標的型攻撃による情報漏洩の被害が増え続けている中で、2014年は内部犯行による顧客情報漏洩事件までもが発生し世間を騒がせた。企業の情報セキュリティを担う責任者は、今まさに多方面でのセキュリティ対策に追われている状況にある。これまで対策の中心であった情報漏洩の「予防策」にも限界があり、マルウェア感染による外部通信や内部からの不審なアクセスなど、危険を早期に発見し実態を正確に把握し、対処する仕組みに対策の重点が移ってきている。

そうしたなか、12月11日(木)に開催されるセミナー「大企業のための情報漏洩対策セミナー~情報漏洩が起こる事を想定した対策を講じる~」では、ラックのセキュリティプロフェッショナル本部 プロフェッショナルサービス統括部 コンサルティングサービス部 情報技術解析グループ グループリーダー 内田法道氏が、同社が携わったセキュリティ情報漏洩のインシデント事例を紹介するとともに、危険を早期に発見し、その実態を掌握して対処する有用な手法を解説する予定だ。そこで本稿ではセミナーに先立ち、なぜ今、危険の早期発見、早期対処がより問われているのかについて、内田氏の経験と見解、そして具体的な事例をもとに語ってもらった。

大企業のための情報漏洩対策セミナー~情報漏洩が起こる事を想定した対策を講じる~」の参加申し込みはこちら(参加費無料、12月11日(木)開催、東京都千代田区、開場12:30~)

狙われる日本の大企業、同一の攻撃者による犯行の可能性も

株式会社ラック セキュリティプロフェッショナル本部 プロフェッショナルサービス統括部 コンサルティングサービス部 情報技術解析グループ グループリーダー 内田法道氏

開口一番、内田氏は日本企業におけるセキュリティ侵害や情報漏洩が恐るべき確率で発生しているという事実を明らかにした。「我々が実施したこの5年間ほどの調査によると、発見したインシデントのうち、約5割が緊急対応が必要と思われるマルウェア感染や情報漏洩に関する脅威でした。つまり、これは約半数の企業では、サイバー攻撃者等による何らかの脅威にさらされている可能性があるということを示唆しています。

こうしたセキュリティ侵害を受ける大企業の割合は高いだけでなく、その業種も幅広い。しかし、特に目立っているのが製造業における被害だという。

「マルウェアの感染や情報漏洩の痕跡が製造系の企業で見つかるケースは多いです。なかでも気になる傾向の1つとして、攻撃のパターンやマルウェアに類似性が見られる被害が起きていることが挙げられます。このようなケースは、おそらく、同じ攻撃者グループによって日本のメーカーを攻撃対象としたオペレーションが水面下で動いているものと推測されます」(内田氏)

また、製造業に限らず、アジア地域などに展開している現地法人やグループ企業といった、海外の関連組織でマルウェア感染が見つかるケースも目立ってきているようだ。そうした現地の組織では、従業員のセキュリティ意識や端末の管理方法などが日本国内のレベルと比べて相対的に低いことから、攻撃者にとっても狙いやすい対象となってしまうのである。

「『セキュリティレベルの一番低いところが、組織全体のセキュリティレベルとなる』というセキュリティ対策の基本中の基本を今こそ再確認する必要があるでしょう。特にグローバル企業では、アジア地域のインターネット回線を日本に集約化するといった動きを進めているところが多いので、そうした場合には自社のネットワーク・セキュリティを国内外で分けて考えることはできないはずです」と内田氏は訴える。

「標的型攻撃」+「水飲み場型攻撃」
今年急増中の“ハイブリッド”攻撃

ほとんどの日本企業では、これまで様々なセキュリティ対策を当然ながら実施して来ているはずだ。それでもサイバー攻撃による被害が絶えないのは、マルウェア感染を引き起こす手口が高度化・複雑化しているという背景がある。例えばWebサイトの閲覧という日常的な行動1つを取ってみても、最近ではマルウェア感染のリスクが高まってしまっているのだ。本来であれば危険性など疑う必要のない国内の一般的なサイトであっても、サイト自体が改ざんされており訪問者も気づかないうちにマルウェアに感染させられたり、ページ内の広告から悪意のあるサイトへ飛ばされて感染させられたりといったケースが目立っているのである。

「残念ながら、日本の普通のWebサイトだから安心という過去の常識は現在では通用しなくなっています」(内田氏)

特に今年増えているのが、標的型攻撃と水飲み場型攻撃を組み合わせたような新たな攻撃の手口である。その内容は、水飲み場型攻撃で改ざんされている日本のWebサイトではあるが、標的としている企業からのアクセスにはマルウェア感染を試みる一方、ラックのようなセキュリティ企業を含めた標的外の企業がアクセスすると通常のコンテンツしか返さないようにカモフラージュされているというものだ。いわば、警官が巡回に来た時だけ犯人が凶器を隠蔽してしまうようなもので、セキュリティ企業や公的機関にとっても非常に危険を発見しづらいのである。そのため、まずはもしも被害にあったとしても、早期発見・早期対応が可能となる体制を日頃から企業側が整えておく必要性がより大きくなるのだ。

「とは言っても、何も特別な対策をすぐに実行しなければいけないわけではありません。まずは最低限やるべき基本的な対策をもう一度見直し、実施することが重要です。加えて、プロキシやファイアウォールのログをリファラーやユーザーエージェント等まで含めて十分な期間保存しておくようにする。もしそうした証拠を残していなければ、ひとたび攻撃を受けた際、我々のようなセキュリティ企業が調査を行い被害の内容や攻撃手法を特定することが極めて難しくなるのです」と内田氏は言う。

気になるのがログの保存期間だが、内田氏によると最近のセキュリティ侵害事件での調査では、被害の発覚より3ヶ月から6ヶ月ほど前に侵入を許している事例も多いことから、それ以上の期間保存しておくことが望ましいという。

「もはや企業の説明責任からも『どのような攻撃を受けてどれぐらいの被害を受けたのかわかりません』などとは言えない時代になっています」(内田氏)

内田氏がこれまで行った日本企業のセキュリティ侵害調査の中から得られた、気になる傾向や最新の事例の詳細については、12月11日(木)のセミナーにて「いま、自分たちの組織から情報が漏れてしまう危険性-情報漏洩対策のための最重要課題-」で言及される予定だ。最新のセキュリティ動向、それに技術面よりももう1つ上の層でのセキュリティ対策のあり方や考え方について学びたいのであれば、ぜひとも足を運び講演に耳を傾けていただきたい。