セキュリティコラム

最近の記事

• 止まらない情報漏えい「紛失」
• 止まらない情報漏えい「標的型メール攻撃」
• 内部不正はなぜ起こるか？
• モバイルパソコンの暗号化
• いざという時

• コラム

バックナンバー

選択してください 2015年7月 2014年9月 2012年9月 2012年5月 2012年3月 2011年11月 2011年9月 2011年7月 2011年6月 2011年4月 2011年3月 2011年2月 2011年1月 2010年12月 2010年11月 2010年10月 2010年9月 2010年6月 2010年3月 2010年2月 2009年12月 2009年11月 2009年10月 2009年9月 2009年8月 2009年7月 2009年6月 2009年5月

平成23年9月19日の報道によると、防衛・原発関連の企業がサイバー攻撃を受け、ウィルス感染が確認されたとのことである。攻撃の手法は標的型サイバー攻撃（標的型攻撃）と呼ばれる方法で、経済産業省によると次のように定義している。

---------------------------------------------------------------------------
特定の組織・人を標的として、主として、組織・人の機密情報を詐取等することを目的としたサイバー攻撃

（1）攻撃の成功率を高めるため、その組織・人を信じ込ませるようにその組織と業務上関係のある組織・人を騙り、あるいは公的機関を装ってメールを送信する等して、そのメールの添付ファイルに情報を窃取等するプログラムを密かに埋め込むなどの手法（ソーシャル・エンジニアリング）を使うことが多い。
（2）攻撃者がソーシャル・エンジニアリングによらずに攻撃対象の組織・人の使用するITシステム中のセキュリティ上の弱点（ぜい弱性、又は、セキュリティ・ホールという）を直接突いた標的型サイバー攻撃もある。
（3）海外では、（1）のような詐欺的なメールの送信行為を「スピア・フィッシング」又は「ターゲッテッド・フィッシング」と呼んでいる。我が国では、これを一般に「不審メール」と呼んでいる。
（4）なお、経済的利得や国家機密取得のための秘密情報の窃取・詐取等と関係がなく、情報システムの機能をダウンさせるDoS攻撃やホームページの書き換え等の攻撃は、特定の組織・人物に対する攻撃であっても「標的型サイバー攻撃」とは呼ばない。

[参考資料]
標的型サイバー攻撃への対応について～参考資料～
平成23年5月27日　経済産業省　商務情報政策局
http://www.meti.go.jp/committee/kenkyukai/shoujo/cyber_security/005s_01_00.pdf
---------------------------------------------------------------------------

今までのコンピュータウィルス（マルウェア）は不特定多数に感染させることを目的としている事が多かった。標的型サイバー攻撃はターゲットが明確になっている点が今までのものと異なる。

FireWallによるアクセス制御やアンチウィルスソフトの導入などのセキュリティ対策は、多くの企業がすでに実施済みであり、自分の会社は大丈夫と考えている人がほとんどであると感じる。実際、筆者が会社で利用しているPCにもウィルス検知プログラムがインストールされており、日々パターンファイルが自動的にアップデートされている。万が一、PCにウィルスが入り込んだとしてもすぐにアラートが上がるはずである。

ところが、標的型サイバー攻撃で送りこまれるウィルスはこのアンチウィルスソフトに検知されないように作られているらしい。新たなウィルスを作ってはターゲットを絞って送りこんでくるので、ウィルス検知のパターンファイルの対応が間に合わないようだ。したがってPCの利用者は、ウィルスやマルウェアなどが送り込まれてきたことにすら気がつかないケースが多い。こうして送りこまれたウィルスやマルウェアは、その後、内部の情報を盗み取る動きを行うようになる。その手口はさまざまだが、たとえば、ウィルスに感染したサーバが海外にある特定のウェブサイトに勝手に接続し、そこからサーバ内の情報を盗み取られるというようなことが発生する。もし内部の機密情報を盗み取られてしまった場合には、企業活動に深刻な影響をもたらす危険性が生じるし、アカウントやパスワードに関する情報が盗まれたとなると、2次被害や3次被害さえ引き起こしかねない。

いままで、企業のセキュリティ対策といえば防御することを重点的に行ってきた。もちろん今後も防御は必要ではあるが、標的型攻撃の例からもわかるように、攻撃する側は必ずその防御を突破するための巧妙な仕掛けを考えてくる。もはや防御だけでは十分とはいえず、サイバー攻撃などの事故が発生することを前提とした仕組みも必要な時代になってきていると言える。特にこれらのサイバー攻撃はネットワーク経由で行われることがほとんどであり、ネットワーク上で何が起こっているかを正しく把握することが、サイバー攻撃の実態を把握するために不可欠なものになってきたといえよう。

インターネット上でどのようなことが行われているのかをすべて把握することはとても困難であるが、ネットワーク通信を「見える化」しておけば、標的型攻撃メールの到来の実態や、ウィルスに感染した後の情報漏えい経路、漏えいした情報の内容などを特定することができる。「誰が」「いつ」「どのような内容を」「誰と」通信したかを迅速に把握する仕組みを作り上げておけば、標的型攻撃を未然に防止する製品と組み合わせることもできるので、防御を強化する面でも役に立つ。

標的型攻撃の被害は増加しており、システムに侵入するための常套手段として使われだしているようだ。このまま放置すれば被害はますます深刻なものになっていく。どのような組織が、いつサイバー攻撃を受けるかわからない状況になりつつある中、被害を食い止めるための仕組みを考える必要がますます高まっていると感じている。

[参考サイト]
NEC、標的型攻撃を防止する「セキュリティ可視化ソリューション」を提供
http://japan.zdnet.com/security/analysis/20414841/（引用元　ZDNet Japan）

Tweet