標的型攻撃への対策には、何が必要なのか
- INDEX
-
「標的型攻撃」は、情報セキュリティ10大脅威の1位となっている
2015年に日本年金機構から100万件以上の個人情報流出が発生した事件は、当時大きな話題になったため覚えている方も多いことでしょう。この時に用いられたのが「標的型攻撃」と呼ばれる手法で、2016年に旅行会社で起きた約800万件の個人情報漏洩疑い事件もその1つです。
残念ながら標的型攻撃による不正アクセスを完全に防ぐ対策を講じるのは難しく、大規模な情報流出につながりやすいのが現実です。
『標的型攻撃』はIPA(情報処理推進機構)が毎年まとめている「情報セキュリティ10大脅威」でも2016年度以降の「組織」に対する脅威のトップにランキングされている深刻な問題であり、だからこそしっかりとした対策が欠かせません。
あなたの会社だけを執拗に狙って仕掛けられるのが標的型攻撃
対策をするためにはまず問題の性質をよく知らなければなりませんが、標的型攻撃とは具体的にどのような攻撃なのでしょうか。
一般のコンピュータウイルスやランサムウェアは、ターゲットを定めず「広い範囲に大量のマルウェア※をばらまいて、不特定多数の誰かがたまたま引っかかればいい」という「ばらまき型」の攻撃をします。
※ウイルスなどの不正なプログラムの総称
それに対して、標的型攻撃では特定の組織のみに狙いを定め、相手方組織のことをよく調べたうえで、複数の手法を組み合わせて、長期間、手を変え品を変え巧妙に弱点を突いた攻撃をしてくることが特徴です。
標的型攻撃対策の難しさ...窃盗犯対策に例えた場合
実のところ、標的型攻撃によるマルウェアの侵入を完全に防ぐことは不可能とされています。ウイルス対策ソフトウェアを使用していたとしても、マルウェアを100%検知することはできません。
一般的にマルウェア検知に使われている「パターンファイル」方式は、いわば窃盗犯対策のために指名手配リストを共有するような方法。すでにマルウェアとわかっているものを見つけるためのしくみだからです。
同じ犯人が複数の店で窃盗を繰り返している場合、1ヶ所の防犯カメラで発見した犯人の顔写真を手配リストとして共有すれば、他店は入店を防ぐことができます。しかし、リストに載っていない新しい犯人の入店を防ぐことはできません。
標的型攻撃を完全に防ぐことは、もはや不可能...
人間の犯罪者と違ってマルウェアは簡単に新しいものを作ることができます。現在は1日に何十万種もの新種・亜種のマルウェアが生まれているうえに、標的型攻撃ではパターンファイル(指名手配リスト)による検知を避けるために、標的として狙った組織専用に新種のマルウェアが作られて使用されます。
ウイルス対策ソフトウェアで100%検知できない以上、感染そのものを防ぐためには不正なプログラムを起動しないよう、ユーザーが注意しなければなりません。
しかし、実際の標的型攻撃事例でも、職員数百人に一斉に送られたマルウェア入りメールを、そのうちの一人が開封したことから感染が広がった例もあります。人間の「注意」によって防ぐことも事実上不可能といえます。
標的型攻撃対策に必要な「多層防御」の考え方とは?
そこで有効なのが、「標的型攻撃によるマルウェア感染が起きたとしても、何段階かの防衛ラインを設けて、最終的に損害が発生することを防ぐ」という対策です。
前述した窃盗犯対策を例に考えると、「指名手配リスト」で犯人を見つけられず入店を防げなかったとしても、店内に死角を作らず防犯カメラや店員による監視の目が行き届いていれば、犯人は不審な行動をしづらくなります。たとえ、その目を盗んで犯行に及んだとしても、商品にタグをつけ万引き防止ゲートを設置するなどの対策があれば、出口で食い止めることが可能です。
最終的に「盗難」という被害をもたらすまでに、「入口」「内部」「出口」という複数の層があることに注目し、それぞれに手を打ってどこかで食い止められるようにすること。これが標的型攻撃に対して有効な「多層防御」の考え方です。
「多層防御」体制構築のために、標的型攻撃の段階を知る
実際に多層防御の体制を組むためには、どのような段階をたどって被害が起きるかを知る必要があります。
標的型攻撃の第1段階 メール偽装で侵入
第1段階では、実在する取引先や関係者を装ったメールを送ってマルウェアをダウンロード/開封させる手口がよく使われます。このメール偽装は非常に巧妙に行われるため、すべてを防ぐことはできませんが、何らかの不自然なポイントをともなう場合が多く、ユーザー教育を適切に行えば開封抑止や事態を早期発見するために役立ちます。
標的型攻撃の被害は第1段階のマルウェア侵入から情報流出までに、数日~数ヵ月もの長期間を要する場合も多いため、早期発見できれば情報漏洩を食い止めることが可能です。
標的型攻撃の第2段階 悪質なツールをダウンロード
第2段階では、そのマルウェアに感染したPCが外部の標的型攻撃用サーバーと通信を行って、攻撃のためのさまざまなツールをダウンロードします。組織内の個々のPCからインターネットへの接続操作に、何らかの制限をする仕組みがあれば、ここで食い止めることができます。
標的型攻撃の第3段階 社内LAN上の機密情報にアクセス
第3段階では、感染したPCを通じて、攻撃者が社内LAN上のさまざまな情報を「調査」します。個人のPCから簡単に参照できるファイルサーバーの共有フォルダや、ローカルのHDDに顧客リストのような機密情報ファイルを暗号化もせずに置いていると、この段階で容易にアクセスされてしまいます。
管理すべき重要な情報がどこにどのような形で存在し運用されているのか、その実態を把握して適切な運用手順を設計することが有効です。
標的型攻撃の第4段階 サーバーへの不正アクセス
ローカルHDDや共有フォルダで機密情報が入手できない場合、標的型攻撃の第4段階では、ファイルサーバーやデータベースサーバーそのものへの不正アクセスが試みられます。
サーバーやネットワークの脆弱性対策やアクセス監視対策を適切に行っていれば、この段階で発見することができます。
標的型攻撃の第5段階 具体的な情報漏洩被害の発生
これらすべての層を突破してマルウェアに機密情報を収集された後、最後の第5段階でそれを外部に転送されると、具体的な情報漏洩被害が生じます。これは第2段階と同様、通信を制限する対策があれば食い止めることができます。
以上のように、標的型攻撃が最終的に情報漏洩をもたらすまでには何段階もの手順があるため、段階ごとの適切な対策が必要です。
多層防御体制の構築に役立つツールとは?
標的型攻撃対策のための多層防御体制は、それぞれの目的に合ったツールを組み合わせて構築します。具体的には下記のようなツールがあります。
ウイルス対策
メール送受信、Webアクセス、コンピュータ内のファイルなどに潜む、標的型攻撃に使われるウイルスなどのマルウェアを検知します。
未知の脅威対策
標的型攻撃に多用される、パターンファイルでは発見できない新種・亜種のマルウェア対策として、その「振る舞い」を手がかりに発見します。
Webフィルタリング
PCからアクセスできるWebサイトの範囲をさまざまな条件で制限し、標的型攻撃の入口・出口になり得るWebサイトへの接続を防ぎます。
ファイル制御・暗号化
機密情報の悪用を防ぐ対策として、ファイルの暗号化、閲覧やコピー操作の制限、アクセスログの取得、遠隔削除などを可能にします。
不正PC遮断
管理されていない未登録のPCが社内LANに接続されることを防ぎます。標的型攻撃対策として、マルウェア感染が疑われるPCのLAN接続を速やかに遮断することも可能です。
PC操作ログ管理
ファイルのコピー、移動、アップロード、メール添付、印刷、稼働プロセス情報などさまざまなPC操作ログの取得や、不正操作の禁止・警告・追跡などの対策が可能です。標的型攻撃発生時の被害縮小や影響範囲の調査に役立ちます。
まとめ:ツールだけではなく、ユーザー教育を含むトータルの体制構築も重要
標的型攻撃への多層防御体制を整えるためにもう一つ重要なのが、組織風土の改善も含むユーザー教育と運用ルール作りです。
標的型攻撃では実在する取引先や関係者を装ったメールを職員に送り、添付ファイルやWebリンクを開かせてマルウェアを実行させる手口がよく使われます。現場の職員がそれを知らないと第一段階を突破されやすく、不自然な点があっても「何かの間違いだろう」と軽視して管理者に報告しないケースが増えるため、マルウェア感染に気づくのが遅れがちになります。また、不審なメールを開封してしまったと気づいたとしても、当事者は「自分のミス」と思い込みやすく、組織風土によっては処分を恐れてミスを隠蔽しようとし初動対応の遅れが生じるケースもあります。
この対策としては、PCを扱うすべての職員に対するセキュリティ教育と、不審な兆候に気がついたら素早く通報してプロフェッショナルが対応に当たるという、エスカレーション体制が欠かせません。
実効性の高い標的型攻撃対策を実現するためには、ツールの導入と合わせてこのような組織風土・ユーザー教育の改善に取り組み、入口から出口までをトータルに考えた体制構築が重要です。
