朝日インタラクティブは2月19日、東京・千代田区内で、「ZDNet Japan セキュリティセミナー2014 冬」を開催した。後を絶たないサイバー攻撃は、より洗練され、被害者(ターゲット)も“面から点へ”と細分化していく傾向にある。被害も拡大、深刻化している。
こうしたなか今回のセミナーでは「リスクの把握なくして対策なし--いま存在する脅威を再認識する」を主題に、リスクの最新状況を詳細に伝え、対策が困難な理由などを総合的に考察した。そのうえで現実的なリスク最小化への道筋、コストとの均衡点をどう考えればいいのかなどを提言、理想的なセキュリティ対策のあり方を探るヒントを示した。
不審メールやウイルスだけへの対策だけでは不十分
基調講演には、独立行政法人 情報処理推進機構(IPA) 技術本部 セキュリティセンター情報セキュリティ技術ラボラトリー研究員の大森雅司氏が登壇、「標的型メール攻撃の脅威と、対策の設計・運用」と題し、IPAが把握している攻撃の実例をベースに、特に標的型メール攻撃について解説、対策を講じる際の指針、その運用について、現実的に助言した。
標的型メール攻撃の目的は、企業や政府機関の機密窃取、すなわち、知的財産情報や、組織の活動情報を収集することだが、大森氏は「大手企業や官庁が、“標的”の中心ではある。しかし、それらだけではなく、中堅企業も狙われている」と指摘、大手以外の企業にも警鐘を鳴らす。
このような不正アクセスはなぜ減らないのか。標的型メール攻撃は基本的には、不審なメールなどを足掛かりにして、侵入してくるのだが、従来、このような不審メールや、ウイルスなどのマルウェアにばかり、焦点があてられていた。ところが実際には「不審メールやウイルスは、部分的な問題であり、これらだけへの対策を実行すれば良いとの認識が生まれたが、それだけでは不十分」(大森氏)であるという。
最近の標的型メール攻撃は、メールによるウイルス感染ではなく、メールにより組織内部に侵入し、バックドアを開設、やがて、サーバを乗っ取るという流れだ。「攻撃者の活動する範囲は、クライアントPCだけではなくシステム全体に及ぶ。本格的な攻撃は、ウイルス感染ではなく、パスワードが抜き取られるなど、人による不正アクセスが中心であり、このあたりを考えて、対策を立てるべき」と、大森氏は話す。
侵入後を考慮、監視強化で“足跡”を捕捉
それでは、対策はどうすればいいか。従来のネットワークセキュリティは、外から内への侵入を阻止しようとの、境界防御の概念だった。しかし、この発想では、侵入されてしまった後の防御には、限界がある。「侵入されたとしても、そこからの被害拡大を防ぐことに重点が置かれるべきであり、システム設計策の考え方としては、攻撃者が組織内を動き回れぬよう、監視を強化して“足跡”を見つけ出し、内部情報を探し出されることを防ぐ」(同)ことが基本となる。
※クリックすると拡大画像が見られます
IPAでは、「『標的型メール攻撃』対策に向けたシステム設計ガイド」を作成、被害を受けた企業などへの聞き取り調査や攻撃分析から得られた情報を基に、標的型メール攻撃の全体像と対策の要点を紹介している。最後に大森氏は「組織に適合した対策を実行し、ITを最大限活用して、攻撃しづらいようなシステム設計を目指そう」と述べた。
ユーザー部門が使っているソフトを認識しているか?
一方、特別講演では、ラック JSOC チーフエバンジェリストの川口洋氏が、「サイバーセキュリティ 今やるべき対策」との表題で、水飲み場型攻撃、それに伴う、ウェブ改ざん事件、会員制ウェブサイトに対する大量の不正アクセス事件、大規模なDDoS事件など、2013年に発生した、重大なサイバー攻撃の傾向を改めて整理し、今やるべき対策について解説した。
2013年には、5月末頃から、国内の複数のウェブサイトが改ざんされる事件が頻発した。8月には、ネットバンキングを介した不正送金を企んだ攻撃者により、ウイルスに感染させられたPCが1万5000台あることが発覚した。川口氏は「ウェブサイト改ざんなどサーバ攻撃により被害を受けたら、きちんと申告すべき。これらの事件が把握されていれば、社会全体への注意喚起、対策の推奨などがしやすくなる」と指摘する。
また、モバイル化が一層進展したことから、スマートフォンに対する脅威も大きくなってきている。Androidを狙ったマルウェアの特徴は、通常のアプリケーションに見せかけ、起動すると、裏で情報窃取などを行うという。これらは、サードパーティーのマーケットから広がっていくことがあるため「スマートフォン向けのアプリケーションは、キャリアなどが設けているマーケットから入手すること」と話し、注意を促した。
さらに、2013年12月末に一つの象徴的な出来事として、「Baidu IME問題」があった。エンドユーザーが入力した文字列を、IMEが外部へ無断で送信させてしまうことがわかった。川口氏は「変換効率を向上させるのが目的であるとしているとはいえ、勝手にデータを出しているのは問題」と語る。だが、川口氏は、Baiduだけの問題ではないとも指摘する。「エンドユーザーは自分がどのようなソフトを使用しているのか認識しているか。企業・団体のシステム管理者は、組織内のソフト使用状況を十分に掌握しているか」が問われていることになるからだ。
ログは1年保存--ウイルススキャンの記録を確認
すぐにやるべき対策として、以下の点が挙げられた。システム全体では、ログイン履歴をはじめ、ログを最低でも1年は保存すること。サーバについては、アプリケーションのバージョンやウイルス対策ソフトのスキャンログを確認すること。クライアント側では、使用しているJavaのバージョン確認、Adobe ReaderやFlashPlayerなどのアップデート、ウイルス対策ソフトのスキャンログ確認。人・組織の領域では、緊急時の連絡網の整備。セキュリティ情報の収集。川口氏は「これらの対策は、費用も手間もそれほどかからない。すぐに実行すべき。情報セキュリティ対策は事業継続の観点から、経営者の理解を得るべき。予算と、インパクトのバランスの落とし所が重要となる。また、人材と情報が明暗を分ける」と述べ、講演を終えた。
※クリックすると拡大画像が見られます
また本セミナーでは、下記の企業の講演も行われた。こちらも別途、お伝えしていく。
- ハッカーからの通信を完全に遮断できれば対策は一変する--新テクノロジーをデモ公開
(ジュニパーネットワークス株式会社) - Sandboxに耐性を持つ攻撃に、対処は可能か?進化する攻撃者と戦う方法
(ファイア・アイ株式会社) - リスクの「完璧な排除」はもう難しい--情報が漏えいする前に、内外の脅威を適切に把握せよ
(バーダシス株式会社)
