標的型攻撃に徹底抗戦!「出口対策」強化術

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

標的型攻撃に徹底抗戦!「出口対策」強化術

2012/01/24


 セキュリティ分野で昨年は大きな事件が相次いだ。特に深刻だったのは政府や官公庁、防衛関連企業への「サイバー攻撃」だろう。これらの攻撃は、どれも「システムから機密情報を窃取する」という共通の目的をもっていた。一連の事件は、組織のシステムをいくら堅固に要塞化しても、狙いを定めた攻撃からは守りきれないことを強く印象づけた。 それではどうすればよいのか。従来からの防御対策は変更を迫られている。今回は、機密情報を外部に漏らさないための「出口対策」にフォーカスして、転機を迎えた情報漏洩防止対策について考える。

サイバー攻撃

標的型諜報攻撃への対策が必要!情報を窃取するサイバー攻撃の「進化」

 従来からの愉快犯や金銭目的の攻撃に加え、産業機密の窃取や、思想的・政治的背景を匂わせる国家レベルの「諜報活動」と言える攻撃が表面化したのが昨年のセキュリティ動向の特筆すべき傾向だ。
 国内では昨年後半に衆議院・参議院や行政機関、防衛関連産業を狙った標的型攻撃と、それによるメールや機密情報の流出などの被害が相次いで公表された。またエネルギー産業や軍事に関わる重要インフラ関連情報を窃取しようという試みがいくつもの国で発覚している。さらにターゲット組織のセキュリティ攻略のためにセキュリティツールの技術情報をメーカーから窃取して攻撃を行ったケースまで明らかになった。
 「もしも国家機密や重要インフラの情報がテロリストの手に渡ったら」と安全保障上の不安を誰もが感じたはずだ。また企業のIT部門では「もし自分の企業が標的になったら」とぞっとする思いをされた方も多いだろう。被害を報道されたのは、もともと厳重に情報が保護されているはずの機関・組織ばかりだったからだ。自社が狙われたらひとたまりもないのではないか、多くの人がそう感じただろう。
 セキュリティには堅牢なはずの組織が被害にあったのは、攻撃が計画的で周到に準備したうえで行われたからだ。こうした攻撃は「新しいタイプの攻撃」、「APT(Advanced Persistent Threat)」、「標的型諜報攻撃」などと呼ばれている。その攻撃には、「標的型攻撃メール」が含まれている。これは、実際に業務で使うメールと見分けがつかないような体裁と内容のメールをターゲットに送り、それに添付されているファイルを開くことでウイルスに感染させたり、メール内のリンクによりウイルス配布のために用意されたWebサイトに接続して感染させるようにするものだ。
 感染したPCは、その中の情報を探られ、必要な情報を攻撃者のもとに送信する。攻撃者はその情報をもとに新たな作戦を立て、最終的な目標達成まで、侵入に成功しているウイルスの機能を変更したり追加したり、新しいものにバージョンアップしたりしながら、数々の手口を駆使して情報を漁りとる。昨年の、国内防衛産業への攻撃手口もこのような方法だった。そのおおよそのイメージは図1のようだ。

図1 標的型諜報攻撃の概念と特徴
図1 標的型諜報攻撃の概念と特徴
資料提供:IPA

 図に見るように、攻撃者は本当のターゲットであるA社のPCにスパイウェアを仕込むために、関係先のシステムを先に狙い、A社に確実に侵入できるように準備を行っている。A社には取引先や業界団体などの多数の関係組織があるため、そのうちの1社でもウイルス感染してしまえば、相互のやり取りのメールを盗み見ることが可能になる。そのメールに加工を施すと、通常の業務のためのメールと見まがう体裁と内容のウイルス付きメールを作ることができる。国内の防衛関連産業のケースでは、関係先組織が正規のメールを送信してから約10時間後に、関連組織内のA社を含む数社にウイルス付きのメールが送信されている。
 現在のウイルスは、セキュリティパッチやアンチウイルスツールのウイルスパターンにまだ登録されていない、「ゼロデイウイルス」も多いため、検知できないことが多い。A社では11事業所にわたって計83台のPCやサーバが感染した。
 こうして組織内に侵入したウイルスはその後、外部のリモートコントロール装置(C&Cサーバ)と通信経路を作り、集めた組織内の情報を気づかれないように送り出す。また自分自身をバージョンアップし、攻撃の方法をさまざまに変えていく。
 このような攻撃はインターネットとLANを通じて行われるので、それらと切り離された工場などの単体装置やLAN(クローズ系ネットワーク)なら直接リスクがないと思われてきた。しかし図でも触れているように、感染したUSBメモリをクローズ系システムで利用したために、クローズ系内でも感染を拡大した例がある。
 こうした攻撃や、その後の情報の外部送信に対して企業システムとしてはどのように対策すべきなのだろうか。


1

従来の対策ではカバーできない!?「標的型諜報攻撃」とは

1-1

「標的型諜報攻撃」の特徴は?

 組織のシステムから情報が漏洩するケースを分類すると、図2のようになる。大きく分ければ2通りだ。組織に所属している人間が外部に情報を漏らす、図下部の「情報管理」に区分されるものは別の機会に論じるとして、今回テーマとしたのは上の「サイバー攻撃」だ。この中には上で紹介している「標的型攻撃」が含まれる。

図2 情報セキュリティにおける攻撃の分類
図2 情報セキュリティにおける攻撃の分類
資料提供:IPA

 「標的型攻撃」には「不特定目標攻撃」と「標的型諜報攻撃」の2種類がある。
 不特定目標攻撃は、主に金銭を目的として、個人情報を窃取しようとするものだ。ウイルス付きの迷惑メール、フィッシングメール、フィッシング用のサイトへの誘導メール、Webサイトからのウイルス感染、WebサイトへのSQLインジェクションなどによる情報窃取が行われている。
 標的型諜報攻撃は、2005年頃から見られるようになったもので、目的はまだ判明していないものの、世界各国の軍事・防衛関連企業や官公庁、大使館などに対して行われているものだ。これは図3のような4段階の手順を踏み、防御側のセキュリティ設定が回避されてしまうことが多いのが特徴だ。周到な準備をして数多くの攻撃パターンを利用することから、従来からとられてきた「外部からの侵入を許さない」入口対策は、いくらコストをかけても間に合わなくなってしまう。

図3 「新しいタイプの攻撃」の流れ
図3 「新しいタイプの攻撃」の流れ
資料提供:IPA

セキュリティ情報局にご登録頂いた方限定で「標的型攻撃に徹底抗戦!「出口対策」強化術」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

サイバー攻撃/標的型攻撃に徹底抗戦!「出口対策」強化術」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

クラウド基盤サービス NEC Cloud IaaS 【NEC】 エンドポイント可視化で標的型攻撃を検出 【シマンテック】 約4割が「深刻なセキュリティインシデント」経験―─調査が示す対策の隙 【トレンドマイクロ】
IaaS/PaaS アンチウイルス セキュリティ診断
高いコストパフォーマンス、高性能・高信頼が特長のIaaS。セルフサービスポータル画面から、ユーザ自身によりプロビジョニングや他社サービスまで含めた運用管理が可能。 狙われるエンドポイント――サンドボックスをもすり抜ける脅威と、どう戦うか 約4割が「深刻なセキュリティインシデント」経験―─調査が示す対策の隙

サイバー攻撃」関連の特集


中堅中小企業だって油断大敵!知らぬ間に親会社や取引先への攻撃に“踏み台”となり加担している事例が勃発…



パスワードの管理は複雑さを増し、時には“ほころび”を見せることも。今回はパスワードに注目し、認証セキ…



今や“ログ管理”は企業規模を問わず、発注元などから求められる要件になってきている。最近ではログ収集の…


サイバー攻撃」関連のセミナー

セキュリティのプロ、名和利男氏が語る 日常化するサイバー攻撃 【日立ソリューションズ】 注目 

開催日 5月19日(金)   開催地 東京都   参加費 無料

「秘文」の最新機能をご紹介する アップデート体験セミナーを開催いたします。企業を狙ったサイバー攻撃は、日本でも多くの被害が報告されるようになり、企業の規模や業種…

情報セキュリティセミナーin福岡 【九州通信ネットワーク】 注目 

開催日 5月19日(金)   開催地 福岡県   参加費 無料

最近では、過去のばらまき型の愉快犯的なものから、標的型攻撃など、特定の企業の個人を狙い、 営利を目的としたサイバー攻撃がみられるようになっています。本セミナーで…

IT Solution Forum 2017 in 福岡 【キヤノンシステムアンドサポート】  

開催日 6月7日(水)   開催地 福岡県   参加費 無料

企業の抱える【経営課題】を解決することを目的として、『情報セキュリティ対策』『労務管理』『人材育成』『ワークスタイル変革』などをキーワードとした、多種多様なセミ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004523


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ