標的型攻撃に徹底抗戦!「出口対策」強化術

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

標的型攻撃に徹底抗戦!「出口対策」強化術

2012/01/24


 セキュリティ分野で昨年は大きな事件が相次いだ。特に深刻だったのは政府や官公庁、防衛関連企業への「サイバー攻撃」だろう。これらの攻撃は、どれも「システムから機密情報を窃取する」という共通の目的をもっていた。一連の事件は、組織のシステムをいくら堅固に要塞化しても、狙いを定めた攻撃からは守りきれないことを強く印象づけた。 それではどうすればよいのか。従来からの防御対策は変更を迫られている。今回は、機密情報を外部に漏らさないための「出口対策」にフォーカスして、転機を迎えた情報漏洩防止対策について考える。

サイバー攻撃

標的型諜報攻撃への対策が必要!情報を窃取するサイバー攻撃の「進化」

 従来からの愉快犯や金銭目的の攻撃に加え、産業機密の窃取や、思想的・政治的背景を匂わせる国家レベルの「諜報活動」と言える攻撃が表面化したのが昨年のセキュリティ動向の特筆すべき傾向だ。
 国内では昨年後半に衆議院・参議院や行政機関、防衛関連産業を狙った標的型攻撃と、それによるメールや機密情報の流出などの被害が相次いで公表された。またエネルギー産業や軍事に関わる重要インフラ関連情報を窃取しようという試みがいくつもの国で発覚している。さらにターゲット組織のセキュリティ攻略のためにセキュリティツールの技術情報をメーカーから窃取して攻撃を行ったケースまで明らかになった。
 「もしも国家機密や重要インフラの情報がテロリストの手に渡ったら」と安全保障上の不安を誰もが感じたはずだ。また企業のIT部門では「もし自分の企業が標的になったら」とぞっとする思いをされた方も多いだろう。被害を報道されたのは、もともと厳重に情報が保護されているはずの機関・組織ばかりだったからだ。自社が狙われたらひとたまりもないのではないか、多くの人がそう感じただろう。
 セキュリティには堅牢なはずの組織が被害にあったのは、攻撃が計画的で周到に準備したうえで行われたからだ。こうした攻撃は「新しいタイプの攻撃」、「APT(Advanced Persistent Threat)」、「標的型諜報攻撃」などと呼ばれている。その攻撃には、「標的型攻撃メール」が含まれている。これは、実際に業務で使うメールと見分けがつかないような体裁と内容のメールをターゲットに送り、それに添付されているファイルを開くことでウイルスに感染させたり、メール内のリンクによりウイルス配布のために用意されたWebサイトに接続して感染させるようにするものだ。
 感染したPCは、その中の情報を探られ、必要な情報を攻撃者のもとに送信する。攻撃者はその情報をもとに新たな作戦を立て、最終的な目標達成まで、侵入に成功しているウイルスの機能を変更したり追加したり、新しいものにバージョンアップしたりしながら、数々の手口を駆使して情報を漁りとる。昨年の、国内防衛産業への攻撃手口もこのような方法だった。そのおおよそのイメージは図1のようだ。

図1 標的型諜報攻撃の概念と特徴
図1 標的型諜報攻撃の概念と特徴
資料提供:IPA

 図に見るように、攻撃者は本当のターゲットであるA社のPCにスパイウェアを仕込むために、関係先のシステムを先に狙い、A社に確実に侵入できるように準備を行っている。A社には取引先や業界団体などの多数の関係組織があるため、そのうちの1社でもウイルス感染してしまえば、相互のやり取りのメールを盗み見ることが可能になる。そのメールに加工を施すと、通常の業務のためのメールと見まがう体裁と内容のウイルス付きメールを作ることができる。国内の防衛関連産業のケースでは、関係先組織が正規のメールを送信してから約10時間後に、関連組織内のA社を含む数社にウイルス付きのメールが送信されている。
 現在のウイルスは、セキュリティパッチやアンチウイルスツールのウイルスパターンにまだ登録されていない、「ゼロデイウイルス」も多いため、検知できないことが多い。A社では11事業所にわたって計83台のPCやサーバが感染した。
 こうして組織内に侵入したウイルスはその後、外部のリモートコントロール装置(C&Cサーバ)と通信経路を作り、集めた組織内の情報を気づかれないように送り出す。また自分自身をバージョンアップし、攻撃の方法をさまざまに変えていく。
 このような攻撃はインターネットとLANを通じて行われるので、それらと切り離された工場などの単体装置やLAN(クローズ系ネットワーク)なら直接リスクがないと思われてきた。しかし図でも触れているように、感染したUSBメモリをクローズ系システムで利用したために、クローズ系内でも感染を拡大した例がある。
 こうした攻撃や、その後の情報の外部送信に対して企業システムとしてはどのように対策すべきなのだろうか。


1

従来の対策ではカバーできない!?「標的型諜報攻撃」とは

1-1

「標的型諜報攻撃」の特徴は?

 組織のシステムから情報が漏洩するケースを分類すると、図2のようになる。大きく分ければ2通りだ。組織に所属している人間が外部に情報を漏らす、図下部の「情報管理」に区分されるものは別の機会に論じるとして、今回テーマとしたのは上の「サイバー攻撃」だ。この中には上で紹介している「標的型攻撃」が含まれる。

図2 情報セキュリティにおける攻撃の分類
図2 情報セキュリティにおける攻撃の分類
資料提供:IPA

 「標的型攻撃」には「不特定目標攻撃」と「標的型諜報攻撃」の2種類がある。
 不特定目標攻撃は、主に金銭を目的として、個人情報を窃取しようとするものだ。ウイルス付きの迷惑メール、フィッシングメール、フィッシング用のサイトへの誘導メール、Webサイトからのウイルス感染、WebサイトへのSQLインジェクションなどによる情報窃取が行われている。
 標的型諜報攻撃は、2005年頃から見られるようになったもので、目的はまだ判明していないものの、世界各国の軍事・防衛関連企業や官公庁、大使館などに対して行われているものだ。これは図3のような4段階の手順を踏み、防御側のセキュリティ設定が回避されてしまうことが多いのが特徴だ。周到な準備をして数多くの攻撃パターンを利用することから、従来からとられてきた「外部からの侵入を許さない」入口対策は、いくらコストをかけても間に合わなくなってしまう。

図3 「新しいタイプの攻撃」の流れ
図3 「新しいタイプの攻撃」の流れ
資料提供:IPA

セキュリティ情報局にご登録頂いた方限定で「標的型攻撃に徹底抗戦!「出口対策」強化術」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

サイバー攻撃/標的型攻撃に徹底抗戦!「出口対策」強化術」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

WebARGUS (ウェブアルゴス) 【デジタル・インフォメーション・テクノロジー】 NX NetMonitor+FireEye NX連携ソリューション 【日立ハイテクソリューションズ】 ランサムウェア対策ソフト 「RANSOMFILTER」 【Jiransoft Japan】
IPS IPS アンチウイルス
Webサイトを常時監視し、サイバー攻撃・標的型攻撃によって万一改ざんされても、瞬時にそれを検知して1秒未満で元通りに自動修復できるセキュリティ対策ソフト。 マルウェア対策製品「FireEye NX」と不正PC監視/強制排除製品「NX NetMonitor」の連携により、標的型サイバー攻撃の検知と感染した端末の排除を自動化するソリューション。 ランサムウェア対策に特化し、未知のランサムウェアの攻撃からPCを防御するセキュリティソフトウェア。無料評価版により180日間の試用ができる。

サイバー攻撃」関連の特集


 銀行や政府関係機関がハッキングの被害にあった…など頻繁にメディアを騒がせており、サイバー攻撃が日常…



データのバックアップは業務遂行において必要不可欠だ。しかし、バックアップを取るという手段がゴールにな…



「大掛かりなWebサイトを運営しているわけではないし……」という企業にも、アプリケーションの脆弱性や…


サイバー攻撃」関連のセミナー

金融ICT カンファレンス 2016 【ナノオプト・メディア】 締切間近 

開催日 12月9日(金)   開催地 東京都   参加費 無料

Fintech 時代に求められる金融業界が取り組むべき課題改善の重要なポイントを企業の成功事例を中心に、最先端テクノロジーとソリューションを一挙解説する。■キー…

LanScope Cat 最新バージョンリリース会 【エムオーテックス/Cylance Japan】  

開催日 2月8日(水)   開催地 大阪府   参加費 無料

昨年発生した米連邦政府の人事管理局(OPM)から2150万人もの職員情報が流出した事件について、今年9月に報告書が公開されました。そこには流出を発見できた経緯と…

第2回 Webマネジメント講座(対面研修2日間コース) 【日立システムズ】  

開催日 1月19日(木),1月20日(金)   開催地 東京都   参加費 有料 13万8240円(税込)

この度、日立システムズは、大手企業を含め300社以上のWeb戦略を支援し、多くの企業さまの業績を大幅改善に導いた実績のある合同会社あやとりと、「Webマネジメン…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004523


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ