脆弱性を狙う攻撃のほかに、特に増えているのが「ボット」を使った攻撃だ。ボットは正常な通信で社内ネットワークに侵入し、アプリケーション(AP)サーバへの感染やデータベース(DB)サーバへの攻撃を行い、機密情報を盗み出そうとする。
正常な通信のためファイアウォールをすり抜け、不正侵入検知システム(IDS)や不正侵入防止システム(IPS)でもアラートが発生しない。脆弱性を突いたネットワーク感染やメールの添付ファイル、ウェブサイトの閲覧、誘導、USBメモリやデジカメ、音楽プレイヤーといった外部記憶媒体など、複数の感染経路を持つことも特徴となっている。
最近増加しているのは、特定の企業を狙うメールによる攻撃で、実在する上司などからのメールを装って添付ファイルを開かせようとするというものだ。添付ファイルを開くと不正プログラムが実行され、ボットをダウンロード。ボットは複数の不正プログラムをダウンロードしたり自身のアップデートしたりするとともに、バックドアを開くなど、複数の不正操作を行う。そしてネットワークなどの管理者権限を持つ担当者のアカウントを盗み、担当者になりすましてDBにアクセスし機密情報を盗み出す。
専用端末を狙った攻撃も増えていると松田氏は言う。しばしば「閉じられた(クローズド)ネットワークは安全」と聞くが、これは誤解だとしている。事実、Stuxnetも閉じられた施設に侵入し、不正な操作によって爆発の危険性もあったという。PSNも同様で、PS3や「プレイステーション・ポータブル(PSP)」のみでアクセス可能な閉じられたネットワークであったが、“脱獄”されルートキーが公開されていた。この段階で対策を検討していたかどうかも気になる点だという。
APサーバを狙う攻撃も増加している。APサーバはネットに公開されているサーバであり、そのバックエンドにはDBサーバなどがあり、情報漏えいなどの被害につながりやすい。松田氏は攻撃の例としてSQLインジェクションとクロスサイトスクリプティングを挙げ、対策方法として脆弱性対策とログ監査、ファイルの改ざん検知を挙げた。具体的には、ツールによる定期的な脆弱性検査とネットワークツールの導入があるとした。
ZDNet Japan 事業継続フォーラムのご案内
朝日インタラクティブは6月22日、都内で「ZDNet Japan 事業継続フォーラム」を開催します。ヤマト運輸 情報システム部長による基調講演「ヤマトグループが取り組んだ広域災害対策の歴史」、仙台のIT企業 トライポッドワークスによる特別講演「大震災で通信と物流がストップ--仙台のIT企業はいかにして事業を継続したのか」などを予定しています。皆さまのご参加をお待ちしております。
Keep up with ZDNet Japan
ZDNet JapanはFacebookページ、Twitter、RSS、Newsletter(メールマガジン)でも情報を配信しています。現在閲覧中の記事は、画面下部の「Meebo Bar」を通じてソーシャルメディアで共有できます。東日本大震災の情報は、特設サイト「ZDNet Japan after 3.11」にまとめています。
