急増する標的型攻撃。その被害が広がるにつれ対処の必要性が叫ばれている。しかし、そもそも「標的型攻撃とはどのようなものなのか」については意外と知られていない。
2014年2月28日に開催された「2014年版!標的型攻撃対策セミナー」において、ソフトバンク・テクノロジー株式会社 技術統括 プラットフォーム&データソリューション本部 シニアセキュリティエヴァンジェリスト 辻 伸弘 氏による基調講演「標的型攻撃対策再入門」が行われた。本記事では、当日の講演にて解説された、標的型攻撃の正体と対処方法について紹介する。
 |
ソフトバンク・テクノロジー株式会社 |
誰もが標的型攻撃のターゲットとなる可能性を秘めている
標的型攻撃について、辻氏はWikipediaの内容を引用し「明確な意識と目的を持った人間が特定のターゲットに対して特定の目的のために行うサイバー攻撃の一種」と定義した。
この中で、特に辻氏が強調したポイントは「人間」が行うという点である。つまりコンピュータが機械的に行うのではなく、人が意思を持って行うことが標的型攻撃なのである。標的型攻撃は大掛かりに行われるイメージがあるため、そのターゲットとなるものは政府機関、軍需産業、技術産業など、特別な技術や情報を持つ組織で、自分たちは無関係だと思う人も多い。
だが標的型攻撃の中には、目的の組織に対して攻撃を仕掛ける前に、その周囲にある取引先や関係者、更にはその家族を狙ってくる場合もある。
通常、ターゲットとする組織より、その周囲の方がセキュリティレベルは低い。また侵入を試みる場合でも、取引先や関係者を経由した方が、はるかに簡単だ。 「企業同士はもちろん、個人同士でもSNSなどの普及で様々なつながりが生じています。無関心であっても無関係ではいられない、それが今の状況なのです」(辻氏)
標的型攻撃の段階
明らかな攻撃の意思を持って行われる標的型攻撃。それに対処するためには、まず標的型攻撃とは何かをしっかりと理解することが大切だと辻氏は語る。「標的型攻撃は新しいタイプの攻撃だと思われている方もいますが、必ずしもそうではありません。むしろ古いタイプの攻撃を組み合わせ、時間とリソースをかけて仕掛けてくるものがほとんどです。つまり、それら古いタイプの攻撃への対策をつなぎ合わせていけば、ある程度は防ぐことができます」(辻氏)
標的型攻撃はいくつかの段階を経て行われる。その中で特に注意すべき段階として、辻氏は以下のものを挙げた。
 |
標的型攻撃の段階。この中で攻撃者を守りたいものへ到達させないという観点で注意すべき部分は③~⑥の部分 |
【3:初期潜入段階】
主に、マルウェアを添付したメールやフィッシングサイトへの誘導を促すメールの送信を行う段階。これらのメールは、ウイルス対策ソフトでも検知されないタイプが増えてきている。
パケット通信の監視において、データの転送量や転送先、時間帯などが普段とは違っていることを発見すれば、攻撃に気が付くことができるだろう。またWindowsの場合Microsoftから無償でリリースされている「悪意のあるコードの実行を抑制するEMET(Enhanced Mitigation Experience Toolkit)という技術を利用すれば、水際で防ぐ可能性も高まることでしょう」(辻氏)。
【4:基盤構築段階】
侵入した先に、攻撃用のツールを外部からダウンロード&インストールして侵入経路を確保。その上で、更に侵入を拡大にするためにアカウント情報を収集する段階。
外部との通信が発生するので、監視において、その状況を発見すると攻撃に気が付くだろう。また、「万が一に備えて、高い権限を与える人を吟味する」ことも重要だと辻氏は語る。企業では、権限が高い人ほど重要な情報のアクセスできる場合が多い。「ですが、そのような人ほど、パスワードが簡単で管理も甘くなる傾向があります」(辻氏)。
場合によっては、役職の高い人には、あえて権限の低いIDとパスワードを割振り、必要に応じて権限を付与する。必要な人に必要なだけの権限を与えるということも考えなおすべきだ。
【5:内部侵入・調査段階】
内部に侵入してネットワーク資産を把握。アクティブディレクトリーサーバーなどの乗っ取りを試みる段階。これに成功してしまえば、ほぼネットワークは掌握されたも同然となる。
対処するためには、平時から各種のログを管理・監査し、どんなログが現れたら危険なのかをしっかりと把握しておくことが大切である。例えば、通常と比較してログインに失敗した、というログがあまりにも多かったり、ユーザやグループが新たに作成されていれば、誰かが侵入を試みていると判断ができる。
【6:目的遂行段階】
機密情報へのアクセスを行い、その情報を外部へ送信する。この段階になると、もはや侵入に気が付いても、何らかの被害は覚悟しなければならない。
このような状況になった場合に備えて、重要な情報についてはしかるべき場所に保管する必要がある。例えば、顧客情報のファイルが、スタッフの日報ファイルと同じ場所にある、などということは避けるべきだ。また、運用に負荷がかかってしまうが本当に大切な情報が格納されたファイルは暗号化した状態で保存しておくことも考える必要がある。
標的型攻撃に対処する、3つの予防策
前述した、それぞれの攻撃段階に対処するために必要なこと、それは「予防という考え方」だと辻氏は語る。但しそれは「侵入をされないための予防」という意味ではない。
いわゆる予防医学には3つの種類がある。まず病気にかからないための第一次予防。次に病気を早期に発見するための第二次予防。そして病気の後に社会復帰をするための第三次予防である。セキュリティの観点から言い換えるなら、侵入を許さない第一次予防以上に、侵入を早期に発見して対処する第二次予防と、そこから機能回復と再発防止を行うための第三次予防を重視すべきだと辻氏は語る。
「第一次予防となる入り口の壁は強固で堅牢だが、侵入された後の内部は手薄、という状況は避けるべきです。セキュリティはあくまでもフィルターでしかありません。完全に防ぐことは不可能です」(辻氏)
標的型攻撃の対策、それは「明らめる」こと
セキュリティ対策の例として、辻氏はよくある標的型攻撃メールへの対応訓練を挙げた。「例えば、その開封率が1%と10%では、どちらが優秀なのかを考えます。数字だけを見れば1%が優秀となります。ですがもしこの1%に、より重要な情報にアクセスできるネットワーク管理者や役員等が含まれていた場合はどうなるか。一般職員10%よりもはるかに重要な情報が外部に流れる危険性があります」(辻氏)
そもそも、標的型攻撃メールは開封した時点で侵入経路が開いてしまうのだから、0%以外の結果は残存リスクが存在し続けると辻氏は語る。開封率を0に近づけることはできるだろう。だが、完全に0にすることは、現実的はほぼ不可能だ。「結局のところ、標的型攻撃への対処は"あきらめる"しかないのです」(辻氏)ただし、ここで言う「あきらめる」とはネガティブな意味ではない。物事を明らかにして、何をすべきなのかを知り、行なうべきことを行なう。言うなれば「明らめる」である。
標的型攻撃は完全には防げない。まずはそれを理解する。その上で、何を守るべきなのかを把握する。例え、侵入されても、その大切なものが守れているのなら大丈夫、と言える状況を作ることが重要なのだと辻氏は語る。「例えば、火災訓練は火災が起きないための訓練ではありませんよね。火災が起きたときにどう対処するかの訓練です。言い換えるなら、メールを開かないための訓練ではなく、メールを開いてしまった時への耐性をつけ、いざというときに対処できるよう訓練をすべきなのです」(辻氏)
リスクマネージメントとは、リスクをゼロにすることではない。リスクをコントロールすることだ。標的型攻撃対策の第一歩、それは「自分たちにとって何をされることが怖いのか」、それを知ることだ、と辻氏は締めくくり基調講演が終了した。
基調講演者4名全てのレポートは下記から一括ダウンロードで!!
【2014年版!標的型攻撃対策セミナーホワイトペーパー】
【基調講演者 詳細】
ソフトバンク・テクノロジー株式会社
辻 伸弘 氏チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
安藤 正之 氏株式会社アズジェント セキュリティ・プラス ラボ
駒瀬 彰彦氏HASHコンサルティング株式会社
徳丸 浩氏
本稿で紹介している『2014年版!標的型攻撃対策セミナー』基調講演者全てのホワイトペーパーを無償配布中【基調講演内容】
- 辻 伸弘 氏
標的型攻撃対策再入門- 安藤 正之 氏
63%の組織が、ボットに感染しているという現実- 駒瀬 彰彦氏
標的型攻撃対策に必須!ソーシャルエンジニアリングの知識を深めよう- 徳丸 浩氏
知らないうちに、あなたも「加害者」に...
(マイナビニュース広告企画)
[PR]提供:ホワイトペーパー