Skip to content

セキュリティマガジン TREND PARK

シナリオからみた組織が取る対策とは

 今回のシナリオは、これまでのセキュリティ対策だけでは防ぎきれない標的型サイバー攻撃の危険性を改めて実感させる出来事でした。不正なプログラムの侵入を許してしまいましたが、通信経路の遮断やパターンファイル対応など、効果的な対処を行いつつ、更なる対策強化を継続することで、今後のインシデント発生に対する大きな抑止力になるでしょう。残念ながら現状ではあらゆる企業にとって、こうした状況は起こりえます。それに備えるため、ここではポイントを3つに絞って整理します。

1. セキュリティの定常運用の強化

 標的型サイバー攻撃の恐ろしさは、従来のパターンファイルだけでは検出が困難な点です。攻撃者はあらかじめパターンファイルで検出されないことを確認した上で攻撃します。だからといって対抗策がないということではなく、シナリオでも出てきたように、ほとんどの攻撃プロセスの中で「通信」という手段が取られるケースが多く、その不審な「通信」から脅威を可視化し、対処していくことが重要です。これまでの対策だけでは対抗しきれない標的型サイバー攻撃。守る側も、定常運用における通信の監視を強化していく必要があります。また、管理負荷軽減のために、Deep Discovery Inspectorのような通信の可視化が行えるツールの導入も効率的な通信監視に非常に有効です。

 しかし、導入しさえすれば良いということではなく、従来のウイルス対策製品の運用の考え方を見直し、イベント分析からインデント分析、インシデントレスポンスまで、一連のプロセスを定常運用に組み込んでいくことが大切です。

2. サーバにも対策が必要

 標的型サイバー攻撃の最終目標の多くは、サーバ上にある「機密情報」です。つまり、特定の情報に価値があることを知っている犯行グループが、この攻撃を仕掛けてくるのです。最初はクライアントPC、次に管理者へのなりすまし、そしてサーバへの侵入、情報の流出という一連の流れが完成すれば、標的型サイバー攻撃は成功してしまいます。このような攻撃から機密情報を守るには、サーバ上で起こる通信の痕跡やセキュリティイベントのログ収集など、あらゆる角度から監視を続けることを定常運用として行っていくことが重要です。こちらもTrend Micro Deep Securityのようなツールで管理負荷を軽減できるので、定常運用時の負担の大きさに合わせて導入を検討したい点です。

3. 専門知識は外部から得る

 標的型サイバー攻撃の手法は今回のシナリオにあるものばかりではなく、さらに巧妙化されているケースもあります。それらの情報は、特定の企業を狙った攻撃という特性上、表には出づらいため、実際に外部の人間がそれを知ることは難しいという現状があります。例えば、実際に確認された攻撃手法として、自社内に実在する社員名を装った偽装メールにより、悪意有るWebサイトへ誘導されたのが感染源となったケースもあります。実在の社員の隙をつくソーシャルエンジニアリング(※7)の手口は巧妙さを極め、あらゆる手段を使って対象者が必ず偽装URLをクリックするように仕向けます。「まさか、そんなことが」と思うような手法を平然と使ってくるのが標的型サイバー攻撃の恐ろしさであり、事態の全容が発覚しづらく、表面化しにくい理由でもあるのです。

 こうしたケース・バイ・ケースの事例に企業が対応することは非常に困難です。そこで必要となってくるのが専門知識を有するエキスパートの活用です。トレンドマイクロのプレミアムサポートのような運用支援サービスを活用することで、逐次相談できる先を予め見つけておくことで、万が一の事態が起こったときに慌てずに、迅速な対処、被害を最小化することができます。

本稿は2013年4月に執筆した内容の一部を編集した記事です。

  • ※7 人間の心理的または行動的な隙をつき、情報を得ようとする手法

記事公開日 : 2014.12.12

ページの先頭へ