日本が、本当に狙われている──日本年金機構での大規模な情報流出事故をきっかけに、国内のさまざまな組織が標的型攻撃の被害を受けていることが明るみとなり、一般企業の間でも「従来型のウイルス対策では防げない」という認識が急速に広がっている。従来と異なる、標的型攻撃にフォーカスした対策とはどのようなものなのか。(取材・文/日高彰)
標的型攻撃とは
情報処理推進機構(IPA)では、「特別な攻撃意図および計画性をもって、標的とする組織の情報システム内部に深く継続的に侵入し、国家や企業規模を問わず、機微情報や知財情報等の窃取を目的に」行われるサイバー攻撃を標的型攻撃と定義している。多数のアドレスに対してマルウェア付きのメールをばらまくような攻撃とは異なり、個別の攻撃対象ごとにカスタマイズされたメールの文面やマルウェアが用いられるため、防御が難しいのが特徴。●急速に高まる対策製品のニーズ 「以前、検討段階で止まっていた案件だけど、導入を前提に、もう一度提案してもらえないか」「検証は最小限でいいから、とにかくすぐ稼働させてほしい」
日本年金機構で標的型攻撃による大規模な情報流出事件が発生して以来、セキュリティ製品を扱うSIerやリセラーには、標的型攻撃対策ソリューションを求めるユーザーから冒頭のような問い合わせが相次いでいるという。
セキュリティ業界で標的型攻撃が広く認知されるようになったのは2010年頃で、決して新しい問題ではない。攻撃のプロセスも、業務に関係する内容を装ったメールを攻撃対象に送信し、そのメールに添付したマルウェア(不正プログラム)を組織内で実行させたり、改ざんされたウェブサイトに誘導してシステムのぜい弱性を突くことにより、内部の機密情報を窃取するといったものがほとんどで、大きな変化はない。
三菱総合研究所
村野正泰
主席研究員 にもかかわらず、ここへきて対策製品の需要が急増しているのは、年金機構での事件発覚の後、国内のさまざまな組織が同様の被害に遭っていることが明るみになったからだ。東京商工会議所や早稲田大学でも個人情報が流出したほか、情報流出被害は確認されなかったもののマルウェア感染が発覚した事件を含めると、今年6月の1か月間だけでも15件以上が新聞などで報道されている。感染を確認しても外部に公表しない企業がある可能性もあり、ほとんど毎日、日本のどこかで標的型攻撃が実行されていると考えられる。
「社員など、関係者に注意喚起するだけでは自社の情報を守れない」という危機感が、一般企業の経営層にも広がりつつある状況について、三菱総合研究所の村野正泰・情報通信政策研究本部サイバーセキュリティグループ主席研究員は「標的型攻撃の手法と取るべき対策は、ここ5年間変わらないが、より自然な文面のメールが用いられるなど巧妙化している。また、従来は官公庁や防衛産業などが集中的に狙われていたが、年金機構の一件以降、多数の被害が公表され、業種や規模を問わずあらゆる組織がターゲットとなることが認識された」と分析する。
●標的型攻撃に関するありがちな誤解 しかし、マスコミによる一連の事件報道では責任追及の色が濃いためか、標的型攻撃の特徴について、社会一般に十分な理解が広がっているとはいえない面もある。セキュリティ関連の各社によると、以下のような誤解をしている経営者は少なくないという。
誤解
「攻撃の被害に遭った組織は、ウイルス対策ソフトを正しく使用していなかったのではないか」
「当社はウイルス対策ソフトの定義ファイルを毎日、最新のものに更新している」と胸を張る経営者もいるようだが、パターンマッチング型のウイルス対策ソフトは標的型攻撃には無力な場合がほとんどだ。なぜなら、攻撃者はターゲットごとにマルウェアの亜種を作成し、ウイルス対策ソフトの網にかからないことを確認してから送信しているからだ。
さらに、最近のマルウェアはHTTPなど一般的な通信プロトコルを使用するものが主流で、活動が始まっても正常なウェブサイトへのアクセスと見分けにくい。外部から組織内への侵入対策を主眼とした従来のIDS/IPS(侵入検知/防止システム)では、活動を検知できない。
セキュリティにはそれなりの投資を行ってきたという組織でも、標的型攻撃の餌食となってしまうのはこのためだ。
誤解
「社員のセキュリティ意識を高めるために、攻撃メールを開いた場合の罰則規程を設けるべきだ」
賞罰の規程は企業ごとの考え方によるものだが、顧客や組織の情報を守ることを第一に考えると、攻撃メールの開封を罰するのは逆効果でしかない。社員が叱責や処罰を恐れ、メールを開封してしまった事実の報告が遅れると、それだけ攻撃者に時間的な余裕を与えることになってしまう。
メールの開封が故意でない場合は免責とし、セキュリティ上のミスをいち早く報告した場合はその対応をほめるくらいの文化が社内で醸成されていないと、マルウェアの活動を早期に封じ込めることは難しくなる。
誤解
「社員が攻撃メールを開かないよう、“開封率ゼロ”になるまで訓練を実施する」
標的型攻撃メールを模したメールを、抜き打ちで社員に送信する訓練を実施する企業が増えている。訓練の成績として開封率を集計することも多いというが、その数字に一喜一憂するのはムダなこと。攻撃メールの内容は日々巧妙化しており、実際には開封率ゼロにはならない。トップの号令で部署ごとに開封率ゼロを競わせるといった施策はナンセンスだ。
訓練の目的は、開封率ゼロを実現することではなく、「個々人の注意だけでマルウェアの感染を完全に防ぐことはできない」という事実を、社員と経営者が正しく認識することにある。「うちは大丈夫」という思い込みを捨て、もしもメールを開いたときにどのような初動をとればよいのかを身につけるためという趣旨であれば、メール訓練は有用である。
●非常事態に備えたマニュアル策定が必要 ユーザー企業の経営者が、このような標的型攻撃の基本的な特性を理解していないと、セキュリティ製品を導入しても十分な効果を発揮できない可能性がある。
前述の通り、マルウェアへの感染を100%防止するのは現実には不可能であり、技術的な対策を講じるとともに、「もし、壁を越えられた場合にどうするか」という視点がなければ、被害を防ぐことはできないからだ。
ラック
西本逸郎
CTO ラックの西本逸郎・取締役専務執行役員CTOは、標的型攻撃によるマルウェア感染が発覚した場合、その活動を「全力で封じ込める」ことが肝要だと指摘する。外部との接続を遮断して情報流出を防ぐことが求められるが、当然ながら業務にも支障が出る。しかし年金機構の事件では、この「業務を止めてでも情報を守る」という判断が遅れ、戦力を逐次投入するかたちで対応したため、被害が莫大なものになってしまった。
感染が発覚してから対応を検討していては間に合わない。セキュリティ上の非常事態が発生した場合に備え、誰が外部切断の指示を出すか、最低限必要な業務を維持するため非常時も生かしておくネットワークはどれか、緊急の相談ができるベンダーの連絡先はどこか、といった項目をマニュアル化し、定期的に「避難訓練」をしておくことで、マルウェアに感染しても情報が漏れるのを防げる可能性が高まる。
このような人的対応に加えて、導入することで標的型攻撃のリスクをより低減できるソリューションが各社から提案されている。標的型攻撃にフォーカスしたセキュリティ製品やサービスとはどのようなものか、次ページでその中身を紹介する。
[次のページ]
