マイナビニュースITサミット Webセキュリティ『2012年度版 最新脅威対策講座』が7月5日(木)、東京都内で開催された。
インターネットイニシアティブ(IIJ)のセキュリティ情報統括室 シニアエンジニア、セキュリティオペレーション事業者協議会(ISOG-J) 標的型攻撃検討対策WGの加藤雅彦氏 |
同講座では、インターネットイニシアティブ(IIJ)のセキュリティ情報統括室 シニアエンジニアであり、またセキュリティオペレーション事業者協議会(ISOG-J)の標的型攻撃検討対策WG(ワーキンググループ)で標的型攻撃の対策に取り組む加藤雅彦氏が、「標的型攻撃とセキュリティオペレーション」と題して講演。WGでの活動内容を報告することを通して、標的型攻撃の実態と情報交換の重要性、対策のあり方について紹介した。
標的型攻撃といかに向き合うか
標的型攻撃は、2011年9月に国内企業への攻撃が報道されたのをきっかけに、その脅威が国内で広く知られることになったが、加藤氏によると、もともと標的型攻撃は、以前から特定の組織に対して攻撃が行われており、専門家の間では、すでにその存在は知られていたという。
ISOG-Jでは、各国で標的型攻撃の被害が急速に拡大していた当時の状況を踏まえ、2011年6月から対策の検討に向けたブレインストーミングを開始、同年7月に標的型攻撃対策検討WGを正式に発足させた。加藤氏は、WGが目指すゴールについて、「標的型攻撃に関する検討、調査、実証実験の結果を元に、実効力のある標的型攻撃への耐性強化の機能の提供を、ISOG-J会員各社が顧客に提供できるようにすることにある」と説明する。
ブレインストーミングでは、標的型攻撃者の姿について、目的意思と技術力が非常に高く、組織内ネットワークに潜伏して長期的に活動する蓋然性が高いという認識が確認された。そして、攻撃の裾野が広がりつつあり、特定の事業者の努力で守り抜くことは困難であり、協調による対策が必要になるという結論に達した。
また、標的型攻撃メールの検出状況をWGで共有・分析した結果、標的型攻撃で用いられた攻撃手法やマルウェアが、標的型攻撃よりもやや対象範囲が広い準標的型攻撃、さらにはSPAMなどに広く模倣され、完成度は下がるものの使い回されている可能性が高いことがわかった。加藤氏によると、「標的型攻撃の段階で早期に対策を施すことができれば、準標的型攻撃や一般の攻撃を防ぐことができる可能性が高くなる」と述べている。
WGでは、ブレインストーミングの結果をもとにして、実際に標的型攻撃にかかわる情報の共有を行うための実証実験を実施した。 具体的には、アンチウィルスの情報や、マルウェア感染後の通信先といった情報をもとに、情報共有の可能性や、その効果についての検証を行った。
加藤氏によると、実証実験の結果から、標的型攻撃の初期の段階では、アンチウイルス・ソフトが機能しないことや、ファイアウォールなどのログ情報から危険な通信先のIPアドレスを共有、調査することにより、標的型攻撃の解析が実現できる可能性があることなどが明らかになったという。
検出/防御の両ポイントでの連携が不可欠
対策を困難にしている標的型攻撃の特徴とはどのようなものだろうか。
加藤氏がまず挙げたのは、特定の組織や人が攻撃対象となり、攻撃の範囲が狭いために気が付きにくいということである。場合によっては、攻撃されていることさえ気が付かないこともあるという。
もう1つは、手法の異なる攻撃手段が複数組み合わせられ、個別の攻撃に対する対策だけでは防御が難しいことである。手法には、組織に特化した攻撃仕様を使用する個別攻撃手法のほか、システム内部調査や攻撃者のサーバとの通信(ウイルスのアップデート、窃取情報の通信等)に使用される共通攻撃手法がある。
また、境界防御を越えて侵入を繰り返し、検出を行う場所と対策を行う場所が異なること、そして、長期間にわたって活動が継続し、検出に時間がかかることも対策を難しくする大きな特徴と言える。従来は、攻撃の検出を行うポイントと防御を行うポイントやそのタイミングは基本的に同じであったが、標的型攻撃の場合は、検出と防御のポイントとでタイミングが異なり、長期間にわたって攻撃が行われるため、攻撃を検出した時点ですでに攻撃が成功している可能性が高い。
この点について、加藤氏は、「内部感染の検出と防御の両ポイントで連携して対策が打てないと、被害の拡散を許してしまうことになりかねない」と指摘している。
日々の運用こそが重要な対応策に
このように対策が難しい標的型攻撃に対して、どのような方針で対策に取り組む必要があるのだろうか。
加藤氏がまず方針として挙げたのは、被害の状況の全体像を把握するということだ。
そのためには、不審な接続先に対して通信が行われていないか、ファイアウォールやIDS/IPS(侵入検知/防止システム)、メールサーバ、アンチウイルスGWといった通信経路上にある中継機器や監視装置などのログを確認するほか、外部団体からの情報の収集や公開情報を収集・分析する必要がある。
また、被害が疑われる機器に不正なプログラムなどが仕込まれていないか調査を行うことも重要だ。例えば、不審な認証失敗がなかったかどうか認証サーバなどのログを調査したり、不審な添付ファイルを開いたかどうか利用者のオペレーションを確認したり、フォレンジックによって端末の不正プログラムを調査したりすることが考えられる。
加藤氏が挙げるもう1つの方針は、被害の拡大を防止することである。
そのためには、内部組織間の連携や機器同士の連携を図り、攻撃に関する情報をすばやく交換すること。また、組織内で不審なメールを受け取った場合やPCの不信な挙動を発見した場合に必ず申告するように周知徹底したり、不審なメールの添付ファイルを開かないように周知徹底したりするなど、組織内への注意喚起を図ること。さらに、他の組織で同様の自体が起きていないか確認したり、必要に応じて各届け出機関などに相談したりするなど、外部組織との連携を図ることが重要な取り組みとなる。
では、一般の企業にはどのような取り組みが求められるのだろうか。
まず、被害状況を把握する取り組みでは、自社内のシステム構成を把握する仕組みや、通信ログやIPアドレス、メールヘッダ、添付ファイル名などの情報を収集・保存する仕組み、バラバラのデータを集約して分析する仕組みなど、自社内情報の把握(蓄積・集約・分析・共有)のための仕組みを用意することが求められる。また、セキュリティレベルを定義し、重要度に応じて情報を分類するなど、自社内の守るべき情報を明確にする必要もある。
次に、被害の拡大防止のための取り組みでは、不審なメールなどに関する相談窓口やセキュリティ対策を担当する部門の設置など、社内体制を整備したり、セキュリティサービス提供ベンダーとの良好な関係の構築や業界団体への加入など、外部組織との連携体制を構築したりするなど、問題に迅速に対応するための体制の整備が求められる。
また、被害の拡大防止のための取り組みでは、入口対策と出口対策の両方をきちんと実施する必要があるほか、セキュリティレベルが異なる情報については、内部ネットワークをゾーン分けしたり、認証方法を変更したりするなど、保護方法を変えることも重要な取り組みとなる。
加藤氏は、一般企業における標的型攻撃対策への取り組みについて、「仕組みや体制を準備しただけでは対策にはならない」と指摘したうえで、「"正常"な状態を把握し、そこから"異常"を発見するために日常的に情報を確認したり、持続的な教育を実施したりするなど、構築した仕組みや体制を日々運用することこそが重要になる」と、講演の最後を締めくくった。