん知られるようになってきました。「時間と労力をかけた人的な攻撃」とは一体どのようなものか、それに対応する防御の手法とは…..。

「うちは標的型攻撃への対策、大丈夫か」と聞かれたら?

前回(1/6)*の記事では、一口に「情報漏えい」といってもその原因はさまざまで、外部からの攻撃によるものだけでなく、内部犯行やユーザーのミスなど、いくつもの可能性があることに留意する必要があるとご説明しました。

*入門編(1/6)~話題の「標的型攻撃」以外にもある情報漏えいの経路~

とはいえ、おそらく情報システム担当者、セキュリティ担当者が今の時点で最も緊急に迫られているのは、マスメディアをにぎわせた「標的型攻撃」への対策ではないでしょうか。しかし、経営層に「うちは大丈夫か?」と尋ねられたとき、「はい、標的型攻撃にはやられません。大丈夫です」と自信を持って言える企業などおそらく存在しません。典型的な標的型攻撃の手口をおさらいしながら、その理由を説明しましょう。

これまでの事例に見る、多段に渡る標的型攻撃のステップ

標的型攻撃は、「A社の情報を盗み取る」といった明確な目的を達成するため、時間をかけ、複数のステップを踏んで実行されるサイバー攻撃と表現できるでしょう。不特定多数のユーザーをターゲットとしたウイルスとは異なり、目的達成のために、特定の組織や企業に合わせてカスタマイズしたマルウェア(悪意あるソフトウェア)に感染させます。そして時間をかけて内部で感染を広げ、外部から遠隔操作を行って、最終的には顧客情報や機密情報を盗み取るのです。

カスタマイズしたマルウェアに感染させる手段はいくつかあります。仕事に関係しそうな文面のメールを送りつけて添付ファイルを開かせたり、URLをクリックさせて悪意あるサイトに誘導するケースもあれば、わざわざターゲットとなる組織のユーザーが頻繁にアクセスしそうなWebサイト(例えばIT企業ならばIT関連のメディアサイト)を改ざんし、そこにマルウェアに感染させるスクリプトを仕込んでおく「水飲み場攻撃」というケースも報告されています。これらの手口を効果的に進めるため、ソーシャルネットワークなどを利用した事前の情報収集も怠りません。

illust_標的型攻撃の流れ

加えてこれまで明らかになった標的型攻撃の被害報道を見ると、「ウイルス対策ソフトを導入していたにもかかわらず、感染してしまった」というケースが目立ちます。それは上記のように、シグネチャが存在する既存のマルウェアをそのままばらまくのではなく、攻撃ターゲットごとにカスタマイズを加え、セキュリティ対策ソフトをすり抜けられることを確認してから、実際の攻撃に移るからです。

では、仮想マシン上でファイルを実行し、未知のウイルスを見つける「サンドボックス」と呼ばれるソリューションならば、対策できるでしょうか? おそらく一定の効果は得られるでしょうが、将来にわたって100%防ぐことはできないでしょう。なぜならば、標的型攻撃で私たちが相手にしているのは、目的達成のために行動している「人間」や「組織」だからです。一度はマルウェアの侵入を防いでも、彼らは私たちの対策を読んだ上で、また別の手段で侵入を試みてくるはずです。

ならば「標的型攻撃メール訓練」によって、不用意にメールを開かないよう人間が注意すればいいだろう、と思う方がいるかもしれませんが、これまた難しいと言わざるを得ません。そもそも標的型攻撃メールは、「履歴書」だったり「通達」だったり、受け取った担当者が開かざるを得ないような内容で送られてきます。それを、疑わしいから問いって開かずにいれば、通常業務に支障が生じることでしょう。それに常に同じ文面で送られてくるとは限りませんし、水飲み場攻撃のような手段もあります。訓練はあくまで、過去の手口を理解し、いざという時の連絡先や対応手順を確認するものと位置づけるべきでしょう。

従来の対策だけでは防げない?〜二の手、三の手で最悪の事態を防ぐ

残念ながら、標的型攻撃に用いられるマルウェアへの感染を100%防ぐことはできないでしょう。ですが、打つ手無しというわけではありません。たとえ最初の侵入を許しても、標的型攻撃の一連のシークエンス——内部での感染拡大や外部不正サーバとの通信——のどこかのステップで侵入に気付き、それ以上の侵害を食い止めることができれば、情報漏えいという最悪の事態に陥ることは避けられるはずです。つまり「侵入を100%防ぐことはできない」「想定外は起こりうる」という前提に立ち、二の手、三の手を考えておくことが大切です。

二の手三の手で最悪の事態を防ぐ!

もちろん、何も予防策を打たないのはナンセンスですし、逆に無尽蔵な投資も不可能でしょう。自社の予算やITスキルに見合った予防策を導入しつつ、日頃からネットワークを監視し、不審な外部のサーバとの通信が発生していないか、あるいは社内の認証サーバやファイルサーバに対し侵入が仕掛けられていないかを確認する仕組みをバランスよく整えることによって、早期発見、早期対処が可能になります。その意味で、さまざまなセキュリティインシデントへの対応に当たるCSIRT(Computer Security Incident Response Center)の整備にも注目が集まっています。

 

今回の事件に限らず、セキュリティ業界で取材を重ねていて思うのは、日本人・日本企業はよくも悪くもまじめで、「ノーミス」の防御を目指しがちだということです。これはほめられるべき姿勢ですが、一度その壁を破られてしまうとあとは素通しになりかねません。今回取り上げた標的型攻撃をはじめ、複雑化しているサイバー攻撃に対処していく上では、二の手、三の手も含めたしたたかな取り組みが必要となるでしょう。

次回では、「内部犯行対策」についてお話します。

 

参考:https://www.ipa.go.jp/security/vuln/newattack.html

情報処理推進機構 『高度標的型攻撃』対策に向けたシステム設計ガイド

 

第1回:入門編(1/6)~話題の「標的型攻撃」以外にもある情報漏えいの経路~

第3回:入門編(3/6)~覚えていますか? 大手通信教育会社の流出事件 権限を持つ「人」が原因、アカウント管理と監視の徹底を~

 

編集:ビジネスon IT運営事務局(セキュリティ班)

 

メールマガジンを購読する

Pocket

コメント