「アンチウイルスソフトは死んだ」
2014年5月に、当時、米Symantecの上級副社長だったブライアン・ダイ氏が発したとされるこの発言は、当時のセキュリティ業界において大きな話題を呼んだ。近年では、相次ぐ個人情報漏えい、マイナンバー制度の導入、そして東京オリンピック・パラリンピックを標的としたサイバー攻撃の可能性など、情報セキュリティに関する話題は尽きることがない。
これまでアンチウイルスソフトはサイバー攻撃に対する防御の要とも呼べる存在だった。果たして本当に「アンチウイルスソフトは死んだ」のか。もしそうならば、年々増加の一途をたどるサイバー攻撃の脅威にどう対処すべきか。
本記事では、株式会社シマンテック エンタープライズセキュリティ事業統括本部 技術戦略部の七戸 駿氏に話を伺い、その発言の真意とこれからのサイバーセキュリティについての見解をお伝えする。
|
株式会社シマンテック エンタープライズセキュリティ事業統括本部 技術戦略部 |
世界で同時進行するサイバー攻撃活動は800~900。一度では終わらない標的型攻撃
近年、多発する標的型攻撃メールによる情報漏えい事件。特に、2015年5月に発生した日本年金機構における個人情報の漏えいは、その被害の大きさによって大きな注目を集めた。また、報道などによって情報漏えいまでの経緯が公表されるにつれ、典型的とも言える標的型攻撃の手法が明らかにされた。
「今回のケースを見てもわかる通り、標的型攻撃では一度の攻撃に依存していることは決してありません。最初の攻撃が防げばそれで終わりではなく、相手の様子をみて計画的な第二波、第三波をしかけていく。そしてそれを繰り返す。これが近年の標的型攻撃の最大の特徴です」(七戸氏)
例えば、最初の攻撃には囮となるマルウェアAを使って侵入をしかけて相手の防御反応を見る、反応が脆弱なものなら本丸のマルウェアBを使って確実に侵入する。侵入したらさらにステルス性の高いマルウェアCを呼び込み、組織ネットワークの中をゆっくり支配していく。七戸氏によると近年の標的型攻撃の場合、こうして作戦立てられたオペレーションが世界で800-900は発生しているとのことである。
「最近の標的型攻撃と推測されるものは、ほとんどが組織的に行われています。業界ごとにチームを分けて、まるで会社における事業部のようにそれぞれ目標を定め計画的に活動を行っています。ですから、一度侵入を防いだとしても、決して安心はできません」(七戸氏)
前科を持つモノしか捕まえられないアンチウイルスソフトの限界
次々と生まれてくる新種のマルウェア。現在では、全世界で生み出される新種や亜種のマルウェアは、1日に100万とも言われている。昨年だけで3億を超えるマルウェアが生まれており、これは地球上の生物種をはるかに超える速度で増殖し進化している。これまで、これらマルウェアを発見する役割を担う存在がアンチウイルスソフトだった。だが七戸氏は既存のアンチウイルスソフトでは、現在の標的型攻撃を防ぐことは難しいと語る。
「アンチウイルスソフトという概念は、基本的に定義ファイルのパターンと照らし合わせる方法でマルウェアを発見します。言い換えれば、前科のある指名手配犯しか見つけられません」
全世界に向けて無作為にばら撒かれたマルウェアなら、被害を受ける前に指名手配のリストを入手することもできるだろう。だが、特定のターゲットに侵入することを目的として作り出されたマルウェアの場合、侵入される前に指名手配のリストに載ることは極めて少ない。
そもそも、定義ファイルと照らし合わせるアンチウイルスの仕組みは、インターネットの黎明期から利用されてきたものだ。すでに攻撃側が企業の防御速度を遥かに上回って進化するサイバーセキュリティの世界で、このような旧態依然の技術だけに依存することはもはや通用しない。
「これからはウイルス単体を標的としたアンチウイルスではなく、攻撃のオペレーション全体に対抗するアンチサイバー攻撃でなければなりません。そのためには、前科を持つモノだけではなく初犯をどのように捕まえるか、例えば様々な箇所で囮捜査を連携して行って不審な動きをするモノを見付け出すような、そんな仕組みが必要です」(七戸氏)
パスワードによる認証にも疑問符
アンチウイルス以外にも、セキュリティ的に時代遅れと指摘されるものがある。それがIDとパスワードを使用した個人認証だ。IDとパスワードは、それを利用する本人のみが知っていることが大前提である。だが現実は、すでに数多くのパスワードが流出してしまっている。七戸氏によると、その数は「世界平均では毎年少なく見積もっても5億以上」は流出しているだろうとのことだ。
たとえ流出してしまっていても、サービスごとにパスワードを変更していれば被害は広がらない。だが現在では、IDとパスワードが必要な場面は無数に存在する。それら全てについて異なるものを用意することは現実問題として不可能に近い。
「そもそもアンチウイルスやネットワーク型のセキュリティセンサーなどシステマチックに脅威を検出するアプローチと比較して、IDとパスワードは管理や強度をユーザーのリテラシに依存するセキュリティです。しかし、全てのユーザーが利用しているアカウントの認証強度を全て十分に確保しておくことは難しい。本気で自社の顧客保護や社員保護を考えるのであれば、企業は責任をユーザー任せにしないで、IDとパスワード以外の認証も考えていくべきでしょう」(七戸氏)
その代表的な例が、特に金融機関において導入が進んでいる多要素認証や生体認証である。
「お客様の大切な情報を守るために何をすべきか。お客様の情報に何か被害が起これば自社の評判にどのように影響するのか。日本の金融機関の自らのビジネスモデルに対するリスク意識は特に高いものがあります。アンチウイルスと同じく、もはやパスワードも死んでいると言っても過言ではないかもしれません。今後は金融機関以外の分野にも、「パスワードには引退してもらう」という方針や、この考え方が進んで行くのではないでしょうか」(七戸氏)
守るべきはシステムではなく情報、変えるべきは対策ではなく体制
アンチウイルスソフトなども含め、もはや既存の技術では、サイバー攻撃を防ぎきることが難しい状況となっている。そんな現在において、今後の情報セキュリティはどうあるべきか。その問いに対して、七戸氏は「大きく2つの考え方があります」と答える。
一つは「脅威の阻止」。これは、いわば既存の方法であり、具体的には如何にして侵入を防ぐかということになる。ただ、執拗に繰り返される標的型攻撃を完全に防ぎきることは非常に難しい。そこでもう一つの考え方である「情報の保護」が重要となる。これは言い換えれば、たとえ侵入されたとしても「本当に大切なものについては守りきる」ということである。具体的な例を挙げるなら、重要データを物理的な隔離措置で守るいわゆるエアギャップ対策を行うなら、隔離されたシステムで業務が完結できるレベルまで必要投資を行う、隔離できないならデータ自体を検出できるデータ漏えい防止センサーを使って外部への流出を止める、そうした措置が難しいのであれば、重要な情報ファイルは全て暗号化を徹底する、などの方法が考えられる。
だが、どれだけ対策を講じたとしても、結局それを運用するのは人である。
「ですからまず一番にやるべきことはビジネスに責任を持つ社員の意識改革です。標的型メールは業務中に開いてしまうことも十分にあり得ます。大切なのはその後です」(七戸氏)
マルウェアに感染した場合、最も標準的な方法と広く認識されているのはネットワークそのものを切断してしまうことだ。ただし、それは感染したPCだけではなく、会社全体のネットワークを外部から切り離し業務の中断や事業継続性のリスクを受け入れることになる。そして、そのような重要な判断は経営レベルでなければ下すことは不可能だ。もし、そのような事態になった時、即座に経営レベルの判断が下せるような計画と体制、その訓練を整えておくこと、それが重要なのだ。
「火事が起きないように、火元に気をつける。と同時に、火事が起きた時のために消火訓練や避難訓練を行う。サイバー攻撃への対策も同じです。侵入されないための対策と、侵入された後の対策、その両方が大切なのです」(七戸氏)
