標的型なのに“無差別”攻撃が増加、危険が高まる標的型攻撃の対策は可能か:IT導入完全ガイド(2/2 ページ)
一度攻撃を許すと組織に多大な情報漏えい被害をもたらす標的型攻撃。ここ数年で大きな被害が報道されることもあり、企業は標的型攻撃対策に力を注いできたが、新たな傾向も出てきている。
標的型攻撃が成功するワケ
標的型攻撃のポイントごとに従来のセキュリティツールの限界を記したが、その背景にある問題点はおよそ次の通りだ。
(1)標的型メールはもう正当なメールと区別がつかない
巧妙に偽造された標的型攻撃メールは、以前のように英文だったり、たどたどしい日本語が使われていたり、送信元がフリーメールだったりといった「怪しい」特徴がなくなってきた。表題、本文、送信元ともに実際の業務メールと判別がつかない巧妙なものが増え、本物とほぼ変わらない業務メールをそのまま使うケースも珍しくない。セキュリティに敏感なシステム管理者でも開封前に見破ることができなくなっているのが現状だ。
(2)利用するウイルスは一過性で常に変わる=パターンファイルが作れない
「Zeus」のような簡便なウイルス作成ツールがまん延したため「亜種」が簡単に作成可能になり、ウイルス作成にコストも時間もかからなくなった。これは1つの対象システムに対して1回だけしか利用しない、いわば「使い捨てウイルス」の数を飛躍的に増やした。セキュリティベンダーは検体の入手が困難になり、パターンファイルが作れない。IPSやUTMが利用するシグネチャも既知の攻撃をベースにしているため、こちらも奏功しないことが多い。
(3)なくせない脆弱(ぜいじゃく)性とゼロデイ攻撃
ウイルスはほぼ全てシステムの脆弱性を利用するので、常に脆弱性をなくす努力は予防対策として必須である。しかしそもそもシステム全体のセキュリティ状態を標準化するのが難しく、セキュリティパッチ適用やバージョンアップを一斉に適時に行うのも至難の技だ。しかも脆弱性の公開前あるいは公開から間を置かずにその脆弱性を悪用するウイルスを利用する「ゼロデイ攻撃」も頻繁に発覚しており、脆弱性対策には限界がある。
(4)セキュリティ対策をかいくぐる機能を持つウイルス
ウイルスは攻撃機能だけでなく、自身の存在を隠蔽(いんぺい)する機能も進化させている。外部C&Cサーバとの交信の発覚でウイルス感染に気付くことがほとんどだが、C&Cサーバを短期間で変更したり、機密情報を送信するときに細切れにして1回1回の送信量を絞り、気付かれにくくしたりといった工夫が仕込まれるようになった。またサンドボックスが装備されている場合でも、実行されている環境を検知し、それに応じて動作を変えて欺く機能が搭載されている。
(5)水飲み場攻撃によるウイルス感染も増加中
Webサイトに不正コードを仕込みウイルス感染させる手口は以前からあるが、近年では標的組織がアクセスするWebサイト(推測や観測で特定)を改ざんして、ウイルス感染させる「水飲み場攻撃」が目立つ。これは標的以外からのアクセスでもウイルス感染させてしまうのだが、中には標的組織のIPアドレスの場合だけに不正コードを送るケースもある。これでは標的組織以外はこの改ざんに気付くことができないので、例えばUTMなどが使うURLフィルタリングやレピュテーションサービスのブラックリストに登録される可能性は低くなる。
このようなウイルスの進化により、現在はウイルス感染を防ぐのは非常に困難になっている。セキュリティ専門家は「標的型攻撃に利用可能なウイルスはほぼ全ての企業システムに潜んでいる」と口をそろえて警告している。SIEMツールなどによりシステムを詳細に調査すると、どの企業でもほぼ例外なくアンチウイルスで検知できなかったウイルスが検出されているのが現実だ。
その多くは実際に攻撃役として機能していない(接続先のC&Cサーバが廃止されているなどのため)が、それほど広範囲、無差別にウイルスが拡散していることに留意しなければならない。現在のウイルスは、これまでのセキュリティ対策の網を簡単にくぐり抜けているのだ。
(6)標的型攻撃に使われるウイルスはほぼ「無差別」に拡散されている
このような状況があるにしても、自分の会社の規模や業種、取引先から考えて標的にされる可能性がないのではないかと考える向きもあるだろう。しかし実は「標的型」とは言いながら、攻撃対象を厳密に絞り込んでいないケースも多いように見受ける。国家レベルの諜報活動などを別にすれば、攻撃者の目的は金銭だ。個人情報はじめ企業の持つ機密情報は闇市場または秘密の相対取引で売れるのだ。そのため、ただ攻撃しやすいという理由だけで標的にされる可能性がある。
最近では、標的型メールを利用して露骨な金銭目的のランサムウェアを仕込む手口が横行し、そのせいで業務機能が停止する事態(海外)も発生している。こうした攻撃は企業規模や業種などとは関わりなく実行される可能性がある。安閑としていられる組織はもはやどこにもない。
コラム:もう1つの標的型攻撃「DDoS」
業務妨害を狙う攻撃にDDoS攻撃がある。これは特定サーバに向けてアクセスを大量に集中させて機能不全に追い込むものだ。近年はDNSサーバやNTPサーバの脆弱性を悪用したり、Webカメラやビデオ装置などのIoT機器を支配下に置いて一斉攻撃を仕掛ける大規模攻撃が頻発している。こちらも標的を絞っているため標的型攻撃の一種といわれることがある。
標的型攻撃に対する有効な対策は何か?
従来は「標的型攻撃に有効なのは多層防御」といわれ、インターネットとLAN間のゲートウェイ、重要LANセグメント、エンドポイント(PCなどの端末)に各種のツール導入を行うとともに、ログのリアルタイム分析を始めとする可視化や監視強化を行うことが強調されてきた。
しかし企業は本音ではセキュリティへの投資は最小限にしたい。しかも人材難が続いており、十分な実力を持つセキュリティ担当者の獲得・育成が難しく、ツールの導入と運用には不安が大きいはずだ。その上、最新の攻撃に有効性が乏しいとなると、途方に暮れてしまう。しかし現在では頼りになるソリューションも幾つか登場している。それらは多層防御対策と少し考え方が違う。
1つは進化したアンチウイルスツールだ。ゲートウェイ中心ではなく、エンドポイントでウイルス実行を予防する。機械学習の仕組みを搭載し、パターンファイルに頼らず、精度よくウイルスであるか否かを判定し、実行を止めることができる。
もう1つはリアルタイムのインシデントレスポンスサービスおよび対応力検証、強化トレーニングサービスだ。こちらは攻撃に気付くため、また事後対応を最適に行うためのソリューションになる。
Copyright © ITmedia, Inc. All Rights Reserved.