検査するまで実態は把握できない

標的型攻撃が猛威をふるっている。三菱重工業、衆議院、最近では電力会社など、企業・組織が持つ顧客情報や機密情報が次々と狙われている状況だ。サイバー攻撃そのものは以前から存在していたが、この1年の攻撃手法は、特定の企業・組織に狙いを定め、マルウェアを仕込んだメールをきっかけに企業内ネットワークに侵入して情報を詐取する攻撃が増えているのが特徴だ。

シスコシステムズが四半期ごとに公表する脅威レポート「Global Threat Report」によると、今年1月から6月までに特定の標的を狙った詐欺や攻撃が増加し、「スピアフィッシング」は3倍に、「標的に合わせて高度にカスタマイズされた詐欺や攻撃」は4倍に増えた。実際に狙われた組織の損害額も増加傾向にあり、標的型攻撃によって企業が負担したコストの総額は、世界で年間12億9,000万円に上っているという。

シスコシステムズでシニア システム エンジニアを務める小林秀行氏は、APT攻撃の実態について、「ユーザーが気付かないうちに攻撃を受けていることが特徴の1つ。調査を依頼されてトラフィックを監視してみると、そこでようやく不正なマルウェアが潜んでいたことが発覚する」と指摘する。セキュリティ意識が高く、さまざまな対策を積極的に講じている企業ですら、攻撃に気付かないケースが多いという。

小林氏は、ボーダレスネットワークシステムズエンジニアリングというシスコが新たに設置した部署に所属するエンジニアだ。同部署は、ボーダレスという名称にもあるように、企業の内と外、PCとスマートフォン、会社の所有物と私物などの境界がボーダレスになるなか、ネットワークセキュリティを確保しながら業務を速やかに行うための製品やソリューションを取り扱う専門組織となる。

「標的型攻撃に対し、『この製品を導入したから大丈夫』とは言えなくなっています。当社はネットワークセキュリティ機器、Webコンテンツセキュリティ製品、モバイルセキュリティ製品など、製品を横断した専門部署を設けることで、個々の製品では防ぐことができない脅威に取り組んでいます」(小林氏)

対策のポイントは情報量の多さとリアルタイム性

では、昨今のセキュリティ脅威に対し、どのような対策を講じていくのが望ましいのか。小林氏によると、個々の製品を複数組み合わせても十分ではないという。

例えば、Webセキュリティ対策としてURLフィルタで対応しようとしても、日々増殖する不正サイトへのアクセスを完全にブロックすることはできない。「ゼロデイ攻撃などと言われるように、1日1回URLデータベースを更新していたのではとても間に合わない。不正なマルウェアが仕込まれたボットネットは生成されてから10~20秒で消えるものも存在する」(小林氏)からだ。

そこで、セキュリティ対策のポイントになるのが、情報量の多さとリアルタイム性だという。シスコは、「Security Intelligence Operations(SIO)」と呼ばれる世界最大規模のIPアドレスのレピュテーションサービスを展開している。これは、世界中のIPアドレスについて-10.0 ~ +10.0の200段階で格付けを行い、そのサイトが安全なサイトか不正なサイトかを識別する評価データベースだ。

評価のソースとなるのは世界100万台のデバイス(うちハニーポット30万台)からほぼリアルタイムに収集される情報で、総データ処理容量は1日1テラバイトに及ぶ。監視できる対象は、メールで言えば、世界のメールトラフィックの35%をカバーする規模となる。どのホスト/IPアドレスが1日にどのくらいのメールを送信しているかをチェックして、それがボットネット化していないかなどもチェックできる。シスコ製品はネットワークアクセスが生じるたびにこのSIOにリアルタイムにアクセスする仕組みを備える。

「標的型攻撃は完全に防ぐことができないと思ったほうがよいでしょう。標的型攻撃を受けるリスクをいかにして最小限に抑え、発見的防御、つまり"出口対策"を同時に考慮する発想が必要になってきています。その点で、SIOの特徴である情報量の多さとリアルタイム性は有効に機能します」(小林氏)

では、SIOを利用すると、標的型攻撃の被害をどのように最小化できるのだろうか。マイナビニュースが11月22日に開催する「セキュリティセミナー」では、小林氏が標的型攻撃の特徴やそれに対するSIOの有効性を解説する予定だ。

スマートフォンの登場や、BYOD(Bring Your Own Device:私物デバイスの活用)という考え方の広がりなど、近年のワークスタイルの変化は、企業のネットワーク、Web、モバイルのセキュリティにも大きな影響を与えている。それら製品とソリューションを横断的に扱う専門部署に属し、現場の実態と技術を知る小林氏の講演は、APT攻撃への対策に悩む企業にとって、大いに参考になるはずだ。

[PR]提供:セキュリティセミナー