UTMで「知らないうちに加担する」サイバー攻撃を弾き飛ばす：IT導入完全ガイド（3/5 ページ）

[土肥正弘，ドキュメント工房]

オンラインバンキング不正送金攻撃のリスクと対策

　2014年に猛威をふるい、法人口座だけで10億8800万円もの被害を出したオンラインバンキングに関わる不正送金事件は、警察など世界の捜査機関などが協力して対策した結果、一時激減したが、最近ではまた復活する兆しを見せている。

　この犯罪の手口は主に2通りで、1つはPCをウイルスに感染させ、ウイルスの働きで偽のログイン画面などを表示し、送金用の情報を入力させたらその情報をすぐさま攻撃者側に送信、自動的に不正送金処理をする手口だ。取引用の乱数表情報はもちろん、ワンタイムパスワードまで窃取、利用されてしまう。もう1つは、銀行など正当なサイトにそっくりの偽サイトを用意し、メールなどで誘導して必要な情報を入力させるフィッシングの手口だ。

不正送金攻撃への対策

　不正送金ウイルスは、上記の標的型攻撃に使われるのと同様の手口で感染を図るので、対策法も同様だ。フィッシングについては、URLフィルタリングやIPレピュテーション、アンチスパムなどが有効な対策になるだろう。

　気を付けたいのは、不正送金被害に遭った場合、金融機関は原則として被害金額を補償する方針ではあるが、実際には各金融機関個々の判断に委ねられており、法人口座に関しては、法人の責任として求められる一般的なセキュリティ対策を行っていることが補償の条件となることだ。セキュリティポリシーが策定されていることは重要な条件の1つであり、UTM導入を前提にポリシー策定、運用がなされていることは補償対象と認められる可能性を高くするはずだ。

コラム：マイナンバー制度対応にもUTMは好適

　2015年10月から付番が始まるマイナンバー制度では、特定個人情報等の安全管理措置が求められる。技術的安全管理措置として義務となるのが「アクセス制御」「アクセス者の識別と認証」「外部からの不正アクセス等の防止」「情報漏えい等の防止」だ。UTMは不正アクセス防止と情報漏えい防止義務の履行に大きな役割を果たす。

SQLインジェクションなどによる情報窃取のリスクと対策

　機密情報の漏えい事件ではOSやアプリケーションの脆弱（ぜいじゃく）性を狙い、不正な入力によってシステムに誤動作を生じさせて情報を窃取するSQLインジェクションやOSインジェクションと呼ばれる手口が使われることも多い。

　これに関しては、IPS機能とWAF（Web Application Firewall）機能が役に立つ。WAF機能は、Webアプリケーションの脆弱性を狙う攻撃（SQLインジェクションが代表例）に特化した対策で、攻撃パターン（シグネチャ）との照合をベースにしているが、IPSでは検知できないHTTPやHTTPSプロトコルによる攻撃をブロックすることができる。

　場合によっては、正当なアクセスだけをホワイトリストとして定義して、それ以外のアクセスをブロックすることもできるので、それが可能なシステムであれば非常に安全な運用ができよう。

DDoS攻撃（分散型サービス停止攻撃）のリスクと対策

　DDoS攻撃は、無意味なリクエストなどを特定サーバに送りつけ、ネットワークやサーバのリソースを消費させてサービス停止に追い込む業務妨害を目的とした攻撃だ。送信元が特定できればファイアウォールで防げるが、分散型攻撃では世界中の多くのウイルス感染PCが一斉に攻撃パケットを送りつけるので対応が難しい。攻撃者は「攻撃を止める方法があるので対価を支払って欲しい」というような形で脅迫することもある。

　DDoS攻撃にも一定のパターンがあり、UTMにはそのパターンを検知してネットワークレイヤーでブロックするDDoS対策機能が備えられていることが多い。ただし、本格的なDDoS攻撃では400Gbpsといった桁外れなトラフィックが発生した例もある。こうなるとローカルな対策ではまったく歯がたたない。

　とはいえDDoS攻撃は感染PCのネットワーク（ボットネット）を時間レンタルして実行されることも多く、コストがかかる攻撃でもある。ボットネットの「無料お試し」サービスを利用して行うような比較的小規模な攻撃なら、UTMのDDoS対策機能で業務に影響が出ないことを示すことで難敵だと思わせ、その後のより大規模な攻撃を諦めさせる効果に期待できよう。