今さら聞けないIT資産管理(4) 巧妙化する標的型攻撃

毎日情報システム担当として働いていても、正直まだまだ分かっていないことも多い。そんな今さら聞きづらい「IT資産管理」について悩みを抱える彼らの元へ、突然どこからかやってきて、悩みを解決していくIT資産管理のスペシャリストであるクオリティソフトのQ坊。

情報漏えいの主な手口である標的型攻撃が、最近巧妙になってきている。しかし、「ウチの会社はそんなメールが来ても引っかかるわけはない」と上司に豪語する社員。本当にそれで大丈夫なのだろうか。今日も早速、Q坊の手助けが必要なようだ。

情シス
あんなメールの件名と文面だとさすがに開いちゃうよ……。

Q坊
実際の取引先や自社内の人間なんかを装ったメールを送りつけるのは、標的型攻撃の常套手段なんだキュ。

情シス
なんて悪賢い攻撃……そんなのどうやって防げばいいの？

Q坊
100％防ぐのははっきり言って不可能だキュ。だからもしもウイルスとかに感染してしまっても被害を最小限に抑える対策がポイントなんでキュ。

情シス
そうか！災害対策にも似ているね。

明確な目的を持って実行されるというのが標的型攻撃の特徴だよ。だから攻撃者は、時間を掛けて周到な準備をして、目的が達成されるまで執拗に攻撃を繰り返すんだ。特に最近は手口がとても巧妙化していて、万全な対策を行っている企業でも侵入を完全に防ぎきることは難しいんだよね。取引先や社内のアドレスからのメールで、内容も違和感がないとなれば、開いてしまうのも無理ないかなあ。

だから今では、万が一侵入されたとしても、被害を最小限に防ぐ「出口対策」がより重要視されているよ。それと、あなたの会社が直接のターゲットではなくても安心してはダメ。ターゲットの会社のセキュリティが厳しくて侵入が難しい場合、攻撃者はまずあなたの会社に攻撃をしかけて端末を乗っ取ることで、ターゲットへ進入するための“踏み台”にすることもあるからね。つまり、すべての企業で注意が必要ということだよ。

もしもマルウェアに感染してしまうと、攻撃者は感染したPCを遠隔操作して、さらに奥深くへと侵入を試みるんだ。そしてこの遠隔操作はC&Cサーバ（※）というものを経由して行われる。なので、マルウェアに感染したPCとC&Cサーバ間の通信を遮断してしまえば、被害を抑えることができる。これが「出口対策」だよ。たとえば、クオリティソフトが提供する資産管理ツール「ISM CloudOne」の「URL Filtering」機能なんかがとても有効だね。

URL Filteringは、C&Cサーバの情報を収集したデータベースを元に、そのURLへとアクセスしようとする通信をブロックすることができるんだ。さらに、C&Cサーバの情報を含む、約70種以上のカテゴリのURL情報を元に、WEBアクセス管理を行うことができるんだよ。こうすることで、万が一マルウェアに感染してしまっても、外部からの遠隔操作を防ぐことが可能になるんだな。
※C&Cサーバ（Command and Control server）：マルウェアに感染したPCに対して命令を送り制御するサーバコンピュータのこと。

あと標的型攻撃では、OSはもちろんのこと、flashやJavaなどソフトウェアの脆弱性を突くものが多いんだ。だからそうした脆弱性を常に把握して、最新の状態にするなどといった対策をしておくことが大事だよ。ISM CloudOneならば、どこに脆弱性が潜んでいるかのチェックも自動でやってくれるので心強いね。

URL Filteringだけでは決して完璧な出口対策とは言えないかもしれない。だけど、OSやソフトウェア、アンチウイルスの定義ファイルなんかを常に最新の状態に保ったり、定期的なログの監視・監査を行ったりと、他の対策と組み合わせることで飛躍的に効果を高めることができるんだ。まずは手の届く範囲で、できることをしっかりとすること。それが標的型攻撃対策の第一歩だからね。