企業の9割が気づかなかったサイバー攻撃
その脅威動向と企業がとるべき次の一手

年金機構から大量の個人情報が流出するなど、サイバー攻撃による被害に揺れた2015年。かつては国や一部の企業が保有する機密情報がターゲットと考えられていたサイバー攻撃ですが、今やターゲットは、企業規模や業種を問わず拡大しつつあります。被害から読み取れる教訓は、「誰もがターゲットになる時代」。企業側も、これまでの常識をアップデートする必要がありそうです。

変わるサイバー攻撃、2015年インシデントから見る新たな傾向とは

■標的は、「官庁や機密情報を持つ企業」から「あらゆる企業へ」

サイバー攻撃が激化しています。公表されたサイバー攻撃被害を数えてみると、2014年は1年間で5件だったのに対し、2015年は6月の1ヶ月間だけで15件にも及んでいます(図1)。流出した情報は「不明」を除きすべて個人情報です。従来のサイバー攻撃は、官公庁や一部の機密情報を持つ大企業を標的とするイメージが強いですが、明らかに攻撃対象が拡大しています。

トレンドマイクロ株式会社 フィールドマーケティング部 部長 德永信幸は、「サイバー攻撃のターゲットが個人情報にも広がってきたことで、機密情報がないから狙われないだろうというのは、もはや通用しない時代になりました。多い少ないはあっても個人情報を持たない企業はないので、今やすべての企業が備えるべき問題となっています」と語ります。

■標的型メールの侵入を100%防ぐことは難しい

上記15件を分析した結果、その8割が標的型メールが発端でした。標的型メールは、件名や本文を巧みに装って正規のメールであるかのように見せかけ、添付ファイルを開かせたり不正サイトへ誘導したりして、そのPCを不正プログラムに感染させます。不正なメールは注意していれば気が付くだろうと思うかもしれませんが、現在の標的型メールは非常に巧みになっており、100%防ぐのは難しいのが実情です。

德永は、「少し前までは、日本語がおかしいなど明らかに不正なメールとわかるようなものもあったが、最近は自然な日本語が使われ、より巧妙になっています。業務に関係ありそうなメールを装うだけでなく、公表情報やSNSなどでその企業やターゲットとする人の周辺情報を調査したうえで、もっともらしいメールを送り付けることもあり、かなり注意していても見破るのは難しい。また、100人のうち99人が攻撃メールだと疑ったとしても、1人がひっかかってしまえば、企業内ネットワークに侵入されてしまいます」と警告します(図2・図3)。

人が見分けられないのなら、システムで検知すればいいではないかと思うかもしれません。しかし、最近は不正侵入も正規のポート、正規のプロトコルで行われることが多く、添付ファイルもパスワード付き圧縮ファイルが使われるなど、従来の対策だけでは侵入を防ぐのが困難になっているのです。

■9割以上が外部からの指摘で初めて気づく

さらに注目すべきは、被害の発覚原因の9割以上が外部からの指摘によることです※4。近年のサイバー攻撃は金銭目的であることも多く、昔の攻撃のように技術力を誇示するようなことはありません。目的を達成するまで、じっと潜伏して機をうかがいます。そのため侵入されていても気づきにくく、その間にじわじわと社内に攻撃が広がっていき、サーバの権限奪取など目的に向かって静かに攻撃を深めていきます。その間数カ月ということも珍しくありません。しかし、その攻撃期間は短縮傾向にあると德永は指摘します。「最近は、侵入後短期間で情報窃取までを行う『速攻タイプ』と言える攻撃手法も頻繁に確認されるようになっております。そのため、ますます早いうちに検知することが重要となっています」

このように極めて巧妙で悪質に変容するサイバー攻撃に対し、企業はどう対処すればいいのでしょうか。

今、企業が取り組むべき次の一手とは

■最初に取り組むべき対策は侵入の早期検知

標的型サイバー攻撃に対処するためには、侵入させないことが最も望ましいことは言うまでもありません。とはいえ、ここまで見てきたように、実際にはそれは非常に困難と言わざるを得ませんそこで、次善の策として德永が強く勧めるのが、「早期に検知し、すばやく対処すること」です。「標的型メールに対する入口対策も重要ではありますが、もし既に侵入されていたら、いくら入口を守っても意味がありません。その意味でも、最初に行うべき対策は、内部脅威の検知なのです」と指摘します。

また、初期侵入時の対策(入口対策)では、システムや人の脆弱性を狙い様々な手法を組み合わせた執拗な攻撃に対し、1度防御を破られると、その後の対応は取れません。攻撃側は99回失敗しても1回成功すればよく、どうしても攻撃側が有利になりがちです。

その点、侵入後となると、攻撃側はC&Cサーバとの通信を確立したり、ネットワーク内に感染を広げたりなど一定の動きを続けなければ次の段階に進めません。そのため、それらの通信を検知することによって脅威を発見しやすく、防御側が対策を施しやすいのです(図4)。

■検知後の迅速な対処が課題

早期検知ができたら、当然ながら、それに対して素早く対処することが求められます。德永は、「未知の脅威のような怪しいファイルを検知した場合、まずはそれを解析して不正プログラムかどうかを確認する必要があります。解析には一定の知識が必要で、場合によってはセキュリティベンダーに解析依頼をする必要があります。そして解析の結果、それが本当に不正プログラムだった場合、セキュリティベンダーで、パターンファイルを作成・配信してもらって対応することになります。いろいろなベンダーの製品を使っている場合、これらの連絡をそれぞれ行う必要があり、手間も時間もかかり、企業担当者にもそれなりの知識が求められます」と語ります。

しかし、セキュリティの高度な知識を持った人材を、企業が確保するのは困難な場合もあるでしょう。実際、セキュリティ人材や知識が不足しているとの声も多く聞かれるようになっています。

そこで、検知から対処まで、できるだけ素早く、社内の人的リソースに寄らずに行えるしくみが、今求められています。

■脅威の検知から対処までを自動化できるトレンドマイクロのソリューション

こうした課題にトレンドマイクロが提案するサイバー攻撃対策のひとつが、脅威の検知から対処までのプロセスを自動化するソリューションです。

トレンドマイクロでは、不正プログラムの外部との通信や、組織内の不正な通信を検知することで、標的型攻撃のような未知脅威※5の早期検知を可能にするネットワーク監視製品「Deep Discovery™ Inspector(以下DDI)」を提供しています。DDIは、高精度なパケット解析により、的確に危険な通信を見える化し、侵入した不正プログラムを迅速に発見します。DDIは既存のネットワークに影響を与えることなく、アドオンで容易に導入が可能です(図5)。
DDIでは検知後にその不正プログラムに対する独自のパターンファイル(カスタムシグニチャ)を生成します。

そのパターンファイルを企業向けのエンドポイントセキュリティソフト「ウイルスバスター™ コーポレートエディション(以下コーポレートエディション)」に配信することで、不正プログラムの検知から対処までトータルに行うことができます。

2015年11月には、パターンファイルの一斉配信を可能にする集中管理システム「Trend Micro Control Manager™」が、DDIとコーポレートエディションと連携することで、標的型サイバー攻撃の検知から対処までの一連のプロセスの自動化が可能になりました※6(図6)。

たとえば、怪しいプログラムを発見した場合、DDIでカスタムシグネチャを生成して配信し、コーポレートエディションで一時的にそのプログラムを隔離するといった一連の対応を自動化できます。検知から対処まで任せられるので、セキュリティ人材不足に悩む企業にも最適です。しかも、既にウイルスバスターを利用している企業なら、既存資産を活かしながらより効果的な標的型サイバー攻撃対策を実施できるのです。

德永は、「トレンドマイクロは、日本発のグローバル企業で、世界中のセキュリティインシデントに精通するだけでなく、日本固有の攻撃やシステム環境など熟知しており、それらをソリューションや技術に反映していることが強みとなっております。ぜひ、これらの製品をご活用いただき、拡大するサイバー攻撃に対抗していただきたい」と語りました。

※1~4 トレンドマイクロ調べ(2015年第2四半期セキュリティラウンドアップ)
※5、7 すべての未知脅威、標的型サイバー攻撃に対応するものではありません。 2015年11月現在のものです。内容は、予告なく変更される場合があります。
※6 対応製品は次の通り。Deep Discovery Inspector 3.8、Trend Micro Control Manager 6.0 SP3、ウイルスバスター コーポレートエディション 11.0 SP1。

記事公開日 : 2015.11.26
 この記事は、公開日時点での情報です