JP
今なお止まらない標的型攻撃
取引先や顧客、あるいは監督官庁を騙ってメールを送信し、添付されたファイルを開くとマルウェアに感染する標的型攻撃の被害が継続して発生しています。攻撃者はマルウェアに感染したパソコンを遠隔操作し、組織内のサーバーに保存された機密情報の摂取などを行います。
IPA(独立行政法人情報処理推進機構)によれば、同機構が運営する「標的型サイバー攻撃特別相談窓口」には2021年度に375件の相談が寄せられ、そのうち94件はサイバーレスキュー隊が支援、さらに9件についてはオンサイトで対応したとしています。このように、標的型攻撃は大きな脅威であり続けているのが現状であり、引き続き警戒しなければなりません。
標的型攻撃の手法が進化していることにも目を向ける必要があります。業務で利用するために開発された遠隔操作ツールを用いることで、ウイルス対策ソフトによる検知を逃れる手口が広まっているうえ、攻撃の痕跡を残さない「ファイルレス攻撃」と呼ばれる手法もあり、対策が難しくなっているのが現状です。
とはいえ、この標的型攻撃の対象となり、機密情報が盗まれれば経営に大きなダメージを被るのは間違いありません。たとえば顧客の個人情報がこれによって漏えいすれば、顧客への賠償金支払いで多額の損失が発生するだけでなく、企業イメージが損なわれることも十分に考えられるでしょう。製品の設計図やソフトウェアのソースコードが盗まれ、その後のビジネスに大きな影響が生じるといったことも起こりえます。
このように標的型攻撃に代表されるサイバー攻撃は経営リスクとして認識し、経営課題として取り組む必要があります。
- 「Cyber Kill Chain®」(Lockheed Martin)
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
一刻も早く従業員の安否を確認するために
このような標的型攻撃の対策を考える際に参考となるのが、標的型攻撃を行う攻撃者の行動を以下の7つのステップに分解した「サイバーキルチェーン」です。
| 偵察 | 攻撃対象の調査 |
|---|---|
| 武器化 | 攻撃に用いるマルウェアなどの作成 |
| 配送 | メールやWebサイトなどでマルウェアを送信/配信 |
| 攻撃 | 攻撃対象者によるマルウェアの実行 |
| インストール | マルウェアへの感染 |
| 遠隔操作 | マルウェアを介した遠隔操作の実施 |
| 目的実行 | 情報の摂取や改ざんなど、当初の目的を実行 |
標的型攻撃を防ぐセキュリティ対策を考える上では、ネットワークのどのポイントで対策を実施するか検討する必要があります。具体的にはネットワークの「出口」と「入口」、そして社内ネットワークの「内部」に大別することができます。また重要なデータが格納されているクラウドも「内部」と同様に対策を講じるべきでしょう。これらの各々のポイントでセキュリティ対策を講じる「多層防御」とすることで、標的型攻撃のリスクを低減することが可能です。
セキュリティ対策の中に「予防」と「防止」、「記録」、そして「事後対応」のそれぞれの仕組みを組み込んでおくことも意識すべきです。もちろん標的型攻撃を予防できればベストですが、どれだけセキュリティ対策を講じてもサイバー攻撃のリスクをゼロにすることは不可能です。そこで予防できない場合に備えて防止から記録、事後対応まで視野に入れておくべきでしょう。
サイバーキルチェーンにセキュリティ対策を当てはめる
サイバーキルチェーンの各ステップにおいて、予防/防止/記録/事後対応の仕組みを提供するセキュリティソリューションを当てはめたのが以下の図です。
| Menlo Security | Webサイトのコンテンツやメールを「無害化」し、マルウェアの組織内への侵入を阻止するセキュリティソリューション。検知せずに無害化するため、未知のマルウェアやゼロデイ攻撃にも有効 |
|---|---|
| TMWSaaS (Trend Micro InterScan Web Security as a Service™) |
クラウド上にあるトレンドマイクロのサーバーを利用し、セキュアなWebアクセスを実現。不正なWebサイトへのアクセスや不正なプログラムのダウンロードを防ぐことができる |
| HES (Trend Micro Hosted Email Security) |
メール環境に対し、ウイルス対策や迷惑メール対策、コンテンツフィルタリングなどの機能を提供。未知の脅威を検知するサンドボックスや、コンテンツフィルタリングの機能も備えている |
| VBBS (Trend Micro ウイルスバスター ビジネスセキュリティ) |
ウイルス対策、スパイウェア対策、URLフィルタリング、侵入防止などの機能をエンドポイント(クラインとPC)で利用できる、統合管理型セキュリティソリューション |
| CAS (Cloud App Security) |
Microsoft 365の利用に必要不可欠なセキュリティ機能を装備。メール環境やポータル、クラウドストレージのセキュリティ強化が図れる。不正プログラム解析サンドボックスで未知の脅威を検出することも可能 |
| SSD (セキュリティサポートデスク) |
NTT Comの各種セキュリティサービス※1と組み合わせて利用することで、ログの収集からインシデント発生時の原因究明までを1社で完結。サイバー保険も組み込まれており、3,000万円※2の補償を受けることが可能 |
※1 対象サービス
Arcstar Universal One オプションサービス「インターネット接続機能
(vUTM)」「インターネット接続機能 セキュリティオプション
(TMWSaaSタイプ)」「インターネット接続機能 セキュリティオプション
(VBBSタイプ)」
法人向けOCNサービス「OCN光 IPoE vUTMセット」「ウイルスバスタービジネスセキュリティ(月額版)」
「Network Support Service (NSS)」(「FortiGate」利用の場合)
「マイセキュア ビジネス」
「Cloud App Security」
※2 サイバー攻撃による不正アクセスなどの恐れがある場合、攻撃を受けているどうかの実態調査やログ解析(フォレンジック)、弁護士やコンサル会社への相談費用を最大で1,000万円補償します。また、万一サイバー攻撃を受けて情報漏えい事故が起こってしまった場合には、損害賠償金を最大で2,000万円補償します。
サイバー攻撃は進歩し続けているため、セキュリティ対策は1度投資すれば終わりではなく、継続的に見直しを図り、アップデートしていかなければなりません。その取り組みを加速し、IT環境の安全性を高めるためには、そうしたセキュリティに関する取り組みを経営層がバックアップするべきではないでしょうか。
