対策は境界防御から検知へ
購入したての製品にウイルス? SANSが警告する新たな攻撃
2009/08/11
内部に侵入されないように境界の防御を固める方向から、監視し、侵入されたことを速やかに検知できる体制整備へと、セキュリティ投資の力点は変わっていくだろう――。7月に開催されたカンファレンス「SANS Future Visions 2009 Tokyo」に合わせ、米国のセキュリティ機関、SANS Institute 調査研究部門 ディレクターを務めるアラン・パーラー氏が来日し、最新のセキュリティ脅威の動向と対策について説明した。
パーラー氏によると、最近のセキュリティ脅威には注意すべきトレンドが3つある。1つは、ソーシャルエンジニアリングの手法を用い、組織内の特定の人物を狙ってくるターゲット型攻撃やフィッシングメールだ。名指しで送られてくるメールを不用意に開くと、バックドアなどをインストールされてしまう。「大半の攻撃が、ターゲットを絞ったフィッシング攻撃を使ってまず個人のPCを乗っ取り、そこから重要なサーバに侵入を試みる」(パーラー氏)。この手法は、民間企業だけでなく政府を狙った攻撃にも用いられているという。
2つ目の手口は、SQLインジェクション攻撃などによって正当なWebサイトを改ざんし、それと知らずにアクセスしてきたユーザーに感染を広めるというものだ。ユーザーは信頼できるWebサイトにアクセスしているつもりなのに、悪意あるサイトに誘導され、マルウェアをインストールされたり情報を抜き取られるというもので、国内外で多数のインシデントが発生している。
3つ目は、日本ではあまり知られていない「サプライチェーンアタック」だという。これは、ハードウェアやソフトウェアが製造過程で悪意あるソフトウェアに感染し、そのままユーザーの手元に商品として届けられてしまうというものだ。そうした機器をPCに接続すれば、当然ながらPC本体も感染してしまう。すでに、デジタルフォトフレームやカーナビ、USBメモリなどにウイルスが混入した事例が報告されている。
パーラー氏は、もっと危険な例として、本物そっくりで見分けの付かない偽のシスコルータが流通しているケースを紹介した。仮に、偽ルータのファームウェアに細工が施されていれば、「相手国の通信を遮断し、ITインフラを混乱させることもできてしまう」(同氏)という。
米政府で始まるプロアクティブな対策
パーラー氏は、こうした脅威が登場したことによって「セキュリティ予算の割り当て対象が変化するだろう」と述べた。
「従来は、ファイアウォールに代表される境界防御に使われてきた。しかしそれは完全ではない。うまくいかないのにいくら境界を守っていても意味はない。今後は、入ってきた攻撃をいかに発見し、防御するかに予算が投じられるようになるのではないか」(パーラー氏)。
これに伴い、セキュリティ専門家に求められるスキルも変化するだろうと同氏は言う。従来は、ポリシーレベルの人材が求められることが多かったが、今後は、フォレンジクスや長期に渡る分析やパケット監視、マルウェアのリバースエンジニアリング、監査、セキュアなアプリケーション開発といった、より技術に特化したスキルを備えた人材が必要とされるだろうとした。
同氏によると、米国政府のセキュリティ対策も、こうした知見を踏まえて変化しつつある。
例えば米国農務省では、攻撃後に対策を取る代わりに、プロアクティブに対処しようというプログラムが進んでいる。
SQLインジェクションをはじめ、攻撃の多くは、Webアプリケーションに存在する脆弱性を狙っている。そこで、はじめからこうした事態を招かぬよう「まず、正しいセキュアプログラミングについてのトレーニングを実施した」(パーラー氏)。また、開発を外部に委託する際には、検収時にセキュリティエラーがないかを確認するよう定めたという。このとき、実際に開発に携わるプログラマがセキュリティ認定を受けていることも契約書に盛り込むようにした。
一方米国エネルギー省原子力研究所では「防御の網をすり抜けてしまった攻撃を見つけるため、システム管理者に対し、不正侵入検知能力を付けるためのトレーニングを実施している」(同氏)。
さらに、米国国家安全保障局(NSA)やUS-CERT、米国防総省など、政府機関の担当者が集まり、攻撃を阻止するためのベストプラクティスを集約。20項目からなる「Consensus Audit Guidelines」としてまとめている。
パーラー氏は最後に、政府機関ではこうした取り組みを通じて、セキュアコーディングの徹底に加え、調達の一元化によるコスト削減も実現できたことに触れた。さらに、システムの標準化を進めることによって、ユーザーの満足度も向上したという。「セキュリティを向上させ、コストを減らし、ユーザー満足度を上げる」という、一見両立が難しそうな取り組みも現実のものにできるとした。
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
