Skip to content

セキュリティマガジン TREND PARK

企業の9割が気づかなかったサイバー攻撃
その脅威動向と企業がとるべき次の一手


年金機構から大量の個人情報が流出するなど、サイバー攻撃による被害に揺れた2015年。かつては国や一部の企業が保有する機密情報がターゲットと考えられていたサイバー攻撃ですが、今やターゲットは、企業規模や業種を問わず拡大しつつあります。被害から読み取れる教訓は、「誰もがターゲットになる時代」。企業側も、これまでの常識をアップデートする必要がありそうです。

変わるサイバー攻撃、2015年インシデントから見る新たな傾向とは

■標的は、「官庁や機密情報を持つ企業」から「あらゆる企業へ」

 サイバー攻撃が激化しています。公表されたサイバー攻撃被害を数えてみると、2014年は1年間で5件だったのに対し、2015年は6月の1ヶ月間だけで15件にも及んでいます(図1)。流出した情報は「不明」を除きすべて個人情報です。従来のサイバー攻撃は、官公庁や一部の機密情報を持つ大企業を標的とするイメージが強いですが、明らかに攻撃対象が拡大しています。

 トレンドマイクロ株式会社 フィールドマーケティング部 部長 德永信幸は、「サイバー攻撃のターゲットが個人情報にも広がってきたことで、機密情報がないから狙われないだろうというのは、もはや通用しない時代になりました。多い少ないはあっても個人情報を持たない企業はないので、今やすべての企業が備えるべき問題となっています」と語ります。

■標的型メールの侵入を100%防ぐことは難しい

 上記15件を分析した結果、その8割が標的型メールが発端でした。標的型メールは、件名や本文を巧みに装って正規のメールであるかのように見せかけ、添付ファイルを開かせたり不正サイトへ誘導したりして、そのPCを不正プログラムに感染させます。不正なメールは注意していれば気が付くだろうと思うかもしれませんが、現在の標的型メールは非常に巧みになっており、100%防ぐのは難しいのが実情です。

 德永は、「少し前までは、日本語がおかしいなど明らかに不正なメールとわかるようなものもあったが、最近は自然な日本語が使われ、より巧妙になっています。業務に関係ありそうなメールを装うだけでなく、公表情報やSNSなどでその企業やターゲットとする人の周辺情報を調査したうえで、もっともらしいメールを送り付けることもあり、かなり注意していても見破るのは難しい。また、100人のうち99人が攻撃メールだと疑ったとしても、1人がひっかかってしまえば、企業内ネットワークに侵入されてしまいます」と警告します(図2・図3)。

 人が見分けられないのなら、システムで検知すればいいではないかと思うかもしれません。しかし、最近は不正侵入も正規のポート、正規のプロトコルで行われることが多く、添付ファイルもパスワード付き圧縮ファイルが使われるなど、従来の対策だけでは侵入を防ぐのが困難になっているのです。

■9割以上が外部からの指摘で初めて気づく

 さらに注目すべきは、被害の発覚原因の9割以上が外部からの指摘によることです(※4)。近年のサイバー攻撃は金銭目的であることも多く、昔の攻撃のように技術力を誇示するようなことはありません。目的を達成するまで、じっと潜伏して機をうかがいます。そのため侵入されていても気づきにくく、その間にじわじわと社内に攻撃が広がっていき、サーバの権限奪取など目的に向かって静かに攻撃を深めていきます。その間数カ月ということも珍しくありません。しかし、その攻撃期間は短縮傾向にあると德永は指摘します。「最近は、侵入後短期間で情報窃取までを行う『速攻タイプ』と言える攻撃手法も頻繁に確認されるようになっております。そのため、ますます早いうちに検知することが重要となっています」

 このように極めて巧妙で悪質に変容するサイバー攻撃に対し、企業はどう対処すればいいのでしょうか。

今、企業が取り組むべき次の一手とは

■最初に取り組むべき対策は侵入の早期検知

 標的型サイバー攻撃に対処するためには、侵入させないことが最も望ましいことは言うまでもありません。とはいえ、ここまで見てきたように、実際にはそれは非常に困難と言わざるを得ませんそこで、次善の策として德永が強く勧めるのが、「早期に検知し、すばやく対処すること」です。「標的型メールに対する入口対策も重要ではありますが、もし既に侵入されていたら、いくら入口を守っても意味がありません。その意味でも、最初に行うべき対策は、内部脅威の検知なのです」と指摘します。

 また、初期侵入時の対策(入口対策)では、システムや人の脆弱性を狙い様々な手法を組み合わせた執拗な攻撃に対し、1度防御を破られると、その後の対応は取れません。攻撃側は99回失敗しても1回成功すればよく、どうしても攻撃側が有利になりがちです。

 その点、侵入後となると、攻撃側はC&Cサーバとの通信を確立したり、ネットワーク内に感染を広げたりなど一定の動きを続けなければ次の段階に進めません。そのため、それらの通信を検知することによって脅威を発見しやすく、防御側が対策を施しやすいのです(図4)。

  • ※1~4 トレンドマイクロ調べ(2015年第2四半期セキュリティラウンドアップ)

記事公開日 : 2015.11.26

ページの先頭へ