本連載では、標的にした企業・組織から機密情報を窃取するAPT(Advanced Persistent Threat)攻撃の実態とその手口について紹介してきた。十分に時間をかけて調査を行い、侵入してから情報を盗み出し、目的を果たしたあとは形跡を残さないという巧妙な攻撃は、企業・組織の存続を左右しかねないほどの脅威である。 では、標的型のAPT攻撃から企業・組織の機密情報を守るには、何をすべきなのだろうか。連載第三回目の今回は、APT攻撃からの対策について、アズジェント セキュリティセンター フェロー 駒瀬彰彦氏に話を聞く。
人によるファイアウォールを構築する
企業・組織にとって大きな脅威となるAPT攻撃だが、最も対策を講じるべきなのが「人」だという。
アズジェント セキュリティセンター フェロー |
「APT攻撃の目的が特定の企業、組織を標的とした機密情報の窃取・流出であると考えると、最も弱点となるのが、人です。標的となる企業や組織の従業員が退職して別企業に就職する際や日本企業を退職して第三国の企業に再就職する際などに、機密情報やアカウント情報、または何かしら企業が保有する弱点が漏れていると考えられるケースが増加しています。これを完全に止めることは困難ですが、何らかの注意喚起をして、退職後もその組織や取引先の不利益になることへの活動は慎むべきことを、改めて教育する必要があります」(駒瀬氏)
また、機密情報の窃取・流出を防ぐ重要な取り組みに、不要になった情報の削除・消却が挙げられる。
「人の異動時とともに情報が流出することを避けるには、アカウント削除・変更に加え、情報のライフサイクル管理が大切です。ライフサイクル管理とは、情報の入手・生成から利用、保管、転送、最終的には削除・消滅にわたり、適切に管理をすることを意味しますが、情報を削除・消滅させることに対する管理をおろそかにし、不必要に溜める一方だという企業も少なくありません。しかも、それらの情報には、APT攻撃を手助けするには十分な情報を含んでいることも多く、攻撃の誘引に繋がります。不要になった情報は完全に削除するといった情報管理の仕組みも整備しておかなければ、どこかで情報が漏れてしまいます」(駒瀬氏)
多段的・総合的な対策が必要
利用者による人的セキュリティ対策としては、付与されたアクセス権を適切に維持するために、複雑なパスワードを定期的に変更することが重視される。これは、APT攻撃の対策にとっても必要なことだ。
「ID/パスワードが容易に盗まれないように、複雑で長い、強度の高いものを適切に使用することは有効です。ただし、一度侵入されてしまうと、ID/パスワードを変更しても、その行為自体が監視されているので、意味をなさなくなることもあります。従って定期的にボットやスパイウェアなどが侵入していないことを調査する必要があります。また、侵入されないためにも、ID/パスワードの使い回しを避けるべきです。特に漏えいする可能性の高いSNSのID/パスワードを企業や組織で用いるシステムに使用することはやめるべきです」(駒瀬氏)
データを受信したときは注意深く確認せよ
論理的なAPT攻撃だが、その侵入経路を考えると、外部ネットワーク(インターネット)、またはUSBメモリやCD/DVDなどのメディアから侵入するケースがほとんどである。つまり、APT攻撃対策には、外部ネットワークと内部ネットワークを接続するゲートウェイ、および端末のインターフェイスを監視することは欠かせない。
また、特にシステム管理者は、機密情報が格納されているWebサーバ、ファイルサーバ、DBなどのOSやアプリケーションに対して、脆弱性に関する修正パッチの適用を忘れてはならない。これらの対策は、従来のセキュリティ対策と変わることがなく、APT攻撃でも"対策の原点"となる。
「APT攻撃からの対策としては、外部ネットワークからデータを受信する前にさまざまなチェックをし、不正な振舞いをしないか(マルウェアではないか)を確認することが重要です。この考え方は、従来のセキュリティ対策とあまり変わりませんが、単に受信前にウイルスチェックをするということでは不十分です。なぜなら、APT攻撃には、ウイルスチェックでは検知されないマルウェアが利用されるケースが多く、侵入後も利用者によって見つけることが困難であるからです。従って、受信後においても、プログラムの振舞いや通信の異常を検知するなど多段階にわたるチェックを実施しなければならないという点で、従来の対策とは大きく異なります」(駒瀬氏)
巧妙な手口で侵入を試みるAPT攻撃を、アンチウイルス機能だけで防ぎ切ることは不可能である。ウイルスチェックをすり抜けてくる攻撃も少なくない。また、ゼロデイ脆弱性と呼ばれる、まだ公表や対策パッチの提供がされていない脆弱性を狙った不正コードが、あたかも正当な送信者から添付されたファイル内に仕込まれて送信されてくることもあるのだ。
「攻撃者は、本物の企業・組織を送信元として偽装してくる場合があります。例えば、取引先担当者の名前を騙り、書類が出来上がったので至急PDFを確認して欲しいといったメールが届くこともあります。十分に事前調査が行われたAPT攻撃では、関連会社などの取引メールの内容がほとんど攻撃者に知られている状況にあり、文章や構成をそっくり真似たメールを送信してPDFなどに仕込んだ不正プログラムを難なく侵入させたという事例もあります。ですので、本当に送信元のメールアドレスは正しいのか、通常とは異なる手段でメールを送信していないかなど、必要に応じて送信元にメール送信について確認しながら注意深く受信したメールを取り扱わなければならないこともあります。一方、このことは、利用者に不正なメールを安易に開くなという対策にも限界があるということを意味します」(駒瀬氏)
さらに、攻撃者は不正プログラムを送り込むために、フィッシングメールを送りつけ、正規のサイトを模造したフィッシングサイトに誘導し、不正プログラムに感染させることもある。
「現在は、不正プログラムをダウンロードさせるためのフィッシングサイトを簡単に構築できるソーシャルエンジニアリングツールを入手することが可能です。国内においても、中学生が本物同様のフィッシングサイトを構築していたケースもあります。利用者としては、不信と思われるサイトに関しては、当該企業に本物か否かを確認の上、利用する必要があります。また、企業側も利用者に予めフィッシングサイトについては注意喚起しておくことが重要です」(駒瀬氏)
|
APT攻撃には多段的・総合的な対策が必要 |
ゼロデイと言われる脅威に対抗するためには、「人」や「アンチウイルス」によるチェック機能だけでは十分ではない。「人」によるチェック機能の限界を超えた攻撃に対しては、技術的な対策による補完が必要となる。技術的な対策としては、送付されたファイルやプログラムの動作を確認するサンドボックス機能を備えたセキュリティソリューションが有効である。サンドボックスは、セキュリティで保護された領域でプログラムを実行し、不正な振る舞いをするかどうかを確認する機能だ。
「ゼロデイ脆弱性を狙ったマルウェアは、増加の傾向にあり、既知の不正プログラムの一部を改変した亜種も増えています。このような不正プログラムの侵入を防ぐためには、仮想環境でプログラムを実行し、その挙動を分析してマルウェアかどうかを判断するサンドボックスが効果的です。サンドボックスでは、マルウェアやAPTであることを判断するシグネチュア解析の実行、マルウェアがC&CやDNSに接続することを防止します」(駒瀬氏)
さらに、APT攻撃においては、流出したとしても、データに含まれる情報の解読を困難にする暗号化などの対策も役に立つ。いずれにせよ、APT攻撃に対応するためには、多段的・総合的な対策を心がける必要があると駒瀬氏は説く。
ここまで、アズジェントの駒瀬氏にAPT攻撃の実態や手口、その対策について解説していただいた。次回からは、APT攻撃から機密情報を守る具体的な手法の各論について紹介していく。
