quality_icon

もはやアンチウィルスソフトでは防げない~標的型攻撃の脅威と企業に必要な情報セキュリティ対策

  • このエントリーをはてなブックマークに追加

by [2015年7月03日]

quality_icon IT資産管理やソフトウェアライセンス管理の他、情報漏えいに対するソリューションにも力を入れているクオリティソフトは、125万件の年金情報が流出した大規模事案を受けて「公認情報システム監査人が解説する、個人情報流出事件の手口と対策」と題したセミナーを緊急開催した。
 本稿では、同社の山﨑氏による第二部「標的型攻撃の脅威と企業に必要な情報セキュリティ対策」の内容をお届けする。

quality_0116

クオリティソフト株式会社 セールスプロモーション部 部長 山﨑誠司氏

 本日は、企業を取り巻く環境として、セキュリティ脅威にどういう変化が起きてきたのか、そして標的型攻撃はいったいどういった動きをするのかについて、情報流出の手口と対策、またそれに対応できる弊社のソリューションをご紹介させて頂きたいと思います。

▼関連記事
年金情報流出事件の概要とその手口~どの組織でも起こりうる可能性とその解決策とは~シスコシステムズ
マイクロソフトのチーフセキュリティアドバイザーが語る「事例を参考に考察する現在の脅威とその対策」

猛威をふるう「標的型攻撃」

 従来行われていた攻撃で一番多かったのは、1万人のうち1件でも引っかかればいいといったウィルス型の攻撃や、どこでもいいからとりあえず引っかかるものを探すような、不特定多数に対する攻撃でした。しかし今回、日本年金機構の情報流出事件に用いられた標的型攻撃は、情報搾取のために特定の企業や組織を狙ってくる未知の攻撃のことです。これは標的となった組織にカスタマイズされた攻撃のため、アンチウィルスソフトだけでは防御が難しいとされています。
quality_ページ_04

 この標的型攻撃で使われる手法は大きく3つあります。最も多いのは日本年金機構の事案でも狙われたメールです。
 2番目に多いのはウェブです。攻撃者は、その企業がよく閲覧するウェブサーバーに対して侵入し、ウェブサーバーの一部のコンテンツに対してマルウェア、あるいはそのダウンロード先のリンクを仕込むスクリプトとして埋め込むWeb改ざんを行いますの攻撃をします。このような攻撃を水飲み場攻撃と言います。この場合、例えばA社のIPからきた時だけそのスクリプトを動かすという仕組みのため、A社以外は気がつきません。このままウェブを閲覧していくと、PCが自動的に検知できないようなマルウェアに感染してしまうのです。
quality_ページ_06

 3番目は、外部デバイスという非常に古典的な手口です。攻撃者はマルウェアを含んだUSBメモリーに、思わず中身を見たくなるような「人事異動・極秘」などと書かれたシールを貼り、対象の会社の中に置きます。PCにはオートランといって外部デバイスを認識して自動的に起動する機能があります。この機能はデフォルトでオンになっているため、このことを知らずにPCにUSBメモリーを挿すとマルウェアに感染してしまいます。
quality_ページ_07

マルウェアに感染すると
 感染したマルウェアが唯一行うことは、外部のC&Cサーバーに対しコールバックの通信を張ることです。こうすることで社内にあるPCが外からアクセスできるようになり、攻撃者がC&Cサーバーを介して社内のPCに乗り込めるようになります。その後はPCをコントロールしてパスワードをハックするツールを投げ込み、ハックできるようになるとより上位権限のパスワードを取るためにさらに攻撃を仕掛けてきます。ここで上位権限のパスワードを入手すると、社内に対してどの外部端末からでもアクセスできる強い権限を手に入れたことになり、これが不正アクセスや情報漏えいに繋がります。
quality_ページ_08

アンチウィルスソフトの限界
 従来の不特定多数への攻撃は、どこも同じマルウェアで攻撃されるため、そのマルウェアのコピーを入手しパターンファイルを作ることで、該当するウイルスをブロックすることができました。これがアンチウイルスソフトの仕組みです。
 しかし、標的型攻撃はターゲットごとにウィルスを作るため、パターンファイルが作成できない、あるいは攻撃を受けた後にようやく作れるという状況です。今や、「アンチウイルスソフトがあればセキュリティは万全だ」と言う考えは危険となります。
quality_ページ_09
日本年金機構の事件にも使われた手口
 先日、日本年金機構への不正アクセスが発覚し125万件の個人情報が流出しましたが、その原因は標的型メールの攻撃でした。「厚生年金基金制度の見直しについて(試案)」や「給付研究委員会オープンセミナーのご案内」というフリーメールから送られたメールの添付ファイルを開いたため、感染してしまったと言われています。
quality_ページ_11

 今回の発端となったのは、(日本年金機構)九州ブロック本部のPC端末と言われています。ウィルスが添付されたメールを開き、職員のPCがマルウェアに感染。その後、外部と不審な通信が行われました。隔離するまでの4時間、通信は続き、そこで職員のアドレス帳が抜き取られてしまったのではと推測されています。
 その後、東京本部などに対しても標的型メールが送られ、感染が拡大……実際に開かれた添付ファイルは全体の約1%と言われていますが、それでも今回の規模のような漏洩に繋がってしまいました。
quality_ページ_16

 これらのことからも、万が一未知のウィルスが入ってきた場合の多重防御が必要になってきます。
 日本年金機構のケースでは、本来ファイルサーバーに置いてはいけない個人情報ファイルが、パスワードなしで置かれていたという報道もありましたが、ファイル自体を攻撃者のローカル環境に落とすことができれば、時間をかけてハッキングできるので、そもそもパスワードがかかっていれば安心というわけでもありません。

標的型攻撃の特徴
 益々巧妙化する標的型メール攻撃は『気づきにくい』『ウィルス対策ソフトだけでは防げない』というのが現状です。また、攻撃の手法は複数使われ、一回感染させたらまた別の手法をとって侵入を試みます。そして、セキュリティの弱いところが狙われるのです。
 日本年金機構の場合は、東京本部から遠い九州本部を狙ってきました。今回添付ファイルを開いた人は全体の約1%だったと言われていますが、その1%が大規模な漏洩に繋がってしまったため、社員全体のセキュリティ意識が問われています。
quality_ページ_17

標的型攻撃への対策
 従来の標的型攻撃への対策は、ファイアーウォールを導入したり、アンチスパムや、IPS(不正侵入防御システム)製品の導入といった企業ネットワークに入られないための入口対策、それでもスルーしてしまうウイルスなどに感染しないようにする為の内部対策を求められました。しかし、ここ最近ではこれら対策をもスルーする攻撃が現れてきており、攻撃者が利用する外部のC&Cサーバーへの通信を遮断するといった出口対策をとるなど、多重防御が必要だと言われています。

quality_ページ_18

 具体的には「OSやアプリケーションは常に最新にしておくこと」。こうすることでアプリケーションの脆弱性を悪用するマルウェアに感染しにくい環境となります。
 また、不審な外部向けの通信を監視・遮断する、更には不審なアクセスや操作状況をただログを取るだけではなく、定期的にチェックすることも重要になります。
 そして、万が一に備え、個人情報や機密情報を含むファイルは安全な場所に保管するといった対策も必要になってきます。

quality_ページ_19

最新のセキュリティ、マイナンバーにも対応するクオリティソフト

 クオリティソフトでは、標的型攻撃への対策として2つの製品をご紹介します。
 1つは私どものフラグシップであるQND Advanceという製品です。基本はIT資産管理の製品ですが、最新のセキュリティに対応するために「URL Filtering」や「操作ログ取得」の機能が搭載されています。
 もう1つがマイナンバーのガイドラインに則した形で運用ができる、個人情報、機密情報のファイル探査、持ち出し制御ツールであるQGGという製品です。
quality_ページ_21

 QNDとOGGによって、OSやアプリケーションを常に新しいバージョンで使う、不審な外部向けの通信を監視・遮断する、定期的なログ監視・監査をする、重要データは安全な場所に隔離するといった標的型攻撃への多重防御が可能になります。
 QND、OGGシリーズは1ヶ月の無料トライアルもあるので、今後の情報セキュリティ対策の強化にご検討してみてはいかがでしょうか。

クオリティソフト株式会社

PageTopへ