サイバー攻撃をビジネスに結び付け組織やブラックマーケットが存在する。攻撃を100%防御できる手段はないが、被害を軽減するためにできることがある。
本コラムは2016年11月8日に掲載した「ブラックマーケットが支援する標的型攻撃に対抗する手法」を再編集したものです。
前回、サイバー攻撃をビジネスに結び付け組織やブラックマーケットの存在をお話ししましたが、これは一体どういうものなのでしょうか。
標的型攻撃やランサムウェア攻撃などのサイバー攻撃を実行するためには、ある程度の技術や知識、インフラやツールなどが必要になります。つまり、ウイルスさえ手に入れれば誰でも攻撃を実行できるというわけではないのです。それはなぜか。標的型攻撃を例に見ていきましょう。
標的型攻撃は、ある特定の企業や組織を狙い撃ち、つまり標的を定めて行う攻撃のことです。代表的な攻撃方法は標的型メール攻撃と呼ばれるメールを利用した攻撃で、特に多いのがウイルスを埋め込んだファイルを添付し、ファイルを開くことでウイルスに感染させる方法です。
この標的型メール攻撃を実行するためには、次のような準備やノウハウが必要となります。
ざっと書き出しただけでもこれだけの作業が必要になるのです。何の技術やノウハウもなくこの攻撃を実行し、成功させるのはなかなか難しいことだと思いませんか。
もし攻撃に必要な機材やノウハウが手に入れられ、盗み出した情報を売買できる仕組みがあったとしたらどうでしょう。現実には攻撃に必要な機材やノウハウを販売する組織やブラックマーケットが存在し、たくさんの取引が行われているといわれています。
特にファイルを暗号化して金銭要求画面を表示するだけのランサムウェア攻撃は、標的型攻撃に比べ、圧倒的に簡単に実行できることから、「ちょっとやってみようか」という安易な考えで行われることも多く、昨今のランサムウェア被害拡大の要因になっていると考えられています。
そして危惧すべきことは、ここで取引されるウイルスは常にカスタマイズされ、ウイルス対策ソフトに検知されないものがほとんどだということです。では、ウイルス対策ソフトで検知できないウイルスを使った攻撃に対して、私たちはどのように対抗すればよいのでしょうか。
一般的に標的型攻撃やランサムウェア攻撃に対しては、「多層防御」が有効だといわれています。残念ながら攻撃を100%防御できる手段はありません。そのため、幾つかの対策を併せて実施することで被害に遭う確率を低くしたり被害を最小限にするというのが多層防御の考え方です。具体的な防御方法について見ていきたいと思います。
標的型攻撃のインシデント発生ケースを見てみると、メールに添付されているファイルを開いたり、メール本文のURLをクリックしたりしなければ防げた事案がほとんどです。最近はメールの文面や内容が非常に巧妙になってきており、攻撃メールであることを見抜くのが難しくなってきているといわれていますが、それでもちょっとした気付きで防げることも多いはずです。
標的型攻撃の存在や攻撃方法を知らないこと自体が大きなリスクだということを認識し、どんな攻撃なのか、どんなメールが届くのか、どう対処すべきかなどについて普段から従業員の知識や意識を向上させ、攻撃に対する耐性を維持しておくことが重要です。
ちなみに、添付ファイルを開いてしまう割合は、一般従業員よりも役員の方が高いという調査結果もありますので、役職などに関係なく全ての従業員に対して実施することをおすすめします。
ウイルスの侵入を防ぐための対策が入口対策です。具体的にはファイアウォールやIDS、IPSなどがそれに当たりますが、これらの一般的機器では標的型攻撃やランサムウェア攻撃を防ぐことは、ほぼできません。
ここ数年、標的型攻撃に特化したさまざまな機器が登場しています。特にサンドボックス型のアプライアンス機器が注目されています。サンドボックスは実際の環境に近い状態を仮想空間で再現し、ウイルスを仮想空間上で動作させ、その挙動でウイルスかどうかを判断するものです。ウイルスの振る舞いを見て検知するため、検知精度は高いといわれています。
攻撃者は攻撃用サーバ(C&Cサーバ)を利用します。この攻撃用サーバとの通信を遮断することで、攻撃そのものを成功させない、あるいはたとえウイルスに侵入されても情報を外に出さないというのが出口対策の考え方です。
出口対策としては、プロキシサーバの設置やフィルタリングの導入などが考えられますが、攻撃者もさまざまな手段を講じて攻撃用サーバとの通信を試みるため、これらの対策も絶対的なものではありません。
一部の企業ではSIEM(Security Information and Event Management:セキュリティ情報およびイベント管理)と呼ばれる仕組みを導入し、セキュリティ機器やネットワーク機器、各種サーバなどからさまざまなログを収集し攻撃の前兆をつかむことで、感染の拡大を阻止し、被害を最小限にする取り組みが行われ始めています。
この仕組みを使えば標的型攻撃に限らず、あらゆるセキュリティインシデントに対処できる利点がありますが、コストや管理者のITリテラシーの問題など、導入が難しい面もあります。
標的型攻撃やランサムウェア攻撃は、全て皆さんがお使いの端末(エンドポイント)を起点として行われます。ウイルスが活動を始めれば、端末内にも活動の兆しがたくさん現れるため、これをうまく活用できれば、ウイルスを検知、防御できるはずです。これがエンドポイント対策の考え方です。
昨今はウイルスの侵入を100%阻止することは不可能といわれおり、対策の方針も「侵入防止」から「侵入後の対策」へと変ってきているため、エンドポイント対策が大きな注目を浴びています。
次回は、最新の機器を用いてもウイルスの侵入を防げない理由と、エンドポイント対策の優位性についてお話させていただきます。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。