標的型サイバー攻撃対策はイントラネットの自己点検から

　アズビルセキュリティフライデーは、パスワード運用強化ツール「認術修業」やファイルサーバ専用アクセスログ収集システム「VISUACT」といった、イントラネットを中心とした、ITセキュリティの基礎となる領域にこだわり続ける企業である。

　標的型サイバー攻撃をテーマに、同社代表取締役佐内大司氏に話を聞いた。

●標的型攻撃こそが本来の攻撃の姿

　標的型攻撃と普通の攻撃は何が違うということですけれど、普通の攻撃の定義はあまりはっきりしていませんが、普通の攻撃には自己顕示の部分がすごくあったのではないでしょうか。旗取っちゃったぞ、ホームページ書き換えちゃったぞ、という。一方で標的型攻撃には自己顕示の部分はまったくありません。

　標的型攻撃でも何が何でもやり遂げるための複数の手を打って、最終的に何かを取ってきます。しかし、侵入して、痕跡を消して、バックドアを作るというところで、絶対に見つからないように、隠蔽にありとあらゆる最善を尽くしたアプローチを行う、という点が標的型攻撃において非常に高度化しているように感じています。ただ単純に情報を取ったり、ホームページを改ざんするというようなものとは、そこが本質的に違っているのでしょう。しかし、これが教科書通りのハッキングなのではないでしょうか。私としては標的型攻撃こそが本来の攻撃の姿だと思っています。

　その標的型攻撃で行われる、隠蔽工作の手法の中で、最も簡単なものは、リテラシーの低い、いわゆるIT弱者を利用することです。IT弱者は安易に行動しますし、それに気がつきません。その弱者を使い、多数の踏み台を経由させることによって、攻撃の足が付かないようにしていくことができます。

●標的型攻撃ではイントラネットの脆弱なアカウントが狙われる

　IT弱者が標的型攻撃によって攻撃を受け、イントラネットにマルウェアが入り込んでしまうと、狙われるのは脆弱なアカウントです。イントラネットの中には、ほとんど監査されてないサーバーがあって、消し忘れアカウントがあったり、パスワードが付いてないアカウントがあります。また各企業は例えばパスワードは8文字以上にしなきゃいけない、記号を入れなきゃいけない、3ヶ月に1回替える、などのルールを決めていますが、守られずに簡単なパスワードを設定していることも多く見られます。

　このような脆弱なアカウントはIT管理者は見つからないと思ってるのですが、ハッカーの視点では見つかりますし、同様にマルウェアもその脆弱なアカウントを見つけてしまいます。そして、脆弱なアカウントを利用してどこでも自由にアクセスできて、好きなところに拡散させ、自由にログを消すことができるようになるなど、簡単に活動ができるようになってしまうのです。

　そして万が一標的型攻撃でやられたことが判明したときは、何が原因なのか、セキュリティ専門会社の調査を受けることになります。調査報告があがったときに、パスワードの付いてない管理者アカウントがあったとか、管理されてないサーバーがあったとか、セキュリティポリシー違反のアカウントが出てくるということは、実はリスクマネージメント上もいちばんいけないことなのです。

●管理の甘いアカウントをスキャンしてリストアップ

　そのようなイントラネットに存在する、脆弱な、管理の甘いアカウントを、スキャンしてリストアップするのが弊社から発売しているSS2000です。2003年当時だとまだセキュリティ教育が進んでなかったので、40％のアカウントにハッカーが侵入できてしまう状態でした。最近ではだいぶ改善されてますが、でも、まだまだ数字に出てくるくらい多数の脆弱なアカウントが見つかります。

　全部の脆弱なアカウントがなくならないまでも、定期的な検査を行っていなかったのと、そういう検査を定期的にやっているのでは、リスクマネージメントの点からも全然違います。ですから、定期的な検査を啓蒙できればいいと思っています。そろそろ自己点検の時代じゃないでしょうか。

●標的型攻撃対策にはネットワークをモニターすることが極めて重要

　また、標的型攻撃によってイントラネットにマルウェアが入り込むと、中でいろいろな活動をはじめます。しかしながらマルウェアはネットワークの中でどれがサーバーかということを必ずしも認識してません。見つけたノードにはすべてアクセスしようとしますので、その普段と異なる通信を検出することによって、マルウェアが検出できると考えています。サーバーへのアクセスはクライアントからサーバーに向いているはずですし、行くはずのないところに対してWindowsネットワークのアクセスが飛んだらおかしいですよね。

　このように、標的型攻撃に対しては、ネットワークをモニターすることが、極めて重要になると考えています。マルウェアも内部ネットワークにアクセスしない限り、内部の情報は取れないわけですから、内部のアクセスをきちっと記録していくということが重要だろうと。出口対策ブームで出口のことばかりいいますけど、出ていくとは限らないわけですし、マルウェアが高度化していく中でどうやって出ていくかというところも高度化していくわけですから。

　そういう意味で、ネットワークの多点でログを取りましょう、というのがVisuact-Liteという製品になります。動作を軽めにして、たくさん設置して、イントラネットの細かいデータをたくさん取りましょうというのがコンセプトです。ただ、これはコストのかかることなので、いかに監視するポイントを集約して、例えばセグメント間や、部門間のどこに集約して監視するのかということが、対策上は重要になってくると思います。