第2回 ブラックマーケットが支援する標的型攻撃に対抗する手法

IT・IT製品TOP > Key Conductors > 滝沢 優一(パナソニック ソリューションテクノロジー株式会社) > 第2回 ブラックマーケットが支援する標的型攻撃に対抗する手法
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

第2回 ブラックマーケットが支援する標的型攻撃に対抗する手法

ネットワークセキュリティ 2016/11/08

 前回、サイバー攻撃をビジネスに結びつける組織やブラックマーケットの存在をお話ししましたが、これはいったいどういうものなのでしょうか。

 標的型攻撃やランサムウェア攻撃などのサイバー攻撃を実行するためには、ある程度の技術や知識、インフラやツールなどが必要になります。つまり、ウイルスさえ手に入れれば誰でも攻撃を実行できる、というわけではないのです。それはなぜか? ここでは、標的型攻撃を例にして見ていきましょう。

ブラックマーケットが支援する「標的型攻撃」

 標的型攻撃とは、ある特定の企業や組織を狙い撃ち、つまり標的を定めて行う攻撃のことです。代表的な攻撃方法は標的型メール攻撃と呼ばれるメールを利用した攻撃で、特に多いのがウイルスを埋め込んだファイルを添付し、ファイルを開くことでウイルスに感染させる方法です。

 この標的型メール攻撃を実行するためには、次のような準備やノウハウが必要となります。

1.攻撃対象となる企業の調査
2.ウイルス・攻撃用サーバの準備
3.メールの作成・送信
4.感染端末との通信経路の確保
5.端末情報、ネットワーク情報の入手
6.他端末やサーバへの侵入
7.管理者情報の窃取・権限の奪取
8.機密情報の収集・窃取
9.活動痕跡の削除 など

 ざっと書き出しただけでもこれだけの作業が必要になるのです。何の技術やノウハウもなくこの攻撃を実行し、成功させるのはなかなか難しいことだと思いませんか?

 しかし、もし攻撃に必要な機材やノウハウが手に入れられ、盗み出した情報を売買できる仕組みがあったとしたらどうでしょう。現実には攻撃に必要な機材やノウハウを販売する組織やブラックマーケットが存在し、たくさんの取引が行われているといわれています。特に、ファイルを暗号化して金銭要求画面を表示するだけのランサムウェア攻撃は、標的型攻撃に比べ、圧倒的に簡単に実行できることから、「ちょっとやってみようか」という安易な考えで行われることも多く、昨今のランサムウェア被害拡大の要因になっていると考えられています。

 そして危惧すべきことは、ここで取引されるウイルスは常にカスタマイズされ、ウイルス対策ソフトに検知されないものがほとんどだということです。では、ウイルス対策ソフトで検知できないウイルスを使った攻撃に対して、私たちはどのように対抗すればよいのでしょうか。

対策は「侵入防止」から、「侵入後の対策」へ

 一般的に標的型攻撃やランサムウェア攻撃に対しては、「多層防御」が有効だといわれています。残念ながら攻撃を100%防御できる手段はありません。そのため、いくつかの対策を併せて実施することで被害に遭う確率を低くしたり被害を最小限にする、というのが多層防御の考え方です。具体的な防御方法について見ていきたいと思います。

1.人的対策

 標的型攻撃のインシデント発生ケースを見てみると、メールに添付されているファイルを開いたり、メール本文のURLをクリックしたりしなければ防げた事案がほとんどです。最近はメールの文面や内容が非常に巧妙になってきており、攻撃メールであることを見抜くのが難しくなってきているといわれていますが、それでもちょっとした気付きで防げることも多いはずです。

 標的型攻撃の存在や攻撃方法を知らないこと自体が大きなリスクだということを認識し、どんな攻撃なのか、どんなメールが届くのか、どう対処すべきかなどについて普段から従業員の知識や意識を向上させ、攻撃に対する耐性を維持しておくことが重要です。

 ちなみに、添付ファイルを開いてしまう割合は、一般従業員よりも役員の方が高いという調査結果もありますので、役職などに関係なく全ての従業員に対して実施することをおすすめします。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

2.入口対策

 ウイルスの侵入を防ぐための対策が入口対策です。具体的にはファイアウォールやIDS/IPSなどがそれに当たりますが、これらの一般的機器では標的型攻撃やランサムウェア攻撃を防ぐことは、ほぼできません。

 しかしここ数年、標的型攻撃に特化したさまざまな機器が登場しています。特に最近は、サンドボックス型のアプライアンス機器が注目されています。サンドボックスは実際の環境に近い状態を仮想空間で再現し、ウイルスを仮想空間上で動作させ、その挙動でウイルスかどうかを判断するものです。ウイルスの振る舞いを見て検知するため、検知精度は高いといわれています。

3.出口対策

 攻撃者は攻撃用サーバ(C&Cサーバ)を利用します。この攻撃用サーバとの通信を遮断することで、攻撃そのものを成功させない、あるいはたとえウイルスに侵入されても情報を外に出さないというのが出口対策の考え方です。

 出口対策としては、プロキシサーバの設置やフィルタリングの導入などが考えられますが、攻撃者もさまざまな手段を講じて攻撃用サーバとの通信を試みるため、これらの対策も絶対的なものではありません。

4.内部対策

 一部の企業ではSIEM(Security Information and Event Management:セキュリティ情報およびイベント管理)と呼ばれる仕組みを導入し、セキュリティ機器やネットワーク機器、各種サーバなどからさまざまなログを収集し攻撃の前兆をつかむことで、感染の拡大を阻止し、被害を最小限にする取り組みが行われ始めています。この仕組みを使えば標的型攻撃に限らず、あらゆるセキュリティインシデントに対処できる利点がありますが、コストや管理者のITリテラシーの問題など、導入が難しい面もあります。

5.端末(エンドポイント)対策

 標的型攻撃やランサムウェア攻撃は、全て皆さんがお使いの端末(エンドポイント)を起点として行われます。ウイルスが活動を始めれば、端末内にも活動の兆しがたくさん現れるため、これをうまく活用できれば、ウイルスを検知・防御できるはずです。これがエンドポイント対策の考え方です。


 昨今はウイルスの侵入を100%阻止することは不可能といわれおり、対策の方針も「侵入防止」から「侵入後の対策」と変ってきているため、エンドポイント対策が大きな注目を浴びています。

 次回は、最新の機器を用いてもウイルスの侵入を防げない理由と、エンドポイント対策の優位性についてお話させていただきます。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30009292


IT・IT製品TOP > Key Conductors > 滝沢 優一(パナソニック ソリューションテクノロジー株式会社) > 第2回 ブラックマーケットが支援する標的型攻撃に対抗する手法

このページの先頭へ

キーマンズネットとは
セキュリティのエバンジェリストとして、さまざまなお客様のご要望に応じたセキュリティソリューションを提案。構築から運用まで幅広く支援している。また社外向けセミナー講師を数多く務めるなど、日々セキュリティの啓蒙活動に奮闘中。趣味は、満天の星を見ながらのんびり露天風呂につかること。

ページトップへ