標的型サイバー攻撃から重要資産を守るために、いま企業がやるべきこと:第3回:自社の被害を想定した対策の検討を

2012/01/25

昨年は国内企業や官公庁における特定の人物や情報をターゲットとしたサイバー攻撃が猛威を振るいました。企業活動がITに依存し効率化するに伴い、重要な戦略や研究データなど、知的財産と言われる電子化された情報は企業規模に問わず増えてきています。それらが何者かに詐取されれば、顧客や取引先を含む、企業へのダメージは計り知れません。
標的型サイバー攻撃が会社にとってどのような脅威なのか、また自社を守るために企業としてこれから何を優先的に取り組み、取るべき対策とは何なのか。
マカフィーでは、全4回にわたって標的型サイバー攻撃をテーマとした情報を、様々な視点からお伝えします。 企業の重要情報や社員を守るための事前対策のヒントになれば幸いです。

※本記事は、McAfee Labs 東京 主任研究員 本城信輔によるものです

昨年からの報道により、多くの企業や団体が標的型サイバー攻撃を受けていたことが明るみになりましたが、攻撃自体は少なくとも6年前から存在しており、その手口も当時からほとんど変わっておりません。もちろん、攻撃に利用される脆弱性の種類、感染するマルウェアは変化していますが、「関係者を装って特定のユーザーにメールが届く」「メールには添付ファイルがある」「アプリケーションの脆弱性やユーザーに対するソーシャルエンジニアリングを駆使して、マルウェアをインストールする」といった手法は一貫しています。

標的型サイバー攻撃によって最終的に感染するのは、多くの場合BackDoorと呼ばれるタイプのトロイの木馬です。BackDoorに感染すると、リモートの攻撃者とC&Cと呼ばれる通信を行い、攻撃者からの命令を待ちます。つまり、攻撃者はリモートからこのBackDoorを通じて自由に感染したマシンを操作することができるのです。操作可能な機能は、BackDoorによって異なりますが、たいていのものは

  • 感染マシンのファイル・フォルダの操作
  • 任意のプログラムの実行・停止
  • ファイルのダウンロード、アップロード
  • リモートシェル(コマンドプロンプト)の提供

といった機能を持っています。
BackDoorに感染してしまえば、あらゆる被害に遭う可能性があるのです。
簡単に想像できると思いますが、感染マシン自身に保存されているファイルはもちろん、感染マシンがアクセス可能な共有ファイルといったものも、攻撃者によって簡単に盗みとられてしまうでしょう。BackDoorはいろいろな使い道が考えられます。スパムメールの送信や他の不正行為の踏み台に利用される場合は、不特定多数に感染を試みるものです。一方、特定のユーザーだけをあえて狙う標的型サイバー攻撃では、機密情報などへのアクセスが主な目的といってもよいのです。

このような攻撃から機密情報を守るためにはどうすればいいのでしょうか? もちろん、感染を未然に防ぐために一般のアンチマルウェア対策は必要ですが、ここでは万が一、感染を許してしまった場合に、どのようにすれば被害が緩和できるのかについて考えてみましょう。

最近、良く言われるリモートとの通信を遮断するといった出口対策も緩和策の一つです。もっとも、最近のBackDoorでは、通常のHTTPやSSL通信に見せかけるような細工をしているため、完全な防御はできません。 そのために、BackDoorにマシンが感染し、活動してしまう前提で防衛策を考えておきましょう。
まず、機密情報のセキュリティ保護をより強固なものにする必要があります。通常のアクセス制御では、アクセスするユーザーやマシンが乗っ取られた場合の対処は困難です。それでも、アクセス制御はより厳格にすべきであり、不必要なアクセスを制限すれば、被害を最小化できるでしょう。重要情報の機密レベルも日常業務で毎日アクセスする必要があるレベルから非常に高レベルのものがあります。より機密性の高い情報は、可用性が低くても、アクセスするゲートを高くするなど、セキュリティにはメリハリを持たせるのがポイントです。極端なことを言えば、機密性の低い情報の漏えいは許容しても、最高レベルの情報はどんなことがあっても守るという覚悟が必要なのだと思います。

また、ファイルに対する暗号化もリスクを減らす事のできる有効な対策の一つです。例え、ファイルを持ち出されたとしても、十分に安全性の高い暗号化を行っておけば、実際に漏えいするまでの時間を稼ぐことができるでしょうし、うまくいけば、機密性が意味を持たなくなるまで、解読されないで済むかもしれません。

また、一度侵入したBackDoorが攻撃者の命令を受けて、他のマシンにも感染を広げるかもしれません。 社内のシステムをすべて同じセキュリティレベルにする必要はありません。逆にメールやWebにアクセスするエンドポイントのマシンと、機密情報のあるサーバーが同じセキュリティレベルではまずいのです。重要な資産や情報に感染を広げないためにも、より高いセキュリティ対策が必要になります。

対策について様々な考えを述べましたが、実際に、これらを実現させる方法は、多くの製品や手法がある上に、皆さんの環境、システムにより異なります。大事なのは、皆さんが、常に被害に遭う可能性を意識し、対策を考えていくことです。前述したBackDoorの基本機能を確認し、感染した場合のケースを想定しながら、自社として何をすればいいのか、是非、検討を始めてください。例えば、機密情報の漏えいのリスクが小さいのであれば、何もしないと判断することもあるでしょう。十分に検討を重ねて得た結果であれば、それでもよいのです。しかし、何も検討せずに放置したり、セキュリティ製品を導入するだけで終わらせてしまうことだけは避けたいものです。