いま、企業が本当に取り組むべき標的型攻撃は？：＠IT セキュリティセミナーレポート（1/2 ページ）

8月28日に都内で開催された＠IT編集部主催のセミナーのテーマは「標的型攻撃対策」。「やった気になるだけ」で終わるのではなく、本当に実効性を持った対策を進めていくためのヒントが紹介された。

[谷崎朋子，＠IT]

　製品や人の脆弱性を巧みに突いてくる標的型攻撃対策に「最適解」は存在しない。ソーシャルエンジニアリング対策を含め、企業にはそれぞれの環境や運用に合った対策を模索しながら、全体としてのベースアップを図ることが求められている。攻撃が多様化・巧妙化する中で、なかなか厳しい条件だ。

　8月28日に都内で開催された＠IT編集部主催のセミナー「プロが実演！ 華麗に不敵な騙しのテクニック いま、企業がとるべき標的型攻撃は、こ・れ・だ」では、こうした現状に対して、まず何を知り、何を考えるべきか、どのような対策が考えられるかを考察する講演が行われた。

基調講演〜ヒトのリスクは「諦める」ではなく「明らめる」

　セミナーのトップバッターは、NTTデータ先端技術 辻伸弘氏による基調講演「心のスキマお見せします〜あなたをぜい弱にする技術〜」だ。

「セキュリティ・ダークナイト」でおなじみ、NTTデータ先端技術の辻伸弘氏

　人間の心理の隙間や行動ミスにつけ込んで機密情報を盗み出そうとするソーシャルエンジニアリングは、身分を詐称しての電話やキーボードののぞき見、スパムや標的型攻撃メール、身辺調査など、さまざまな手法がある。中でも標的型攻撃メールとフィッシングは、攻撃者が最初に思い付く主流な手法といってよい。

　標的型攻撃メールは、攻撃側としても侵入しやすいメジャーな方法だと辻氏はいう。「メールの文面も、最近は他の侵入先で入手した文章をコピー＆ペーストするなど、違和感のないものが増えた」（辻氏）

　対策の1つに対応訓練が挙げられるが、辻氏は、その目的を「開封率を下げること」に置かないよう注意してほしいと指摘する。「開封率1％と10％とでは、1％の方がセキュリティレベルが高く見える。しかし、10％が一般社員で、1％が役員やシステム管理者だった場合、アクセス権限の許可範囲が広いだろう役員の方がリスクは高いともいえる」（同氏）。

　そもそも、訓練で確実に開封率を下げることは難しい。非営利団体の米TRUSTeによる実験では、被験者100人に友人の転職に関するLinkdInの通知メールを送信したところ、24時間以内に41人が、48時間以内は52人、7日以内に68人が開封した。

　「クリックしなかった人の理由トップ3は、『スパム判定されたので開封しなかった』『興味を引かなかった』『普段からその手のメールは開かない』というものだった。つまり、攻撃メールと見破った上で開かなかった人は誰もいない」（辻氏）。

　フィッシングについても見破るのは困難だ。例えば、一見Twitterへのアクセスに見える「http://www.twitter.com:@www.tｗitter.com」は、URLの中にベーシック認証を含んでおり、実際には「www.twitter.com」というユーザー名で、パスワードなしで「tvvitter.com」（wではなくvが2つ）という偽サイトへアクセスを行わせるようになっている。ほかにも、URLをエンコードした「http://www.twitter.com:@%CA%B8〜」という形式や「bit.ly」などの短縮URL、「twittеr.com」（eがキリル文字）などを利用し、一見しただけでは分からないものを使ってくるからだ。

　正規サイトそっくりの偽サイトも簡単に作成できる。辻氏は「SET」（Social Engineering Toolkit）を使ってアイティメディアID事務局の偽サイトを作成したデモを紹介。ID／パスワードを入力させた後、正規サイトへ飛ばせばログイン失敗したのかと勘違いさせることも可能で、「作成は非常に簡単」と明かす。

【関連記事】

セキュリティ・ダークナイト（9）

知らないほうがいいのかもね？ 人の脆弱性にハラハラ

http://www.atmarkit.co.jp/ait/articles/1204/10/news123.html

　さらに辻氏は、合法的に入手できる公開情報の分析によって情報を得る「OSINT」（Open Source INTelligence：オシント）を取り上げた。OSINTのためのツール「FOCA」を使えば、Webサイトの構成を取得し、文書ファイルの作成者、プリンタ情報、ソフトウェアバージョンまでもが一覧表示できる。同様のツールの「Maltego」では、電話番号やTwitter上の人間関係などが図示でき、攻撃対象や方法を簡単に絞り込める。

　「システムはハードウェア＋ソフトウェア＋ネットワーク＋“ヒト”で構成される。ヒトは砦にもなるがセキュリティホールにもなる。ヒトの対策は『めっちゃ気をつけること』。そして、ヒトが攻撃されることは“あきらめる”べき」と、辻氏は述べる。

　ただし、この“あきらめる”は、何もかも放り出す“諦める”という意味ではない。現状をはっきりさせる“明らめる”であると同氏は強調する。「無理なことは無理と理解することも大事だが、あらゆる努力をしないうちは諦めないでほしい」（辻氏）。

　インターネットを利用する以上、ネットへの出入口は確保しなければならず、リスクをゼロにすることはできない。それを認識し、前提としながら手を尽くす――そんな意識がセキュリティ対策には重要だと辻氏はまとめ、講演を終えた。

セッション1〜63％の企業がボット感染、多層防御はもはや必須に

　セッション1「ネットワークに潜む脅威の現状と、その対策」では、チェック・ポイント・ソフトウェア・テクノロジーズ システム・エンジニアリング本部 本部長 村田眞人氏が登壇した。

　同氏は今年1月に発表した「チェック・ポイント セキュリティ・レポート2013年版」から、ボットネット、外部からの脅威、データ損失を取り上げ、対策を紹介した。同レポートは、同社Software Blade製品、クラウド型ナレッジデータベース「Check Point Threat Cloud」などに上げられたイベント情報の分析結果だ。

チェック・ポイント・ソフトウェア・テクノロジーズ システム・エンジニアリング本部 本部長 村田眞人氏

　ボットネットについて、村田氏は63％の組織がボットに感染しており、21分に1回の頻度でC＆Cサーバと通信、亜種を中心に日々5〜10万のペースでボットが登場していると明かした。感染経路はフィッシングメール、P2P、ファイル共有アプリなどが挙げられる。

　外部からの脅威では、1つはソフトウェアの脆弱性を狙った攻撃が挙げられる。毎年5000件もの脆弱性が報告されており、「SQLインジェクションもいまだ対策されていないところが多い」と村田氏は指摘する。

　もう1つは、マルウェア感染だ。感染リスクを高めるアノニマイザやP2Pなどのアプリは多くの企業で利用されており、P2Pに至っては61％が活用している結果となった。

　データ損失では、情報漏えいにつながる事案を経験した組織が54％で、意図的な操作または不注意（メールの誤送信や設定ミス）によって、クレジットカード情報やソースコード、業務データなどが漏えいしている。

　こうした問題に対し、最も有効な防御手段は「多層防御」だと村田氏はいう。「ボットネット対策であれば、アンチウイルス＋アンチボット＋URLフィルタリング＋アプリケーション制御、外部からの脅威はファイアウォール＋IPS＋DDoS対策、データ損失対策はDLP（データ損失防止）＋ハードディスク／リムーバブルメディア／ドキュメントの暗号化が有効。複数の機能を組み合わせることで総合的な対策が講じられる」（村田氏）。

　チェック・ポイントでは、これらの機能をSoftware Bladeとして提供しており、アーキテクチャ上で運用し、単一コンソールから一元管理できる。

　また現在、自社ネットワークのセキュリティ状況を調査、分析する無料診断サービス「3D Security分析レポート」のキャンペーンを実施している（2013年12月31日まで）。「対策を諦める前に、まずは現状を把握し、できるかぎりやってみる。そんなきっかけにしてほしい」（村田氏）