Skip to content

セキュリティマガジン TREND PARK

「攻撃者の"目的"を未遂に終わらせること」が
標的型サイバー攻撃へのベストアプローチ

独自の調査から見えてきた標的型サイバー攻撃の傾向と対策


さらにこれらのアプリケーションの脆弱性が悪用されるのはもちろん、合わせて標的型攻撃の多くは人間の心理や行動のすきを突くソーシャルエンジニアリングの手法を用いています。このため、外部から攻撃を受けていることを被害者が認識しづらいことも特徴の1つです。その手段として主に利用されるのが電子メールです。サイバー犯罪者は攻撃の成功率を上げるため、ターゲットに送りつける電子メールにさまざまな細工を施します。
たとえば、標的とした企業や組織の従業員に対して送付する電子メールの本文や件名、送信者を実在の人物や組織からの業務連絡、情報共有のように偽装し、添付したファイルを業務上の有用なファイルに見せかけて開かせます。そのファイルには前述のようなアプリケーションの脆弱性や人間の脆弱性を悪用してPCを乗っ取る不正プログラムが仕込まれています。

攻撃の兆候や不審な通信を可視化する仕組みが有効

一昔前のインターネット上の脅威は、世間を騒がせて自己顕示欲を満たすことを目的とする愉快犯によって作成されたものが大半でした。感染するとPCの画面に奇妙な画像が表示されたり、PCの動作が不安定になったりするため、感染の事実が発覚しやすかった上に、情報を不正に抜き取られるようなリスクはそれほど大きくありませんでした。染谷は、「従来のセキュリティはネットワークの境界線上にファイアウォールを、エンドポイントにはウイルス対策ソフトを、などのような対策によって脅威の侵入を防ぐアプローチが主流でした。これに対し、新しいタイプの標的型攻撃に対処するためには、攻撃を防ぎつつ感染した際には駆除、といったような"防御"、"対処"というアプローチは引き続き重要な一方で、仮に不正プログラムに感染しても攻撃者の目的である情報の流出は確実に阻止する、という戦略的なセキュリティの考え方が必要になってきます」と話します。

社内のコンピューティング環境がネットワークにつながっている限り、セキュリティ上のリスクは必ず存在します。この中で重要なのは重要な情報資産を棚卸し、該当する資産を脅かすリスクを分析、把握した上でセキュリティの要件を正確に見極めることです。これにもとづいて適切なポリシーの策定、対策の優先度とコストのバランスを考慮したセキュリティ施策の実行、ポリシーや施策の評価といったプロセスを反復すれば、脅威に遭遇するリスクを限りなく抑えられます。つまり"データ"、"資産"を中心としたセキュリティの考え方がこれからは求められるのです。

資産、データを中心としたセキュリティ

また、既存のIT環境を見直し、ポリシーに合わせたセキュリティ運用を行うなどの"基本的な対策"が極めて効果的に働くケースもあります。染谷は、「調査から明らかになった標的型攻撃の傾向を見てみると、実行ファイルが添付された電子メールの送受信を拒否したり、外部とのPCからの直接的な通信を禁止したり、セキュリティパッチを迅速に適用したりすることが考えられます。しかしながら、大きな組織になると、パッチ適用後にシステム全体が正常に機能することを確認するテストに時間を要し、最新パッチの適用が遅れてしまうかもしれません。このような場合にはすでに利用しているセキュリティ製品のIPS機能を活用することもできます。しかし、正常な通信にまぎれるような攻撃は大きな課題です。このような巧妙な攻撃に対抗するために求められるのは"可視化"という手法です。ネットワークを流れる通信を監視して可視化することで、異常な通信、不正が疑われる通信を浮き彫りにして検知することができます。感染や異常をいち早く検知することによって、標的型攻撃の"目的"を未然に防ぐことが可能になります。」

「標的型攻撃が社会問題となる昨今、セキュリティ製品を購入して攻撃を防ぐことに注力する、というアプローチだけでなく、万が一の感染した場合を想定し、攻撃を可視化させるアプローチを採用することで、重要な情報、資産の漏えいを防止する、ということが重要です。標的型攻撃は重要な情報などを盗むことが目的ですから、その目的を未遂にできれば「勝ち」である、という戦略的な発想が必要になってきます。 そこでは、"どうすれば重要な資産を守ることができるか"という視点から、あるべきセキュリティの姿を考えてください」(染谷)

加えて、仮想化、クラウドコンピューティング、スマートフォンなどのモバイルデバイスが本格的に業務利用されていることから、ネットワークの境界もあいまいになっているのが現実で、これらのコンピューティング環境がネットワークにつながっている限りはリスクが常に付きまといます。

この中で重要なのは、企業にとって価値の高い情報資産を棚卸し、守るべき対象を明確にし、それに該当する資産を脅かすリスクを把握した上でセキュリティの要件を正確に見極めていくことです。その上で、適切なポリシーを策定し、優先度とコストのバランスを考慮したセキュリティ施策を実行に移します。更に、セキュリティ施策の実行後も、施策の評価とポリシー見直しといったプロセスを反復していくことにより、脅威に遭遇するリスクを限りなく抑えられます。

※ 警察庁2011年10月発表資料
http://www.npa.go.jp/keibi/biki7/231014kouhou.pdf

標的型攻撃 記事一覧へ戻る

記事公開日 : 2011.11.30

ページの先頭へ