【中小企業のIT活用術 Vol.8】中小企業はいかに標的型攻撃に対応するか(前編)
エンタープライズ
セキュリティ
/
企業セキュリティにおいて、標的型攻撃の対策が叫ばれている。といっても、これは最近の傾向というより、昨年あたりから国内の大手企業や行政機関などが被害を受け、新聞やテレビなどでも報道されるようになってからだ。いまだに標的型攻撃が話題になるのは、攻撃が続いており被害が一向に減らないためといえるだろう。
そもそも、標的型攻撃とはどのような攻撃を指すかというと、文字通り特定のターゲットに対して明確な意思や目的を持って行われる攻撃のことである。一般的には、組織の一人または小数に対して、内部の人間や実在の組織や人物になりすましたメールを送りつけ、ウイルスに感染させたり、マルウエアの実行をさせることで、情報の窃取やサーバーへの侵入したりといった攻撃をすることが多い。
ここで注意したいのは、標的型攻撃の用語定義において、特定の標的、特定の目的の存在が定義されているが、対象や目的は定義されていない。目的は産業スパイだったり顧客や社員の個人情報だったり、アノニマスのような自分たちの主張を周知させるものだったり、あるいはデータ破壊・システム破壊といった妨害・テロ行為、最近では国家の関与が疑われるサイバー攻撃まで、実に多岐にわたる。そのため、感染させるウイルスや実行させるマルウエア、利用する脆弱性なども多岐にわたり、かつその攻撃には、カスタマイズ、もしくは開発されたプログラムまで利用される。したがって、一口に標的型攻撃といっても、その対策や防御方法は一定ではない。これが、標的型攻撃対策を難しくしている要因でもある。
機械的、自動的に、不特定多数に攻撃メールやウイルスをばらまくこれまでの攻撃とも違い、「明確な意思」の主体となる人間が強く介在する攻撃でもある。そのため、なりすましメールによる攻撃以外にも、USBメモリのような外部メディアを利用したり、ソーシャルエンジニアリングの手法による攻撃を組み合わせてくることもある。そして、侵入が成功すると、それが発覚しないような工作(正規のソフトを振舞う、ログを改ざんするなど)も行うため、攻撃そのものの発見が遅れることもしばしばである。
■脆弱な中小企業は踏み台として利用される
冒頭に述べたように、この2年ほどで標的型攻撃は、大企業や政府機関などを中心に攻撃手法としてはポピュラーなものになってしまったというありがたくない状況がある。さらにありがたくないのは、2012年に入ってからそのターゲットが大企業だけでなく中小規模の企業にも及んでいることだ。シマンテックの発表によれば、2012年上期に発生した標的型攻撃のうち、従業員250名以下の企業を狙ったものが36%を占めており、2011年末の時点と比較して倍増しているという。
その理由は、攻撃者の最終的な目標や目的は変わっていないが、それを達成するために大企業や政府機関の取引先などが、攻撃ポイントとして利用され始めていることが考えられる。大企業などでは、これだけ問題となってきた今、標的型攻撃への対策も一応は進んでいる。となれば、攻撃者は対象を直接狙うのではなく、周辺から侵入ポイントを探すことになる。取引先にはセキュリティ対策が十分でない企業もあるだろう。直接攻撃されたことがなければ、標的型攻撃への防御も薄いことは容易に予想されるし、実際そうであることが多い。
■侵入を前提としたセキュリティ対策が必要
そうでなくても、アンダーグラウンドでは、侵入ポイントとなる企業のサイトやサーバのリスト、標的型攻撃に使えそうなメールアドレスやアカウントなどの情報が取引されている。このマーケットで活動しているハッカーには、そのような情報だけ集めて販売している者やグループも存在する。ハッカーたちは標的型攻撃の意思がなくても、DDoS攻撃に利用できるPCやサーバ、侵入しやすいWebサイト、すでに侵入して情報を引き出せるサーバといった情報を、販売目的で収集し続けてている。
セキュリティ対策についていえば、いまやスパムメールやウイルス添付メール、怪しいサイトへのアクセス、不正なダウンロードだけに注意していればいいという時代ではないということだ。業種や企業の規模の関係なく、インターネットにつながっていれば常に攻撃されている(下手をすればすでに侵入されている)前提で対策を考える必要がある。
後編では、具体的な対策について解説する。
特集
この記事の写真
/
