Skip to content

セキュリティマガジン TREND PARK

これが標的型サイバー攻撃だ!(2)

シナリオから見えて来た課題


国内機械メーカー子会社A社のシナリオから見えてきた4つの課題を解説します。

課題① ネットワーク監視体制の不備

①メール経由で不正プログラムを送り込む

 A社は、情報ネットワークシステムに対する脅威に備えてパターンファイルベースのウイルス対策製品とIDS(侵入検知システム)を導入されていました。しかし、IDSに対応する要員として必要十分な人材が配置されていないなど適切に運用されておらず、その効果を充分に発揮していませんでした。そのため実質的にはパターンマッチングによるウイルス対策しかとられていない状態でした。

 そして、今回のインシデントにおいては、組織として新種・亜種のウイルスによる攻撃を検知できなかったことを直接的な原因として、社内の情報ネットワークへのウイルスの感染を防ぐことができず、結果として被害が広がることになってしまいました。
 今回のように、標的型サイバー攻撃は、従来のように外部から社内ネットワークなどにコンピュータウイルスを感染させ、ウイルス自体の活動に任せて被害を広げるという単純な動きだけには留まらず、攻撃者が感染した端末などを通じて秘密裏に彼らの意図を実行するという、より巧妙で悪質な内容に変化を遂げています。また、ネットワーク内へ侵入する場合にも、事前に最新のパターンファイルに検知されないウイルス を開発した上で侵入するなど、その防御がますます困難になっていると言っていいでしょう。

 このような標的型サイバー攻撃から社内の情報ネットワークを守るためには、従来の「パターンファイルに基づく対策」だけでなく、「外部ネットワークとの不正な通信を監視するなど、異なるテクノロジーによる多層検出により、パターンファイルだけでは検出できない脅威をあぶり出す対策を用意し、さらにそれらを適切に運用できる体制を構築することが重要になっています。また、標的型サイバー攻撃は、ウイルスの侵入後、感染拡大や権限奪取を目的としてネットワーク内部で通信を行ないます。外部との通信だけでなく、不正な内部通信を監視することで、攻撃者による感染拡大の兆候や、パスワードのハッキグ行為を検知することが可能となります。

 例えば、サンドボックス機能の付いた通信センサーを導入するというソリューションを適用することで(※)、エンドユーザ自身では「危険」と判断することが難しいメールの添付ファイルに偽装したウイルスや、最新のパターンファイルでも対応していないウイルスの危険性を検知し、分析することが可能になります。さらに、バックドア型ウイルスに感染後、攻撃者が保持するC&Cサーバに接続することでネットワーク上の端末は攻撃者によるコントロール下に置かれますが、その際に行なわれる通信についても、監視/検知を行うことが可能になります。

 標的型サイバー攻撃から社内ネットワークを守るためには、以上のような備えがあれば理想的です。しかし多くの場合、運用体制まで含めて考慮した場合、パターンファイルベースのウイルス対策以外のソリューションは十分に機能していないというのが現実です。

 実際に数多く行なわれ被害を出している標的型サイバー攻撃による脅威が、お客さま自身に起こりうること、自分事として捉えられていないことが、その理由の一つではないでしょうか。企業の情報資産を脅かす標的型サイバー攻撃が、その攻撃の手法を多様化、巧妙化している現在、新たな脅威に対応した防御策を講じることは、喫緊課題となっています。

記事公開日 : 2014.12.12

ページの先頭へ