昨年は国内企業や官公庁における特定の人物や情報をターゲットとしたサイバー攻撃が猛威を振るいました。企業活動がITに依存し効率化するに伴い、重要な戦略や研究データなど、知的財産と言われる電子化された情報は企業規模に問わず増えてきています。それらが何者かに詐取されれば、顧客や取引先を含む、企業へのダメージは計り知れません。
標的型サイバー攻撃が会社にとってどのような脅威なのか、また自社を守るために企業としてこれから何を優先的に取り組み、取るべき対策とは何なのか。
マカフィーでは、今回から4回にわたって標的型サイバー攻撃をテーマとした情報を、様々な視点からお伝えします。
企業の重要情報や社員を守るための事前対策のヒントになれば幸いです。
第1回:検知名だけとらわれず、感染手法や自社における被害の想定が重要
※本記事は、McAfee Labs 東京 主任研究員 本城信輔によるものです
昨年から標的型サイバー攻撃が話題になっています。企業や官公庁が狙われていたことが報道により明らかになったためでしょうか、ユーザーの皆様も自社のセキュリティ対策を見直したり、強化を検討されていることでしょう。
ところで、この標的型サイバー攻撃に関して少し気になる誤解があるので、ここで説明したいと思います。 報道でとある日本の大手企業(以下企業A)が、標的型サイバー攻撃によって大規模にわたりマルウェアに感染していることがわかりました。その後、別の企業Bなども感染していたことが明るみになり、報道で、標的型サイバー攻撃のニュースを知った私たちの顧客からは次のような問い合わせが殺到しました。
「A社やB社が感染したマルウェアの検知名は何か?自社が感染しているかどうか調査したい」
自社の状況を把握したい緊迫した気持ちはよくわかります。しかし、最近のマルウェア攻撃ではこの問い自体があまり意味を持ちません。なぜなら、5、6年前の「マスメイラー趨勢※1」の頃とは違い、昨今のマルウェア攻撃では感染する企業やユーザー、感染するタイミングによってマルウェアそのものが異なっているからです。たとえ、同じマルウェアのファミリーや亜種に属するものでも、ファイルとしては別物になっているのです。つまり、自社がA社やB社で発見された同じマルウェアに感染しているとは限りません。仮に感染してしまったとしても、むしろ、違うマルウェアであると考えたほうがよいでしょう。ここで強調したいのは、これは一般のマルウェア攻撃における傾向であって、標的型サイバー攻撃特有の話ではありません。
マカフィーでは、マルウェア検知のためのシグネチャーを作成する際に、なるべく多くの検体を検知するように努力しています。しかし、マルウェア作者が多様な亜種やマルウェアをたくさん作成する「サーバーサイドポリモーフィズム」と呼ばれる手法をとっているために、結果として別のマルウェアや亜種が作成され続けています。 特に標的型サイバー攻撃では、十分な効果を得るために様々な亜種が作成されることが多いのです。別のマルウェアであればもちろん、検知名は異なります。しかし、同じマルウェアのファミリーに属していても別の亜種であれば、同じアンチウイルスベンダーでも駆除の違いなどの観点から検知名が若干異なってしまうことがあるのです。他のアンチウイルスベンダーの検知名は、参考程度にしかならないでしょう。
他社が感染したマルウェアに自社も感染していないかどうか、チェックするのは良い事だと思います。しかし、他のマルウェアに感染している可能性を考慮せずに安心してしまうのは百害あって一利なしです。
標的型サイバー攻撃に限らず、一般的なマルウェア対策として、他社が感染した情報は参考程度にしておくのが良いと思います。むしろ、今回のように報道で他社の被害情報を知った際には、マルウェアそのものではなく、どのような手法で感染に至り、感染した場合にどの程度の被害に遭うのかを読み解くべきなのです。そこから、自社の防御や、被害を緩和するための対策を検討するのが、企業としてあるべき姿ではないでしょうか。
※1 マスメイラー型のウイルス:ユーザーのPC に感染しメールアドレスを収集することで、そのPC からウイルスが含まれたメールを大量送信するウイルス。
