被害が相次ぐ標的型サイバー攻撃に、有効な対策はあるのか?
国内重要産業・政府機関への標的型攻撃が露呈した夏
2011年の情報セキュリティ分野における最も大きなパラダイムシフトは「標的型サイバー攻撃」の急増とその認知が、国内でも広く一般化したことだと言ってもよいだろう。
特定のWebサイトを狙うDDoSなどの標的型サイバー攻撃はよく知られていたが、ここにきて明らかになったのは、特定の組織をターゲットに、ソーシャルエンジニアリングやゼロデイ脆弱性などを用いて侵入し、長期にわたってその組織の機密情報などを不法に詐取するタイプの諜報型の攻撃である。
主な手口としては、あたかも業務に関連する本物のようなメールを送りつけて本人を信用させ、メールに添付されているマルウェア入りファイルを開かせたり、メール本文に記したURLをクリックさせて巧妙に改ざんした偽のWebサイトにアクセスさせたりする。すると、添付ファイルには、OSやソフトウェアの脆弱性を突くマルウェアが仕組まれており、そのPCは攻撃者によって完全にコントロール可能となる。偽のWebサイトへのアクセスでも同様で、うっかり悪意あるURLをクリックするとマルウェアがダウンロードされてPCに感染し(これをドライブ・バイ・ダウンロードと呼ぶ)、マルウェアが駆除されるまで、長期間にわたって機密情報や知財情報が外部サーバーに漏えいし続けることになる。
防衛関連・化学メーカーなど国内の重要基幹産業や複数の政府機関が標的型サイバー攻撃に晒されていたことの深刻さを受け、警察庁も12月7日に発表した「平成23年版『治安の回顧と展望』」の中で、「国の安全保障に影響を及ぼしかねない問題として顕在化」、「サイバー空間の脅威に対する対処能力の強化が喫緊の課題」と警戒の必要性を訴えている。
深刻なのは多種のソフトウェア脆弱性
「中小企業も標的型サイバー攻撃と無関係ではない」と話すソリトンシステムズの荒木粧子氏
だが、「その標的型サイバー攻撃の脅威も大きく変化している」と語るのは、ソリトンシステムズ マーケティング本部 製品担当マネージャの荒木粧子氏だ。マルウェアの作成ツールやマルウェアの亜種を作る改変ツールが続々と登場したことで、大量のマルウェアが発生し、従来の防御手法では対応できない攻撃が日常化し始めていると指摘する。
「マルウェアの大量発生よりも深刻なのが、様々なソフトウェアの脆弱性が狙われていること」と強調する荒木氏は、セキュリティパッチが提供されない脆弱性も多量にあることはあまり認識されていないと懸念する。
OS以外にもMicrosoft OfficeやAdobe、QuickTime、ZIP、Javaなど日頃活用するアプリケーションや技術の他、フォントなど広く一般化したものの脆弱性までもが狙われるようになっているという。
もちろん、それらの提供元からも頻繁なタイミングでパッチが配付されてはいるが、事務系PCならまだしも、工場で使われている制御系端末まで管理者が全てパッチの適用を管理するのは困難かもしれない。
IT管理者には辛い現実 - 攻撃の高度化
また、「IT管理者にとっては辛い現実かもしれないが、高度化している攻撃トレンドも直視しなければ、対策は難しい」という荒木氏は、その傾向を2つほど挙げる。
まず、内部の関係者しか知り得ない情報や専門用語をメールの件名や本文に含ませて受け取った人の警戒心を解くなど、戦術的に高度化していること。何度か通常のメールのやり取りをした後にマルウェアが添付されるケースもあるため、情報セキュリティリテラシーの教育による防御も限界があると考えざるを得ない状況にあると荒木氏はいう。
「ソーシャルエンジニアリング的な手口に対し、教育などの人的対策も各方面で提案されているが、実際にはそれだけでは心もとない。同時に、システム側での防御対策も必要と考えている」
次に、ウイルス対策ソフトの回避手法が高度化していること。大量のマルウェアの出現により、従来のシグネチャ・パターンマッチング方式が破綻しつつあるだけでなく、各種のヒューリスティック方式(マルウェア特有のファイル形式や振る舞いなどで判別する方法の総称)の回避や、検知が非常に困難なデバイスドライバーやBIOSなどに潜むものも一般化している。
国家レベルでの標的型サイバー攻撃も顕在化
標的型サイバー攻撃の中には既知の脆弱性を利用したごく一般的な攻撃に加えて、StuxnetやDuquなど、常識では考えられないような時間と人手をかけて作られ、国家レベルで仕組んだ思われる非常に高度な標的型サイバー攻撃も発生している。
例えば、StuxnetはWindowsの脆弱性を利用して、USBメモリー経由でイランの核施設ネットワークに深く静かに侵入し、感染に気付かれないように工作をしながらウラン濃縮作業に必要な遠心分離器の駆動装置に深刻なダメージを与え、イランの核開発計画を妨害したと言われている。
「潤沢に時間と人材を投資したロケットサイエンス的な攻撃は今のところ多くは確認されていないが、実は報道されているのは氷山の一角ではないかとも思える。従来のセキュリティ対策の徹底とともにさらに高度なリスク管理対策が求められている」
そう指摘する荒木氏は、標的型サイバー攻撃の技術レベルに比べて日本の社会インフラの脆弱性も心配する。電気、水道、ガスなどの制御システムの約4割がメンテナンスなどのためにインターネットに接続されており、そのシステムを管理する端末の約9割がWindowsという経済産業省の報告を見ると、抜本的な対策を検討すべき時期に来ていると言えるだろう。
検疫機能と振る舞い検知型IPSのダブルの防衛機能を持つCounterACT
そうした標的型サイバー攻撃を含むリスク管理を考える上で、ソリトンシステムズの「CounterACT」に注目してみたい。この製品は、不正接続端末やポリシー違反端末の事前検知をエージェント/エージェントレスの両方式で実行する検疫機能と、内部ネットワークで拡散活動を行うマルウェア等を独自技術の振る舞い検知型IPSで検知・防御する事後防衛機能のダブル防御を、1台で実現したユニークな統合セキュリティアプライアンス製品だ。
完全エージェントレスでの運用が可能なため、各PCでのエージェントのインストール作業が不要なだけでなく、ネットワーク監視型のため、PCやスマートデバイスなどの持ち込み端末の検知・排除、プリンターなどのネットワーク接続機器も把握・可視化することで、ネットワーク上のセキュリティリスクを洗い出すことができるのが特徴だ。
また、CounterACTはスイッチのミラーポートを使って通信監視するアウトオブバンド方式を採用しているため、既存環境に手を加えることなく設置することができ、トラフィックにも負担をかけない。万一、CounterACTがダウンしても通信障害を引き起こすことがないため、工場などのクリティカルなネットワークにおけるマルウェア拡散検知・防御対策としても多数採用されている。
ITセキュリティガバナンスを末端まで拡大するNetAttest LAP
さらに、CounterACTと連携する「NetAttest LAP」を使えば、監視・ブロック範囲を広げることができる。NetAttest LAPは、違反端末やマルウェア感染端末の接続を監視しブロックする手のひらサイズのアプライアンスだ。CounterACTが通信監視できない各拠点などに設置することで、ARP(Address Resolution Protocol)トラフィックを監視して端末を検知し、CounterACTからブロック指示が行われるとARP操作で問題の端末をネットワークから隔離する。導入も簡単で、小型で安価なため、ITセキュリティガバナンスの範囲を容易に末端まで拡大することができる。
CounterACTとNetAttest LAPの連携で包括的な通信制御強化を実現
「標的型サイバー攻撃には、これさえやっておけば大丈夫、という単純な対策は存在しない」と荒木氏は指摘する。検疫ネットワークや内部ネットワークでのマルウェア拡散対策は、ITセキュリティガバナンスの一環として大手の企業は行われているが、中小企業や関連企業は後回しになっているケースも多い。標的型サイバー攻撃は、セキュリティ対策が手薄となりがちな関連企業や取引先を経由し、最終的なターゲットに対して行われることもある。今後はこうしたシステムを活用しながら、包括的なITセキュリティガバナンスに取り組みことが重要ではないだろうか。
手のひらサイズのアプライアンス「NetAttest LAP」