ジャパンネット銀行CSIRTチームが伝える「CSIRTアレコレ」(3) ネット銀行における標的型攻撃対策とは?(前編)

内部対策、出口対策が不十分だった

2015年5月に発生した日本年金機構の情報漏えい事件は記憶に新しいところだと思います。この事件における原因については、政府のサイバーセキュリティ戦略本部が調査報告を出しています(リンク※PDF注意)ので改めて説明しませんが、多くのセキュリティ担当者にとってこの問題は衝撃を受けたはずです。

ジャパンネット銀行もその例外ではなく、自社のセキュリティ対策を見直すきっかけとなった事件でした。近年は「多層防御」という考え方が主流になり、マルウェアに感染してしまった後の対策(いわゆる内部、出口対策)が重要視されています。私たちも、サイバーキルチェーン(攻撃者がどのような段階を経て攻撃に至るのかを分析したもの)に照らし合わせてセキュリティ対策を再整理したところ、内部、出口対策が弱いという結論に至りました。

そこで、JNB-CSIRTが主導して「追加すべき内部、出口対策」を検討し、2015年7月からさまざまな施策を実施しました。

JNBにおけるサイバーキルチェーン別対策

まず手を付けた「ネット環境の分離」

私がこの日本年金機構の事件を耳にして感じたことは、「マルウェア感染を完全に防げないのであれば、個人情報や機密情報を取り扱う業務環境からインターネットに接続してはいけない」ということです。インターネットに接続している限り「常に外部からリモートコントロールされるリスクがある」と考えるべきなのです。

もちろん、以前から「業務環境とインターネット環境を分離すべき」という考えは存在していました。しかし、環境分離には多大なコストがかかる上に、業務効率の低下が想定されることから推進できていませんでした。ただ、年金機構の事件をきっかけに社内の空気が一変し、「セキュリティ対策の重要性」が理解されるようになったことから、環境分離対策を推進できるようになったのです。

環境分離対策は「仮想ブラウザ」で

上記の画像にあるように、私たちが行った環境分離対策は「仮想ブラウザ化」です。具体的にイメージしにくいと思いますのでご説明しましょう。

従業員のクライアント端末には一般的なローカルブラウザ(IEなど)がインストールされていますが、それとは別に仮想ブラウザを用意します。仮想ブラウザは仮想端末基盤の上に起動したブラウザとつながっており、クライアント端末には仮想ブラウザの画面データだけが転送される形になります。ちなみに、仮想端末基盤とクライアント端末の間でデータファイルは送受信できない仕組みとなっています。

インターネット閲覧は基本的に仮想ブラウザからのみで、ローカルブラウザは許可していません。もちろん、データファイルをアップロード・ダウンロードする業務が少なからず存在しますから、それらの業務で利用するWebサイトのみ、ローカルブラウザからのインターネット接続をプロキシで許可しています。管理は申請によるホワイトリスト方式です。

このようにブラウザを分離すれば、クライアント端末が万が一マルウェアに感染したとしても、通信先が限定されていることからマルウェアがC&Cサーバー(コマンド&コントロールサーバー、遠隔操作の指令を出すサーバー)と通信できなくなります。許可している安全とされる通信先をシステム管理者がチェックしているため、通信先がC&Cサーバーである可能性は限りなく低いと考えています。