技術トレンドや、コンピュータネットワークの使われ方の変化とともに、企業がとるべきセキュリティ対策も移り変わっていく。攻撃者は、新たに登場する技術やデバイス、多くの人々が利用しているプラットフォームやネットサービスの動向をつぶさに調べ、従来にない攻撃手法を編み出し続けている。
巧妙化する「新たなタイプの攻撃」に、どう対処すべきか
彼らが生み出す新たな攻撃手法を常に調査し、キャッチアップしていくのは、企業のシステムセキュリティ担当者にとって頭の痛い問題だ。IPAセキュリティセンター(IPA)が発表した「2011年版10大脅威」という資料によれば、人的原因による情報漏えいや、急速に普及が進むスマートフォンへの攻撃などと並び、第5位に「複数の攻撃を組み合わせた新しいタイプの攻撃」という項目が挙げられていた。
IPAによると、この「新しいタイプの攻撃」は、人間の心理的な弱点につけこむ「ソーシャルエンジニアリング」と呼ばれる手法を活用することや、ゼロデイ脆弱性の利用、ネットワークやUSBデバイスなどを使った拡散、外部の指令サーバとの通信、個別システムに特化した攻撃といったものが特徴として挙げられている。従来には、個別に使われていた攻撃手法を複合的に使って、システム破壊や機密情報の窃取を行うのだ。
APT(Advance Persisutent Threat)などとも呼ばれるこうした脅威は、特定の企業や組織を狙う「標的型攻撃」の一部として使われるケースもあり、ゼロデイ脆弱性や未知のマルウェアなどを利用することから、従来のウイルス対策ソフトやセキュリティ対策ソフトなどでは防御ができないケースも多いという。
「APT(Advance Persistent Threat)」
IT管理者が直面する危機--これまでの対策が使えない!?
これまでの防御方法が使えない、こうしたタイプの攻撃に対し、打てる対策にはどのようなものがあるのだろうか。
まず、「これまでの対策が使えない」からといって、「これまでの対策が必要ない」わけではない点をしっかりと認識しておきたい。メールであれば、spfやDKIMといった送信者認証技術に加え、従来のウイルス対策、スパム対策など。WebであればURLフィルタといったセキュリティ基盤は、既知の脅威に対する防御として必要不可欠なものだ。
その上で、「新しいタイプの攻撃」において多く利用される、ゼロデイ脆弱性や未知のマルウェアといった脅威にどう対応するかを考える。考えられる対策は「マルウェア感染を引き起こし得る未知の経路をふさぐ」「外部への通信の中から、悪意のある通信をとらえてブロックする」といったものになる。