標的型攻撃への対応策は? 「メール開くな」は対策ではない
2015年 7月 2日 10:31
日本ネットワークセキュリティ協会が6月29日、日本年金機構の個人情報流出事件など、日本を対象とした一連の標的型攻撃についての説明会を開催した。
セキュリティー関連の情報収集や、緊急対応などを行うJPCERTコーディネーションセンター(JPCERT/CC)の久保啓司氏が、今回問題となっているウイルス「Emdivi(エンディビ)」について説明。JPCERT/CCでは、ネットワーク上でセキュリティー関連の問題が発生した可能性がある組織に対し、メールで通知をしているが、今年4月1日~6月23日に標的型攻撃を受けた可能性があるとして通知した組織は61。うち、エンディビへの感染が疑われるものは34組織だった。
ウイルスに感染させる手口は、圧縮ファイルの中に文書ファイルのアイコンを模した実行ファイルを入れるというものが増えている。遠隔操作を目的としたウイルスで、感染した端末を自由に扱うことができる。組織の誰かがウイルスを実行すると、すぐに遠隔操作を開始。組織内のネットワーク情報などを調査し、重要な情報がどこにあるかを探し出す。
また、エンディビについて調査しているカスペルスキーの前田典彦氏によると、このウイルスの特徴は日本を標的としていること。エンディビに感染したパソコンを操作するための指令サーバー(C2サーバー)は93%が日本国内に存在する。これは、主に攻撃者によって乗っ取られた国内組織のサーバーとみられる。「日本を対象の一つとした攻撃はこれまでもあったが、今回の攻撃は、ほぼ日本を標的としているとしか考えられない」(前田氏)。
ラックの西本逸郎CTOは「(セキュリティーの問題に関する)一般認識との乖離(かいり)が発覚した。感染そのものが『悪いこと』という常識が強すぎて、被害企業もなかなか情報を公開できない」と指摘。今回のようなサイバー攻撃は「水際で防ぐことができる」と考えている人が多いが、実際には不可能といっていい。また、「『実行ファイルを知っているか』と聞かれても分からない人が大半だろう。セキュリティー専門家としても反省している」(西本CTO)。
実行ファイルとは、ファイルの種類を示したもので、ワードファイルやPDFファイルといったデータファイルとは異なる。安易に実行すると、悪意あるプログラムが立ち上がる恐れがある。ファイルを識別するための拡張子は「exe」「bat」などが代表だが、ウインドウズの初期設定では拡張子が表示されていない。西本CTOは「もっとITリテラシーを高めなければならない。個々の組織の基礎教育として、ある程度こうした知識を教える必要があるのではないか。例えば実行ファイルとデータファイルはどこが違うかなど、各組織が教育に取り組むべきだ」と話す。
マイクロソフトの高橋正和氏は「PCは平均して年2回ウイルスに遭遇し、3500台あれば1年間に1台は感染する。つまり、『攻撃メールを開いてはいけない』という対策は意味をなさない」と説明。「攻撃メールが届く確率を減らす」「開いても感染する確率を減らす」「攻撃された場合もシステムへの影響を減らす」「PCを乗っ取られても重要なサーバーへの通信を阻止する」「重要なサーバーが攻撃されても重要な情報へのアクセスを防ぐ」「仮にファイルが盗まれても、情報を盗まれない技術的な仕掛けをする」といったように、多層的な対策が重要になってくる。また、攻撃に気づくためのモニタリングも必要だ。
また、説明会の最後に久保氏は「個人情報流出ばかりが騒がれているが、それ以外にもさまざまな重要情報が抜かれている。もちろん個人情報も重要だが、知財などが盗まれる恐れもある。個人情報保護にだけフォーカスした対応をするのは良くないのではないか」と指摘した。
