@IT 情報漏えい対策セミナーレポート
標的型攻撃に備える! いまできる対策のヒント
谷崎朋子
2012/7/23
すでに最新のセキュリティ対策を導入している企業であっても、情報漏えいのリスクを完全に排除することは難しいのが現状だ。そんな中、いま取り組める対策とは何なのか――6月19日に@ITが開催したセミナー「だから情報は狙われる――これからの情報漏えい対策とは」の講演から、そのヒントを探る。(編集部)
最新のセキュリティ対策を導入済みの大企業でも、情報漏えいのリスクを完全に排除することは難しい。特に、最新技術と戦術で執拗かつ長期的に活動する標的型攻撃は、事前対策だけでは不十分だ。
また、情報漏えいを防ぐことだけに主眼を置くと、万一緊急事態が起こってしまったときに思考停止し、事態を悪化させてしまう。事後対策も含め、いかに効果的にリスクを押さえ込むかを検討することが急務だ。
 |
6月19日に東京都内で開催された@IT主催セミナー「だから情報は狙われる - これからの情報漏えい対策とは」では、「100%は防げない」を前提としたセキュリティ対策をテーマに、7つの講演が行われた。セキュリティのプロが見た最近の攻撃の動向と対策について、各講演からヒントを探る。
基調講演〜人間力を上げて想定外に対応〜
セミナーのトップバッターに立ったのは、サイバー大学 専任准教授 園田道夫氏による基調講演「人間力で備えよ! これからの情報漏えい」だ。
 |
サイバー大学 専任准教授 園田道夫氏 |
最近の攻撃は、知り合いからのメールや文書ファイルを装うなど、人の思い込みや甘い認識につけ込む手口が増えている。また、「高く売れそうな情報を手にしたとき、ふと魔が差すこともある」(園田氏)ように、人間の弱さを悪用するケースも多い。
「対策としては、“怪しくないアプリ”や“危険ではないSNS”を判断できるようになることだが、その基準は難しい。正常なルートで届く正常なメールをどう認知するか、差分は何かを研究することではじき出せると思うが、残念ながら決定的な対策が見いだせない」と、園田氏は対策の難しさを吐露する。
さらに、攻撃体制がどんどん洗練されているのも大きな問題だ。彼らは最新のICTを援用し、システムにより深く入り込んで情報を盗み出す。「犯罪組織とハッカーの分業化が進み、低コストで年間サポート付きの攻撃ツールを利用できる。その現状に、防御側は後手の対応に甘んじている」(園田氏)。
では、対策はないのだろうか。園田氏は、いまやるべき取り組みを2つ挙げた。
1つは、ICTを活用したセキュリティ対策だ。「文書ファイルに組み込まれた便利な機能に潜む有害性を検知する」「有害なJavaScriptを検知する」「プラグインやアドオンの脆弱性に対処する」など、機械的に対応可能な部分はセキュリティ製品に任せる。
もう1つは、人間力を上げることだ。想定外の事態は起きるものと認識し、その上でリスクに対する感度や対応力を向上させる。園田氏は、「社員全員の感度を上げるのは難しい。そこで、怪しい事象を感知したとき、それを報告する相手がいる体制を整えること。そして、報告を受ける人の感度を上げることだ」と提案した。
報告を受ける側の感度を上げるには、ビジネス上の習慣をできる限り明文化し、異常事態に対峙するための訓練を実施する。その上で、事件や事故を分析して情報共有し、組織としての対応手順を事前に整理する。
特に訓練では、他社の情報漏えい事件を自社に置き換えて議論し、シミュレーションする。「想定外への対応力は、シミュレーションを含む経験値の高さに依存する」と述べた園田氏は、人間力こそ攻撃への最大の防御と断言した。
園田氏をはじめ、セキュリティ業界の一部ではいま、「サイバー犯罪に関する白浜シンポジウム&情報危機管理コンテスト」や「SECCON CTF」といった、セキュリティ技術を磨き、人間力を高めるための取り組みを学生向けに実施している。「他人の書いたシナリオの下で対策のシミュレーションができるからこそ、力が身につく」。園田氏はこうした取り組みに対し、ぜひスポンサーとしての協賛や視察をしてほしいと会場に呼びかけ、講演を締めくくった。
| 【関連記事】 SECCON CTF福岡大会レポート http://www.atmarkit.co.jp/fsecurity/special/167ctf/01.html |
セッション1〜Webサイトで「攻め」の保護対策〜
セッション1では、日本ベリサイン SSL製品本部 SSLプロダクトマーケティング部の林正人氏が「Webサイトに潜む脆弱性の脅威に担当者がすぐに行うべき対策」と題して講演を行った。
 |
日本ベリサイン SSL製品本部 SSLプロダクトマーケティング部 林正人氏 |
冒頭、林氏は、セキュアスカイテクノロジーが2010年に実施した調査結果を紹介し、何らかの脆弱性を抱えて“いない”Webサイトはわずか2%しかないことを指摘した。「Webサイト側は、ユーザーが利用しやすいよう、データベース連携などでさまざまな機能を盛り込もうとする。Webアプリ開発側もサービスの安定稼働のみに注力してしまう。結果、セキュリティ面の検証や組み込みがおざなりになる」。
企業側についても同様だ。「IPA Web Application Firewall読本」(2011年)によると、「脆弱性の修正に31日以上時間をかけている」と回答した企業は、全体の53%に上る。「ある顧客先では、危険度の高いLinuxの脆弱性であれば15日以内に対応するが、それ以外は半年近く先延ばしにすると聞いた」。そう明かした林氏は、このように対応が遅れる原因として、「パッチが出たことを知らない」「パッチの検証に時間がかかる」「パッチ適用後、連携サービスとの相互運用が保証されない」などの要因を挙げた。
ベリサインでは問題への解決策として、SSLサーバ証明書に無料で利用できる機能を追加した。「マルウェアスキャン」は、毎日Webサイトをスキャンしてマルウェアを検出、通知する。また「脆弱性アセスメント」は、週1回、脆弱性の有無を検証して通知する。
こうしたチェックによって、マルウェアフリーかつ脆弱性がないことを確認できたWebサイトには、「シールインサーチ」が表示される。シールをクリックした先のスプラッシュページには、保証状況が明記される。「視覚的に安全性を確認できることから、シール表示で集客率がアップするという副次効果もあるようだ」(林氏)。
なお、HTTPSを利用しないWebサイトでもマルウェアチェックができる「ベリサイントラストシール」も提供している。
このほか同社では、Webの通信を双方向で監視して攻撃などをブロックする、クラウド型WAFを提供している。「Webアプリケーションの改修やパッチ検証にかかる数週間を、脆弱なまま過ごすことがなくなる。出口対策にも有効だ」(林氏)。
セッション2〜標的型攻撃対策はマルウェア対策から〜
続いてのセッション「標的型攻撃対策 - マルウェアから情報を守る -」では、ソリトンシステムズ ITセキュリティ事業本部の春日井幹人氏が登壇した。
 |
ソリトンシステムズ ITセキュリティ事業本部 春日井幹人氏 |
ソーシャルエンジニアリングやゼロデイ攻撃など、複数の攻撃手法を組み合わせた標的型攻撃においても、システム侵入後の情報収集はマルウェアが担当する。春日井氏はマルウェアを、PDFなどの脆弱性を突いてコードを埋め込み感染する「データ型マルウェア」と、システム侵入後に不正コマンドなどを繰り出す「実行ファイル型マルウェア」とに分類し、マルウェアの侵入から感染、攻撃までの流れを見せながら、要所要所でブロックすることがポイントだと述べた。
ブロックのポイントは、マルウェアを端末に到達させないための「入口対策」、端末を感染させない「端末防御」、感染端末の通信防御や怪しい通信を検知する「出口対策」の3つだ。ただし、「どんなシステムも100%の防御はあり得ない。怪しい通信を可視化し、ITによる自律的な防御体制を整える必要がある」(春日井氏)。
ソリトンシステムズでは、マルウェアに特化した端末防御製品「Zerona」を提供している。「端末を感染させなければリスクは非常に小さくなる」と春日井氏は述べ、実行ファイル型マルウェアの静的分析による検知のほか、怪しいファイルを仮想環境上で実行し、振る舞い検知を行うサンドボックス機能、プロセスの動作を監視するHIPS機能などを紹介した。
また、入口/出口対策として「Ironport ESA/WSA」を提案した。同製品は、入口対策に送信者認証(SPF)やレピュテーションフィルタ機能を実施し、怪しい通信を遮断する。出口対策では、通信先IPアドレスをレピュテーションDBで調査してブロックしたり、不審な通信をスコア判定に応じて監視/遮断することが可能だ。
「最近は国内IPのアドレスを持つC&Cサーバが増えている。レピュテーションやブラックリストサービスを使う場合は、国内事情を理解したサービスを選定してほしい」(春日井氏)。
| 【関連リンク】 ホワイトペーパー:標的型攻撃対策選択のポイント 昨今の標的型攻撃のトレンドとも言えるデータ型マルウェアに対抗するには何が必要か? 従来対策の課題を整理し、標的型攻撃対策ソフト「Zerona」の特長を紹介。 http://wp.techtarget.itmedia.co.jp/contents/?cid=11415 |
ランチセッション〜本当は怖いFacebook〜
ランチセッションでは、日本アイ・ビー・エム シニアセキュリティアナリストの守屋英一氏が「Facebookのセキュリティを考える」と題して、Facebookのリスクについて語った。
世界中で約9億人が利用するFacebook。国内でも約1350万人の利用者がいるという。映画「ソーシャルネットワーク」を見て本格的にFacebookを始めたと話す守屋氏は、「2012年 Facebookユーザー500人利用実態調査」(マクロミル)の統計データに基づいて、個人情報の公開に不安を抱くユーザーは、2011年の52%から2012年には60%に増加していることを紹介した。「個人情報を登録することに、漠然とした不安を感じている」(守屋氏)。
 |
日本アイ・ビー・エム シニアセキュリティアナリスト 守屋英一氏 |
では、Facebookにはどのようなリスクが隠れているのか。守屋氏は「個人」「企業」「情報流出」「情報悪用」の4つのベクトルを設定し、それぞれの領域に内在する課題を整理した。
「企業」+「情報悪用」の領域には、求人者の素行調査、ソーシャルハラスメントのリスクがある。求職者の自己アピールの場として有効なFacebookも、米国では企業の行き過ぎた素行調査が問題になっている。過去7年分のSNS情報を収集して有償販売するSocial Intelligenceのようなサービスまで存在する。だがこうした行為は、「国内では、個人情報保護法や民法上の不法行為が適用されるほか、本人の許可なく情報を収集すると職業安定法5条の4に引っかかる」(守屋氏)。
「企業」+「情報流出」では、情報漏えい、産業スパイの危険が挙げられる。過去には、韓国軍の将兵が訓練場所などを公開してしまった事例があり、韓国軍はこの事件を踏まえ、SNS利用のガイドラインを作成した。「スマホの使い方や位置情報の公開設定などに踏み込んで規定されている。今後は、SNSの使い方に一歩踏み込んだこうしたガイドラインが必要になるかもしれない」(守屋氏)。
個人利用者として身近な「個人」+「情報悪用」では、広告詐欺やサイバー犯罪、ネットストーカーの問題がある。特にFacebookで留意したい点が、アカウント作成時に特に審査がなく、偽の販売サイトや偽アカウントが横行していることだ。
また、「いいね!」ボタンと見せかけて不正サイトへ誘導し、広告収入を得るクリックジャッキング/リンクジャッキングも発生している。Facebookでは「面識ある友人からのメッセージに、つい安心してURLをクリックしてしまう」と述べた守屋氏は、怪しいメールを開かないという教育では足りない現状を明かした。
そして「個人」+「情報流出」には、偽のアカウントを利用してユーザーをだます「フェイクブック」(Fakebook)やスパムアプリ、不適切な発言のリスクがある。偽アカウントから友人申請を乱発し、承認した相手の友人へさらに申請を繰り返すフェイクブックには、個人情報が流用される危険性がある。また、Facebookのアプリには友人の情報にアクセスするものもあり、「自分がどんなに気を付けていても、友だち経由で個人情報が漏れる可能性がある」(守屋氏)。
もっとも、ターゲット型の広告収入がベースのFacebookにとって、上記のリスクは抑制の対象ではない。守屋氏はプロフィール公開範囲の初期設定がどんどん広がっているグラフを紹介した。「自分で設定を変更しなければ、プロフィール情報が全公開されてしまう」と守屋氏は忠告する。しかも、たとえ閲覧を制限しても、仕様変更によって来月には公開対象になってしまう恐れもあるという。
質疑応答では、社員の不適切な発言に対する企業としての対策やガイドラインの事例について質問があった。
守屋氏は、「SNSのガイドラインを作成している企業は平均2〜3割程度」というデータを紹介し、そもそもSNSを利用させるべきかどうかさえ決まっていない企業が多いと述べた。また、ローカルに保存されたアドレス帳を勝手にインポートする機能など、技術的な課題も考慮しなければならないとして、「JNSAのSNSセキュリティワーキンググループでガイドラインを取りまとめている」と報告した。
また、トラッキングの問題について、自分向けにカスタマイズされた広告がほしいという人もいれば、年代によって抵抗感が違うとし、「技術的に選択肢があればいいのでは」と見解を述べた。
より具体的な対策などは、同氏が執筆した新刊「フェイスブックが危ない」に記載されている。売り上げは東日本大震災の寄付金となる。
| 【関連記事】 Facebookタイムライン利用時の「鉄則」 http://www.atmarkit.co.jp/fsecurity/special/166timeline/01.html |
1/2 |
 |
| Index | |
| 標的型攻撃に備える! いまできる対策のヒント @IT 情報漏えい対策セミナーレポート |
|
 |
Page1 基調講演〜人間力を上げて想定外に対応〜 セッション1〜Webサイトで「攻め」の保護対策〜 セッション2〜標的型攻撃対策はマルウェア対策から〜 ランチセッション〜本当は怖いFacebook〜 |
| Page2 セッション3〜進化する標的型攻撃、その新たな傾向〜 セッション4〜ゲートウェイから考える標的型攻撃対策〜 セッション5〜UTMで「1人IT部門」でも強力な対策を実現〜 特別講演〜いまできることを理解し、人材育成を〜 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
