この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

今すぐ取りかかれる標的型攻撃対策

2016/01/19


 標的型攻撃の特徴は、巧みな偽装と心理操作でメールやWebサイトからウイルス感染を図るケースが多い。しかも、一度ターゲットにされると最初の感染を防ぐのは至難の業。その後、社内システムへの侵入、情報の窃取と外部送信が行われても自社では気付けないことがほとんどだ。それゆえ、ネットワークを監視している警察やセキュリティ機関など外部からの指摘によって標的型攻撃にやられていることに気付くという。

 今では会社規模や業種を問わずに標的型攻撃が仕掛けられるようになってきた。多層防御が肝心なのは分かっていても、限りある予算でどこまで手をかければよいかに悩むセキュリティ担当者は多いことだろう。今回は、コスト効果にも注目して、より有効な対策とは何なのかを考えてみる。

標的型攻撃対策

日本企業を狙った標的型攻撃が増加中!

 2016年も年明け早々に、2015年に発生した日本年金機構の情報漏洩事件と同種のウイルスが複数の組織で発見されたと報じられた。国内の標的型攻撃事例は2014年から大幅な増加傾向にあり、2015年上半期の標的型攻撃メールは1472件(警察庁発表、前年同期比581%増)に達している(図1)。

図1 標的型攻撃メール件数の推移
図1 標的型攻撃メール件数の推移
2015年9月発表
資料提供:警察庁

○あらゆる組織をターゲットに巧妙に「着弾」  

 攻撃対象は行政機関や病院、大学などの公的機関にとどまらず、大企業とそのグループ内の中堅・中小企業、公的機関や大企業との取引のある企業に広がっており、中には単に攻撃しやすいという理由で狙われたのではないかとみられるケースもある。もはや標的型攻撃を他人事と静観できる企業はあり得ない。  

 また、攻撃は愉快犯的なものではなく明らかに機密情報を狙っており、金銭的な報酬を求めるプロの仕事になっている。いかにうまく標的組織に最初の侵入を行う(着弾させる)かという手口がどんどん洗練され、近年は特に日本の組織に向けた工夫も凝らされるようになってきた。 

○件名、内容、添付ファイル、送信元では見抜けない  

 攻撃者側の工夫で目立つのは、添付ファイルを怪しまれずに開かせるアイデアだ。まずは件名だが、これはほとんどが業務に関連する連絡や情報を期待させるものとなっている。さらに本文は何らかの方法で入手した実際の業務メールの文面がほとんどそのまま利用されることがある。例えば、この時期であれば確定申告に関する連絡を装うなど、どのような組織・個人でも開かざるを得ないような内容になっていることも多い。  

 メールに添付されるファイルも件名・本文に符合している。ファイル形式は「.EXE」などの実行ファイルではなく、WordやExcel、PDFなどのオフィス文書を装っている。もちろん警戒心を抱かせないためだ。  

 そのような添付ファイルを開くと、そのタイトルにふさわしい内容の文書が表示される。ところがその瞬間に、PCの脆弱性を突いてウイルスが感染しているわけだ。この最初の侵入には「軽い」ウイルスが使われていて、PCの挙動が怪しくなったり負荷がかかったりしないため感染に気付けないことが多い。  

 加えて送信元アドレスの偽造も当たり前の手法だ。まだ、フリーメールのドメインを送信元とするケースが多いとはいえ、関連組織や公的機関のドメインを詐称することが多くなってきた。中には社内の複合機から送信されたように装い(送信元が「Scanner@〈標的組織のドメイン〉」などとなっている)、ウイルス入りのスキャン文書を添付するようなケースもある。  

 このような工夫が行われると、セキュリティ教育を実施していたとしても100人中1人や2人は開封し、ウイルス感染してしまうことが避けられないだろう。攻撃者にしてみれば、1人でも突破できれば十分なのだ。  

○感染後はひそやかに情報を窃取  

 攻撃対象組織のシステムへの侵入が成功すると、ウイルスはPCに潜伏し、活動がばれないようにネットワーク内で徐々に情報を探索して情報を集める。やがて、外部の攻撃用の指令サーバ(C&Cサーバ)に接続して攻撃に最適なウイルスをダウンロードするなど、さらに侵入を深めて情報を窃取し、外部に送信する。その場合も一度に大量のデータを送るのではなく、ひそかに少しずつ送る。  

 その結果、社内では誰も気付かないまま、情報流出が長期間続いてしまう。日本年金機構の情報漏洩事故でも、発覚は内閣サイバーセキュリティセンター(NISC)からの指摘であり、機構自身では不正な挙動を発見できていなかった。またその後に続いた同種のウイルス(EmDiviなど)による多数の組織への攻撃でも、警察やJPCIRT/CCなどの外部組織、あるいは個人からの指摘が発端になって発覚したケースがほとんどを占める。  

 このような標的型攻撃の怖さに対して、コストや利便性に配慮しつつ、リスクを最小限に抑え込むためにどのような対策がとれるだろうか。


1

標的型攻撃対策は被害拡大阻止を織り込む

 標的型攻撃には、(1)計画立案、(2)攻撃準備、(3)初期潜入、(4)基盤構築、(5)内部侵入・調査、(6)目的遂行、(7)再侵入という7つの段階がある。これまでは、(2)以降の段階それぞれに対応するためのセキュリティ対策ツールの導入と運用が行われてきた。  

 大きく分ければ、外部からの攻撃をはね返すための「入口対策」、内部でのウイルス活動を検知してブロックするための「内部対策」、システム内の情報を外部に持ち出されるのを防ぐ「出口対策」をどのように整備するかだ。  

 問題は、このような脅威対策を重ねていけばいくほどコストがかさみ、ツールや管理項目が増えれば増えるほど運用管理負荷が高まってしまうことだ。しかも、どれほどコストと労力をかけても、攻撃が成功する可能性をゼロにはできないという悩みが残る。  

 もともとIT予算のうちセキュリティのために確保できる割合はそれほど大きくはない。またセキュリティ専門技術者を獲得・育成して専任で担当させることも、特に中堅・中小企業では難しい。しかも攻撃は年々高度化しており、さまざまなセキュリティツールの機能を把握したうえで、その技術の裏をかくような手口が日々生み出されている状況だ。  

 一方で攻撃者は、金銭目的の仕事として攻撃を立案・実行していると考えられ、ある意味ではセキュリティ技術の専門家とも言える。それを上回る周到な対策をとることはかなり困難になっている現状を直視し、できる限り攻撃成功リスクを低減したうえ、万が一攻撃が成功した場合でも被害拡大を最小限にとどめることが、現在の標的型攻撃対策の重要なポイントになっている。

1-1

インシデントレスポンス、修復までの時間短縮が焦点

  そこでクローズアップされるようになったのが、システムに侵入されてから後の対応体制だ。これは各種のセキュリティツールからのアラームやログを適切にハンドリングし、攻撃の早期発見や状況把握・原因究明の時間を短縮するとともに、被害の発生を食い止めたり被害拡大を抑え込んだりするための機構を、組織内にあらかじめ備えるということだ。  

 そのような役割を担うチームをCSIRT(Computer Security Incident Response Team)と言い、ここ数年構築のための取り組みが積極的になっている。CSIRT構築についてはまた別の機会に詳しく取り上げるが、基本はセキュリティ監視やインシデント対応のコントロールセンターを設けることだ。具体的には「外部からの連絡を確実に受け取る」「 迅速な初動調査の指揮、実施を行う」「 判断や外部への公表の支援をする」ことが仕事の中心だ。これはインシデント対応の早さに大きく寄与する。  

 例えば日本年金機構の事件の場合、沖縄事務所でPCが感染してNISCが監視しているサイトと通信したことが厚生労働省経由で伝えられたのが5月8日のこと。その後5月19日から5月22日にかけて機構本部人事管理部で2台が標的型メールの被害に遭い、周辺の22台に感染が広がり、うち19台が大量の情報を外部サーバに送信したという。  

 もしも5月8日時点で適切な対応ができていれば、その後の感染を防げた可能性があった。また、その後届いた約100通の標的型メール(4種類)が大規模情報漏洩につながったが、このような大量の実行ファイル入りメールへの対応ができていれば、情報漏洩がその時点で食い止められたかもしれない。年金機構や厚労省の調査報告でも対応体制の不備が1つの原因として挙げられている。  

 標的型攻撃への対応は「時間との戦い」になってきている。侵入されてから情報窃取まで30分程度しかなかった事例も発覚しており、できるだけ早く事態を把握し、攻撃をなるべく初期段階のうちに止めることが肝心だ。事実の把握から対応に至るまでの時間を短縮するには、情報を集約して適切に判断、行動に移せる体制がどうしても必要だ。

セキュリティ情報局にご登録頂いた方限定で「今すぐ取りかかれる標的型攻撃対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

標的型攻撃対策/今すぐ取りかかれる標的型攻撃対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「標的型攻撃対策」関連情報をランダムに表示しています。

標的型攻撃対策」関連の製品

クライアント運用管理ソフトウェア SKYSEA Client View 【Sky】 クライアント仮想化ソリューション Ericom 【アシスト】 特権ID管理 CA Privileged Identity Manager 【アシスト】
IT資産管理 VDI ID管理
使いやすさを追求したクライアント運用管理ソフトウェア。「ログ管理」や「IT資産管理」など必要な機能を標準装備し、専門知識がない人でも簡単に扱える点が魅力。 あらゆるデバイスにWindowsアプリ、VDI、物理PCへの接続を提供。低帯域でも快適な通信プロトコル、ブラウザをRDPクライアントとして使える機能等を備えている。 「OSでは満たせないあらゆるイベントのアクセス制御」と「特権/共有アカウントのパスワード貸出制御」を実現できる特権ID管理製品。

標的型攻撃対策」関連の特集


情報セキュリティに関する調査を実施。この1年に発生した情報セキュリティ事故などセキュリティ対策のリア…



 前回に引き続き、標的型攻撃対策製品の持つ技術手法について説明する。



日本の政党や官庁、企業も狙われた!日韓のハクティビズムとサイバー攻撃の事例から学ぶ、標的型攻撃への“…


標的型攻撃対策」関連のセミナー

標的型攻撃対策ソリューションセミナー 【NRIセキュアテクノロジーズ】  

開催日 1月13日(金),2月9日(木),3月10日(金)   開催地 東京都   参加費 無料

情報漏洩防止のみならず、昨今猛威をふるうランサムウェア対策という観点からも、標的型攻撃への対策はますますその重要度が増しています。本セミナーでは最近の標的型攻撃…

最新の仮想化技術と高精度な検知で、標的型攻撃を防御 【日立製作所/ヴイエムウェア】  

開催日 12月27日(火)   開催地 東京都   参加費 無料

本セミナーは仮想化業界をリードするVMware社と日立製作所との共同開催です。VMware社からは、市場で注目のネットワーク仮想化製品VMware NSXのマイ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30008335


IT・IT製品TOP > ネットワークセキュリティ > IPS > IPSのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ