標的型攻撃に徹底抗戦!「出口対策」強化術

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

標的型攻撃に徹底抗戦!「出口対策」強化術

2012/01/24


 セキュリティ分野で昨年は大きな事件が相次いだ。特に深刻だったのは政府や官公庁、防衛関連企業への「サイバー攻撃」だろう。これらの攻撃は、どれも「システムから機密情報を窃取する」という共通の目的をもっていた。一連の事件は、組織のシステムをいくら堅固に要塞化しても、狙いを定めた攻撃からは守りきれないことを強く印象づけた。 それではどうすればよいのか。従来からの防御対策は変更を迫られている。今回は、機密情報を外部に漏らさないための「出口対策」にフォーカスして、転機を迎えた情報漏洩防止対策について考える。

サイバー攻撃

標的型諜報攻撃への対策が必要!情報を窃取するサイバー攻撃の「進化」

 従来からの愉快犯や金銭目的の攻撃に加え、産業機密の窃取や、思想的・政治的背景を匂わせる国家レベルの「諜報活動」と言える攻撃が表面化したのが昨年のセキュリティ動向の特筆すべき傾向だ。
 国内では昨年後半に衆議院・参議院や行政機関、防衛関連産業を狙った標的型攻撃と、それによるメールや機密情報の流出などの被害が相次いで公表された。またエネルギー産業や軍事に関わる重要インフラ関連情報を窃取しようという試みがいくつもの国で発覚している。さらにターゲット組織のセキュリティ攻略のためにセキュリティツールの技術情報をメーカーから窃取して攻撃を行ったケースまで明らかになった。
 「もしも国家機密や重要インフラの情報がテロリストの手に渡ったら」と安全保障上の不安を誰もが感じたはずだ。また企業のIT部門では「もし自分の企業が標的になったら」とぞっとする思いをされた方も多いだろう。被害を報道されたのは、もともと厳重に情報が保護されているはずの機関・組織ばかりだったからだ。自社が狙われたらひとたまりもないのではないか、多くの人がそう感じただろう。
 セキュリティには堅牢なはずの組織が被害にあったのは、攻撃が計画的で周到に準備したうえで行われたからだ。こうした攻撃は「新しいタイプの攻撃」、「APT(Advanced Persistent Threat)」、「標的型諜報攻撃」などと呼ばれている。その攻撃には、「標的型攻撃メール」が含まれている。これは、実際に業務で使うメールと見分けがつかないような体裁と内容のメールをターゲットに送り、それに添付されているファイルを開くことでウイルスに感染させたり、メール内のリンクによりウイルス配布のために用意されたWebサイトに接続して感染させるようにするものだ。
 感染したPCは、その中の情報を探られ、必要な情報を攻撃者のもとに送信する。攻撃者はその情報をもとに新たな作戦を立て、最終的な目標達成まで、侵入に成功しているウイルスの機能を変更したり追加したり、新しいものにバージョンアップしたりしながら、数々の手口を駆使して情報を漁りとる。昨年の、国内防衛産業への攻撃手口もこのような方法だった。そのおおよそのイメージは図1のようだ。

図1 標的型諜報攻撃の概念と特徴
図1 標的型諜報攻撃の概念と特徴
資料提供:IPA

 図に見るように、攻撃者は本当のターゲットであるA社のPCにスパイウェアを仕込むために、関係先のシステムを先に狙い、A社に確実に侵入できるように準備を行っている。A社には取引先や業界団体などの多数の関係組織があるため、そのうちの1社でもウイルス感染してしまえば、相互のやり取りのメールを盗み見ることが可能になる。そのメールに加工を施すと、通常の業務のためのメールと見まがう体裁と内容のウイルス付きメールを作ることができる。国内の防衛関連産業のケースでは、関係先組織が正規のメールを送信してから約10時間後に、関連組織内のA社を含む数社にウイルス付きのメールが送信されている。
 現在のウイルスは、セキュリティパッチやアンチウイルスツールのウイルスパターンにまだ登録されていない、「ゼロデイウイルス」も多いため、検知できないことが多い。A社では11事業所にわたって計83台のPCやサーバが感染した。
 こうして組織内に侵入したウイルスはその後、外部のリモートコントロール装置(C&Cサーバ)と通信経路を作り、集めた組織内の情報を気づかれないように送り出す。また自分自身をバージョンアップし、攻撃の方法をさまざまに変えていく。
 このような攻撃はインターネットとLANを通じて行われるので、それらと切り離された工場などの単体装置やLAN(クローズ系ネットワーク)なら直接リスクがないと思われてきた。しかし図でも触れているように、感染したUSBメモリをクローズ系システムで利用したために、クローズ系内でも感染を拡大した例がある。
 こうした攻撃や、その後の情報の外部送信に対して企業システムとしてはどのように対策すべきなのだろうか。


1

従来の対策ではカバーできない!?「標的型諜報攻撃」とは

1-1

「標的型諜報攻撃」の特徴は?

 組織のシステムから情報が漏洩するケースを分類すると、図2のようになる。大きく分ければ2通りだ。組織に所属している人間が外部に情報を漏らす、図下部の「情報管理」に区分されるものは別の機会に論じるとして、今回テーマとしたのは上の「サイバー攻撃」だ。この中には上で紹介している「標的型攻撃」が含まれる。

図2 情報セキュリティにおける攻撃の分類
図2 情報セキュリティにおける攻撃の分類
資料提供:IPA

 「標的型攻撃」には「不特定目標攻撃」と「標的型諜報攻撃」の2種類がある。
 不特定目標攻撃は、主に金銭を目的として、個人情報を窃取しようとするものだ。ウイルス付きの迷惑メール、フィッシングメール、フィッシング用のサイトへの誘導メール、Webサイトからのウイルス感染、WebサイトへのSQLインジェクションなどによる情報窃取が行われている。
 標的型諜報攻撃は、2005年頃から見られるようになったもので、目的はまだ判明していないものの、世界各国の軍事・防衛関連企業や官公庁、大使館などに対して行われているものだ。これは図3のような4段階の手順を踏み、防御側のセキュリティ設定が回避されてしまうことが多いのが特徴だ。周到な準備をして数多くの攻撃パターンを利用することから、従来からとられてきた「外部からの侵入を許さない」入口対策は、いくらコストをかけても間に合わなくなってしまう。

図3 「新しいタイプの攻撃」の流れ
図3 「新しいタイプの攻撃」の流れ
資料提供:IPA

セキュリティ情報局にご登録頂いた方限定で「標的型攻撃に徹底抗戦!「出口対策」強化術」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

サイバー攻撃/標的型攻撃に徹底抗戦!「出口対策」強化術」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

急増する「脅威メール/標的型・ランサムウェア」あらゆる企業に必要な対策は? 【ファーストサーバ】 ネットワーク分離ソリューション 【アクシオ】 エンドポイントセキュリティを徹底解説、多層防御に採用すべき技術は? 【シマンテック】
メールセキュリティ その他ネットワークセキュリティ関連 アンチウイルス
国内でも被害が急増するマルウェア ポイントを絞った対策が有効 二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。 エンドポイントセキュリティを徹底解説、多層防御に採用すべき技術は?

サイバー攻撃」関連の特集


 IPAでは情報セキュリティ対策の普及・啓発活動を実施しており、その一環として様々な調査・研究を行っ…



メールシステムのクラウド移行が進む中、選択肢が充実してきたクラウドメールサービス。その中でも“2大巨…



未だ数多くの脆弱性がWebサイト上に潜んでおり、脆弱性を狙った事件が相次いでいます。そこで今注目を集…


サイバー攻撃」関連のセミナー

マルウェア対策アプライアンス FireEye ご紹介セミナー 【日立ソリューションズ】  

開催日 6月28日(水)   開催地 大阪府   参加費 無料

サイバー攻撃は高度化・巧妙化しており、標的型攻撃で使用されるマルウェアは一般的なウイルス対策ソフトなどでは、感染を防ぐことが難しくなっています。 標的型攻撃から…

AI×無害化の次世代技術でマルウェア感染を防御せよ 【日立ソリューションズ】  

開催日 7月5日(水)   開催地 東京都   参加費 無料

昨今、マルウェアを使ったサイバー攻撃は日々高度化しており、従来の対策では攻撃を防ぐことが難しくなってきています。例えば、標的型メール攻撃の場合、悪意のあるURL…

感染後の二次被害対策!WannaCryもIoTセキュリティもこれ1台でOK 【ネットワールド/ハンドリームネット】 締切間近 

開催日 6月27日(火)   開催地 東京都   参加費 無料

セキュリティ + L2スイッチ + 監視 = 『SubGate』 すでに大きなニュースにもなっていますが、先日ランサムウェア「WannaCry」を用いた世界同時…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004523


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ