IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、サイバー攻撃への対策状況の点検について注意喚起をしている。
サイバー攻撃の特徴
先月の呼びかけでも、冒頭に悪意を持った攻撃者によるサイバー攻撃についてふれた。そこでの対策として、パスワード管理について紹介した。しかし、現状を見まわすと、多くのサイバー攻撃が報告されている。Anonymous(アノニマス)、LulzSec(ラルズセック)などは、犯行声明や実際に入手した情報を公開するなどをしている一方で、すでに逮捕や身柄の拘束といった当局の対応も進んでいる。
サイバー攻撃については、ウイルスなどと同様に明確な犯罪意図が存在するようになった。かつては、Webサイトに侵入し、トップページを書き変えるといったことを行い、自らの技術の高さを誇示することやいたずらが目的であった。しかし、IPAによれば、最近のサイバー攻撃の多くが、「金銭目的」や「組織活動の妨害」といった明確な悪意を持っているとのことである。
金銭目的の場合、盗み出された個人情報からなりすましなどの被害が想定される。組織活動の妨害では、IMFやCIAといった公的機関や政府機関が狙われている。その背景には、政治的・思想的背景が潜み、まさにサイバー戦争も現実のものとなりつつあるといった感もある。また、サイバー攻撃を受けた多くの企業には、情報流出のみならず、対策費用の負担、企業の社会的イメージの悪化といった被害も想定される。
サイバー攻撃の手口は、
- 脆弱性の悪用
- 標的型攻撃メール
などがある。前者は、OSやアプリケーションの脆弱性を悪用するもので、以前から使われる手口である。しかし、脆弱性は日々発見され続けており、継続的な対応が必要と、IPAでは指摘している。後者は、まずその対象を特定の組織や個人に限定する。そして、上司や業務連絡を装い、ウイルスなどに感染させる。その際に使用されるウイルスは、セキュリティ対策ソフトでは検知されにくいものを使うとのことだ。そして、感染したPCを踏み台にして、内部システムに侵入するのである。
サイバー攻撃への対策
サイバー攻撃への対策であるが、経営層、システム管理部門、社員の三位一体で、対策状況の点検と、さらには体制や対策の見直しを行う必要がある。IPAでは、役割別の対策の指針を表1のようにまとめている。
表1 サイバー攻撃への役割別の対策の指針
役割 | 対策の指針 |
---|---|
経営層 | 組織全体に関わる経営リスク管理の一環として、事業継続計画(BCP)と企業の社会的責任(CSR)の観点から、組織としてのセキュリティ対策の点検と見直しを進める。 |
システム管理部門、 システム管理者 | 現在運用しているシステムやサービスについて、サイバー攻撃への対策状況を点検し、対策の強化が必要であれば早急に実施する。 |
社員、一般利用者 | 組織内で利用しているパソコンが、ウイルス感染等により、内部システムへ攻撃者が侵入する「踏み台」となってしまう可能性がある。 サイバー攻撃の脅威は社員などの個人にまで及ぶという状況を認識し、セキュリティ対策を怠らないようにする。 |
経営層、システム管理部門、システム管理者向けの脆弱性を突いた攻撃への対策
IPAでは、「情報窃取を目的としたウェブサイトへのサイバー攻撃に関する注意喚起」を公開している。対策として、組織におけるシステムやネットワークのセキュリティ対策状況を確認するための「チェックリスト」を掲載している(図2)。Webサイトだけでなく、自組織が運用しているシステムの状況を把握するためにも、有効であろう。
このチェックリストは、やや高度な施策を含み、包括的なものとなっている。チェックを行い、セキュリティ対策の弱い部分が見つかった場合、可能な限りセキュリティ対策を行うことが望ましいのだが、その中でも、守るべき資産と重要性を見きわめ、バランスよく対策を講じることが重要とIPAでは提案している。また、サイバー攻撃に関する最新の情報にも注意を払い、どのような攻撃手口が流行しているのか、そして、自組織におけるセキュリティ対策が陳腐化していないかのチェックも必要としている。
組織を構成するすべての人が必要な「標的型攻撃メール」への対策
標的型攻撃メールでは、細工したPDFファイルなど、PC内のソフトウェアの脆弱性を悪用し、ウイルスに感染させようとする手口が使われる。一般利用者ならば、IPAが公開している「MyJVNバージョンチェッカ」などを活用し、OSやアプリケーションをつねに最新のものに保ち、脆弱性を解消すべきである。
さらに「罠(わな)のメールを見抜き、開かない」、「不審なメールを受信したら組織内で周知する」といった、人による対策が有効であるとIPAでは指摘する。これについては、IPAのこちらの情報(「実例から分かる標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」)をぜひ参考にしてほしい。
また、不審なメールを受信した場合、組織としてどのように対応するのか(注意の周知手順など)のルールを確立も必要とのことである。