逃れられない標的型攻撃から守る術は？：＠IT 標的型攻撃セミナーレポート

[PR／＠IT]

PR

　2013年9月19日、レソラNTT夢天神ホール（福岡・福岡市）にて、＠IT編集部と株式会社インターネットイニシアティブ（以下、IIJ）の共催イベント「標的型攻撃、あなたが次の被害者にならないためにできること」が開催された。特定の企業から機密情報を盗み出すことを目的とした“標的型攻撃”の脅威は日に日に増しており、実際に大規模な情報漏えい事故が発覚したとの報道が後を絶たない。今や企業の規模や業態を問わず、あらゆる企業が標的型攻撃のリスクから逃れられない時代となった。

　そんな中、自社の情報資産を脅威から守るためには、具体的にどんな対策を採るべきなのか。本イベントでは、セキュリティ研究の第一線で活躍する専門家やセキュリティソフトウェアのベンダから、標的型攻撃に関する最新事情や具体的な対処法について、さまざまな提言がなされた。以降で、その概要を紹介していくことにしよう。

標的型攻撃への対策を機に自社のセキュリティ基盤の見直しを

　本イベントの冒頭では、NTTデータ先端技術株式会社の辻伸弘氏が登壇し、「標的型攻撃時代のセキュリティ対策 〜攻撃視点が教える『変化』の提案〜」と題した基調講演を行った。辻氏は、ペネトレーションテストを中心としたセキュリティ対策の業務に日々かかわりながら、さまざまな場で最新研究の成果を発表し続けている、国内におけるセキュリティ研究の第一人者。

NTTデータ先端技術株式会社 辻伸弘氏

　同氏はまず、攻撃者の間でマルウェア開発技術や標的サイトの脆弱性に関する情報の共有が、サイトを通じて非常に効率的に行われている例を示し、攻撃手法が極めて高度化・巧妙化している実態を明かした。しかしそれに対して、攻撃から自社システムを守る側の対策が、多くの場合「有名無実化」していることを指摘する。

　「例えば、標的型攻撃メールを社員が開封しないための訓練がよく行われているが、その結果として、たとえ開封率が多少下がったところで実際にはリスクは減らないし、そもそも開封率を0％にするのは不可能。まずは、『100％攻撃をしのげる方法がある』という今までの考えを捨てて、『予防』に対する認識を変えるところから始めなければいけない」

　同氏はこれを、予防医学の概念を例に取りながら説明する。病気の予防は、病気に罹らないよう生活習慣に気を配ったり、予防接種を受けるなどの「第一次予防」だけでなく、定期健診による病気の早期発見や早期治療を促す「第二次予防」、そして不幸にも罹病してしまった場合の早期回復やリハビリのための「第三次予防」から構成される。つまり、病気を100％防ぐことはできないので、もし罹病した場合でも被害を最小限に抑えて社会生活を維持できるよう、多層的な対策を設けているのだ。

　システムの保護も同様で、標的型攻撃を100％防ぐことができない以上、万が一マルウェアの侵入を許してしまってもそれを早期に検知できたり、あるいはシステムを正常な状態にいち早く復旧できるための予防措置を段階的に設ける「多層防御」の考え方が重要だと辻氏は力説する。

　では、具体的にはどのような予防措置が有効なのか。同氏はペネトレーションテストの専門家としての立場から、近年の標的型攻撃には一定のパターンがあると説明する。まずはセキュリティ対策ツールの網の目をくぐってシステム内にバックドアを仕掛け、攻撃ツールをダウンロードする。そして次に、システム内でのアクセス権限の昇格を狙い、それを果たした後に重要なデータにアクセスしてそれを社外に送信する。こうした一連の手口を防ぐには、通信ポートの設定やネットワーク監視、パッチ適用、サーバ上での実行コマンドの監視、適切なアクセス権限の付与などを徹底する必要がある。

　こうして整理してみると、攻撃の手段も、またそれに対する防御策も、実は昔からあるものの組み合わせでしかないことが分かる。

　「古いタイプの攻撃の組み合わせに対しては、古いタイプの対策を組み合わせれば良い。ただし、今まではそれすらもきちんと実行できていなかったのが問題」（辻氏）

　辻氏によれば、最新のセキュリティ製品も、昔からあった技術の看板を挿げ替えたものがほとんどであり、最も重要なのは製品の導入ではなく、対策のための土台をきちんと構築することだと言う。その意味では、標的型攻撃の流行は、自社システムのセキュリティ基盤を見直す良い機会になるかもしれないと同氏は言う。

　「世に存在するあらゆる脅威から、自社の情報資産を100％守るのは不可能。従って、まずは『どこにある何を守りたいのか』を明確化し、その情報資産を狙った攻撃を防ぐにはどんな対策を講じればいいのかを考える必要がある。つまり敵を知るには、まずは自分自身を知ることから始めなければいけない」

攻撃者の手口を知るとともに自社の現状の見直しを

　続いて、株式会社カスペルスキー 情報セキュリティラボ チーフセキュリティエヴァンゲリスト前田典彦氏が登壇し、「最新マルウェア脅威の本質に迫る 〜防御するために、まず『知る』から始めよう」と題した講演を行った。前田氏は、カスペルスキーでセキュリティ脅威に関する調査・解析業務に従事する傍ら、さまざまな公的団体、民間団体を通じて広くセキュリティの啓蒙活動に従事している。本講演ではそんな同氏から、最近の標的型攻撃の手口について解説が行われた。

カスペルスキー 情報セキュリティラボ チーフセキュリティエヴァンゲリスト前田典彦氏

　ほとんどの標的型攻撃はまず、マルウェアをターゲットのシステム内部に引き込むための「取っ掛かり」をつかむところから始まる。

　「多くの攻撃では、メールが手段として使われる。添付ファイルを開かせることで、起動されるアプリケーションの脆弱性を自動的に突いてシステムに侵入し、その後マルウェアを生成するか、もしくはバックドアを形成して外部からマルウェア本体を引き込んでくる。最近ではメールに記載したURLをクリックさせることでマルウェアを引き込んだり、あるいは例は少ないものの、SNS経由での感染も報告されている。いずれにせよ、攻撃者は狙いを定めた組織の業務内容と形態を考慮した上で、より相手が引っ掛かりそうな手段を選んで攻撃を仕掛けてくる」

　では、なぜ今も昔も、メールを使った攻撃と感染が後を絶たないのか。1つには、今やあらゆる企業でメールは業務に必須のビジネスインフラとして定着していることがある。その上で、メールは「ソーシャルエンジニアリング」のテクニックを駆使するのに極めて適していると前田氏は指摘する。

　「例えば、普段英語で仕事をしない人あてに、ある日突然英語のメールが届いても、誰もが怪しいと思うが、逆に普段やりとりしている相手が送信元に設定されており、なおかつ件名が『先日の打ち合わせの議事録をお送りします』とあれば、やはり大抵の場合は開いてしまう。攻撃者は、このようにいかにも本物っぽく見せかけるソーシャルエンジニアリングの『だましのテクニック』を磨くことに、日々腐心している」

　こうした攻撃手法は、侵入、バックドア設置、マルウェアのダウンロード、盗んだ情報の送信と、一連の手順によって成り立っており、かつ異なる感染経路によって何段階もの感染ロジックに分かれている。カスペルスキーが提供するセキュリティ製品は、こうした何通りもの感染ロジックを丹念に解析した上で、マルウェアの動きを止める多層防御のロジックを実装しているという。

　ウイルス対策で対処できるのは当然のことながらウイルス感染だけであり、万が一感染してしまった場合には別の対処手段が必要になる。そのためのガイドとして、前田氏はIPAが発行している「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」と「『標的型メール攻撃』対策に向けたシステム設計ガイド」の2つを挙げる。

　「この2つのガイドの策定には私自身も関わったが、今ある防御手段をどのように再構築して運用すればいいのか、かなり具体的に書かれているので、ぜひ参照をお勧めしたい。その上で、本日お話したように攻撃者の意図と手口をまずはよく知った上で、自社の対策で抜けている点はないか点検するとともに、自社で守るべきものは一体何かということを、今一度きちんと考えていただきたい。守るべき情報が社内のどこで、どんな形で保管されているかを再確認し、そこが狙われるとしたらどういう手口で攻撃されるか。この点をまず見直すことが重要だ」

Webフィルタリング製品を標的型攻撃の出口対策として活用する

　続いて、デジタルアーツ株式会社 エンタープライズ・マーケティング部 部長 瀬川明宏氏による講演「Webフィルタリングによる標的型攻撃への効果的な出口対策とは？」が行われた。デジタルアーツは、Webフィルタリング製品「i-FILTER」で広く知られる会社。

デジタルアーツ エンタープライズ・マーケティング部 部長 瀬川明宏氏

　Webフィルタリングとは、問題のあるWebサイトへのアクセスを自動的にブロックするための技術。掲示板やSNSへの書き込みを通じた情報漏えいや信用失墜、社員の私的なWebサイト閲覧に伴う生産性低下やネットワーク帯域の圧迫、フィッシングサイトを通じた個人情報漏えいなど、Webアクセスを通じたさまざまな脅威に対処するための製品だが、近年では標的型攻撃への対応策として利用されるケースが増えてきている。瀬川氏によれば、その背景には標的型攻撃の手口の高度化・巧妙化があるという。

　「マルウェアの侵入を防ぐための、いわゆる『入口対策』は、これまでさまざまな手段が講じられてきたが、侵入の手口は年々巧妙化しており、100％侵入を防ぐのはもはや不可能。そのため、万が一侵入を許してしまった場合に備え、情報の流出を自社ネットワークの出口の水際で防ぐ『出口対策』の重要性が増している」

　i-FILTERの最新版には、この出口対策のための機能が新たに加わっている。その要となる技術が、マルウェアの通信先に関する情報を集めたデータベースだ。もともとWebフィルタリング技術の精度は、ブロック対象のURLに関する情報を集めたデータベースの量と質に大きく左右される。その点i-FILTERは従来より、データベースの収集体制とフィルタリング精度に定評があったが、最新バージョンではこれに加え、侵入したマルウェアが盗んだ情報を外部に送信する際にアクセスする通信先の情報を集めた「脅威情報サイト情報」というデータベースを新たに装備した。

　このデータベースは、大手セキュリティベンダのフォティーンフォティ技術研究所とラックが収集した、マルウェアの誘導アクセス先のURLやIPアドレスなどの情報を基に構築されているため、高い精度と鮮度が担保されているという。マルウェアが外部サーバに対して盗んだ情報の送信を試みても、i-FILTERがその接続先情報をデータベースと照合して不正接続を検知・ブロックし、水際で情報漏えいを防ぐという仕組みだ。

　「i-FILTERは、Webフィルタリング製品として長らくシェアNo.1を維持しており、また一から自社開発した純国産製品であるため、品質やサポートの面でも安心して使っていただける。IIJの『IIJセキュアWebゲートウェイサービス』にi-FILTERのWebフィルタリングエンジンが搭載されていることからも、その実績と信頼性は明らかだ。しかし、一般的なWebフィルタリング機能だけでなく、今回紹介したように標的型攻撃の出口対策としても極めて有効な製品だ。自社の貴重な情報資産を標的型攻撃から守る手段として、ぜひ活用していただきたい」（瀬川氏）

この講演に関連するホワイトペーパー

標的型攻撃対策の要となるWebフィルタリングのデータベース品質

進化・巧妙化する標的型攻撃から企業を守るには、Webフィルタリングのデータベース品質が重要な要素になる。Webアクセスに伴う脅威の現状をまとめるとともに、最新の脅威に対応するためにWebフィルタリングに求められる機能や、標的型攻撃への対処方法を解説する。

※ダウンロードにはTechTargetジャパンへの会員登録が必要です

クラウドサービスによる柔軟かつ効率的なセキュリティ対策

　本イベントの最後には、IIJ サービス戦略部 サービス企画2課 プロダクトマネジャー 大野慎吾氏による講演「お客さま事例から見る“安全なWebアクセス環境実現のコツ”と最新ソリューションのご紹介」が行われた。大野氏は冒頭、Webアクセスの一般的なセキュリティ対策が抱える問題点を、次のように指摘した。

IIJ サービス戦略部 企画2課 大野慎吾氏

　「通常は、社内ネットワークにセキュリティ対策のアプライアンス製品などを設置するが、これらの導入・運用には多くの手間とコストが掛かる。弊社では、終わりの見えないセキュリティ対策のために費やすこうした時間やコストは、非効率だと考えている」

　そこでIIJが提供するのが、クラウド型のセキュリティ対策サービス「IIJセキュアWebゲートウェイサービス」だ。Webアクセスに対するWebフィルタリングやアンチウイルスなどの機能をクラウドサービスとして提供することで、セキュリティ対策に掛かるコストや手間を大幅に削減できるという。ちなみに、Webフィルタリングのエンジンにはデジタルアーツの「i-FILTER」が、そしてアンチウイルスにはカスペルスキー製品が採用されている。

　このサービスを実際に導入した企業では、Webフィルタリングやアンチウイルスの仕組みを以前からあるアプライアンス機器等で構築している場合が多かったが、Webサイトのリッチコンテンツ化や業務におけるWebアクセスの利用増加に伴い、機器のスペック不足によるレスポンス低下が発生したり、障害が発生した際の対応に追われたりと、情報システム部門の運用の負荷も高まっていた。

　IIJセキュアWebゲートウェイサービス導入企業は、クラウドサービスならではのスケーラビリティを生かし、将来を見越した過剰投資をすることなくアクセススピードの増速に柔軟に対応でき、かつ高いレベルのセキュリティ対策を全てアウトソーシングで実現したという。

　またWebアクセスに加え、近年セキュリティ対策の必要性が叫ばれているのが、スマートデバイスだ。スマートデバイスのビジネス利用によるワークスタイル変革に多くの企業が期待を寄せる一方で、端末の盗難や紛失、不適切な利用による情報漏えいリスクが懸念されている。そこで最近では、スマートデバイスの安全な利用と管理のためにMDMの導入を進める企業が増えてきているが、大野氏は「端末管理がメインのMDMだけでは、スマートデバイスのセキュリティ対策は不十分だ」と指摘する。

　「PCに対して増加しているWebからの脅威や業務データ持ち出しなどのリスクにはMDMでは対処できないので、それらに対応したアプリケーションやサービスと連携させて運用する必要がある」

　IIJはこうしたニーズに応えるため、さまざまなソリューションを提供している。スマートデバイス経由の情報漏えいを防止するには、端末内に機密データを残さないことが肝要だが、スマートデバイス向けアプリケーションの「IIJ Smart Mobile Managerサービス/セキュアブラウザ」を利用することで端末内に閲覧データを一切残さず、安全なオフィスドキュメントの閲覧やWebアクセスを可能にする。また、スマートデバイスの機種やOS、利用サービスに依存しない対策を実現するために、クラウド環境上でメールやWebアクセスに必要なセキュリティ対策を集中管理する「IIJセキュアMXサービス」と「IIJセキュアWebゲートウェイサービス」も提供している。さらには、これらのサービスをシームレスに連携させ、スマートデバイスから社内ネットワークへのアクセス認証を大幅に強化できる「IIJ GIOリモートアクセスサービス」を提供している。

　「これらのサービスをまとめて、『IIJゲートウェイセキュリティ』として提供している。このソリューションを導入すれば、スマートデバイスを始めとするモバイル端末を使った社外からのアクセスでも、社内アクセスとほぼ同等のセキュリティレベルを実現できる」（大野氏）

この講演に関連するホワイトペーパー

スマートデバイス導入を見据えたWebアクセス環境構築のコツ

スマートデバイス導入成功のための3つのポイントともに、PC、スマートデバイスに関わらず、セキュアなWebアクセス環境を構築する方法を解説。MDMだけでは足りない、クライアント管理／セキュリティに必要なものとは。

※ダウンロードにはTechTargetジャパンへの会員登録が必要です