【特集】 もう一度考える標的型攻撃(前編)〜標的型攻撃で明らかになったセキュリティの限界〜

こんにちは、マカフィー株式会社 セールスエンジニアリング本部 フィールドSE部 ソリューションアーキテクトの櫻井秀光です。

最近、大きな話題となった情報流出事件を機に、あらためて標的型攻撃の脅威がクローズアップされました。その後も事態の解明が進むにつれ、複数の組織や企業が標的型攻撃を受け、外部との不正な通信や情報の流出が発生していたことが続々と明らかになっています。

今回はこの「標的型攻撃」への対策で、どんな考え方、どんな取り組みが必要なのかをご説明したいと思います。

  • 標的型攻撃で露呈したこれまでの対策の限界

一連の報道で皆さんもご存じかと思いますが、組織や企業を狙った最近の攻撃では、いかにも業務に関連しそうなタイトル・内容の電子メールを送り付けることが攻撃の第一歩となっていました。この電子メールの添付ファイルを開かせることによってマルウェアに感染させ、バックドアなど他のマルウェアを送り込むとともに社内ネットワークを探索し、重要と思われる情報、個人情報を見つけると外部に送信するという流れで被害が発生します。このように標的型攻撃では、多数の段階を踏んで、時には数ヶ月単 位という時間をかけて目的を達成しようと試みます。

1_2

もちろん、標的型攻撃を受けた組織が全くセキュリティ対策を講じていなかった訳ではありませんでした。ウイルス対策ソフトやファイアウォールの導入といった対策をとっていたにも関わらず、被害を被ってしまったのです。このことからも、標的型攻撃に対し、従来からのセキュリティ対策にはいくつかの限界があることが分かります。

まず、シグネチャに基づく検知には限界があるということです。インテル セキュリティがこんなことを言うとはと、不思議に思われる方がいるかもしれませんが、残念ながらこれはセキュリティ業界全体で共有されつつある事実です。標的型攻撃では、汎用的なマルウェアではなく、狙った組織に合わせて作り込んだマルウェア、新種のマルウェアが用いられます。攻撃者がアンチウイルス製品などを用意し、作成したマルウェアが対策をすり抜けられることをあらかじめ確認した上で送りつけてくることも珍しくありません。こうした未知のマルウェアに対し、残念ながらシグネチャ型の対策は効果が薄いのです。

二つ目は、どれほどの対策を施しても「人」が弱点となり得ることです。攻撃された組織では、「なぜ担当者は添付ファイルを開いてしまったのか」という批判が起こりがちです。しかし、普段の業務に追われる中、その組織や事業に合わせて作り込まれた攻撃メールを見抜き、開かずに済ませるのは難しいことだと思います。もちろん、文面やファイル名などに明らかにおかしな点があれば気付けるように教育することも大事です。しかし、それだけに頼るのは危険なことであると言えるでしょう。技術と人の両面で防止策を取ることが大切です。さらに、対策を講じてもなお「万一」は起こりうると考え、いざというときに素早く状況を認識し、対応できる体制――いわゆるインシデントレスポンス体制を整えることが重要です。

もう一つ、インテル セキュリティでもしばしば聞く組織の悩みに、「どうすれば、マルウェアに感染してから封じ込めるまでの時間を短縮できるか」というものがあります。何らかの通報によって、ネットワーク内部のある端末が感染したことが特定できても、「他の端末も感染しているのか」、「どこまで情報を盗み見られた恐れがあるのか」といった事柄を調査するのには専門知識が必要で、時間もかかります。残念ながら時間がかかればかかるほど、二次被害が広がり、封じ込めが困難になってしまいます。その意味からも、素早く対応する体制として、インシデントレスポンスの基盤整備が求められます。

  • 「検出」から「封じ込め」へ

インテル セキュリティでは従来、主に脅威の「検出」に力点を置いてソリューションを提供してきました。しかし、ここまでの説明でもお伝えした通り、標的型攻撃に向き合う今の時代においてはそれだけでは不十分で、感染後の「後工程」に目も配ることが求められています。事態をいち早く把握し、影響範囲を特定して封じ込めるという一連の作業を支援し、対応できる体制を整えることが必要なのです。

そこでインテル セキュリティは「シグネチャレス」や「状況認識」、「データ保護」といったキーワードの下、こうした課題を解決するソリューションを展開しています。後編ではそれらがどんな役割を果たし、標的型攻撃におけるインシデント対応を支援しているかをご紹介したいと思います。


 

著者: 
マカフィー株式会社 セールスエンジニアリング本部 フィールドSE部 ソリューションアーキテクト櫻井秀光