攻撃者の中でも特に持続的標的型攻撃を行う攻撃者は、従来型のセキュリティ対策からの検知を逃れるためにさまざまなツールや手法を駆使します。検知を逃れることで、攻撃者は、企業のインフラにアクセスすることができるからです。このアクセスにより、攻撃者は、企業の機密情報や高いレベルのユーザ権限を入手し、企業のネットワーク内を自由に動き回ることができます。

企業を狙った攻撃としては、以下のような「キャンペーン(持続的標的型攻撃の作戦活動)」があげられます。

  1. Operation Payback」:特定の寄付の受付を拒否したPaypalやVisa、Mastercardといった金融機関を標的としたキャンペーン。攻撃は、「分散型サービス拒否(DDoS)攻撃」の手口が用いられ、数時間にわたり、これら金融機関のWebサイトがアクセス不能に陥りました。
  2. OpGoldenDawn」:ギリシャ外務省と欧州安全保障協力機構(OSCE)を標的にしたキャンペーン。この攻撃により、これらの機関から3700に及ぶ文書が漏えいしました。
  3. 当時人気のあったBitTorrent検索サイト「Pirate Bay」を閉鎖した報復で行われたキャンペーン。このキャンペーンでは、複数の企業が標的となりました。
企業に対してこのような攻撃が行われる中、その特徴を把握した最新のセキュリティ対策により、この種の脅威が大きな被害に発展する前に未然に防ぐことは可能です。

攻撃者は、企業から何を得ようとしているのですか?

攻撃者が特定の企業や組織を標的とするのには、いくつかの理由があり、それらは、政治的な理由であったり、もっと直接的に機密情報の窃取するためであったりと多岐に及びます。どのような理由であれ、これらの攻撃に共通して言えることは、ログイン認証情報などの重要な個人情報を収集するという点です。収集した情報を利用することで、オンラインバンキング口座へのアクセスや、ユーザへの恐喝なども可能になります。

こうした個人情報のほか、企業のデータベースも、攻撃者が他のサイバー犯罪者に売りさばくことができる情報といえます。また、企業のコンピュータも、改ざんされることで、攻撃者のボットネットとして悪用される可能性もあります。

通常、これらの攻撃は、持続的標的型攻撃と呼ばれるように、長期的な攻撃計画のもとで遂行されるため、攻撃者の意図は、企業内のネットワークへの持続的にアクセスし、潜伏することです。

企業はどのようにして攻撃から身を守ることができますか?

ネットワークのセグメント化
企業のネットワークが複雑化する中、そうしたネットワークは、いわゆる論理的なセグメントに分割する必要が生じてきます。セグメントとは、コンピュータや、サーバ、プリンタ、その他の端末等が、相互にアクセスしている集合体のことを指します。そしてこれらのセグメントは、ネットワークトラフィックの管理や監視を行うファイアウォールから分離されている必要もあります。企業内のネットワークでは、これらのセグメントをチェックポイントとして活用することができます。このようなチェックポイントがないと、攻撃者は、企業全体のインフラに簡単に侵入してしまいます。また、ネットワークのセグメント化は、フィルタリングの機能も果たし、とりわけ、特定のデータにアクセス権がない社員のフィルタリング等にも活用できます。

企業のネットワークは、「機能」・「位置」・「セキュリティーレベル」のような論理的なカテゴリーによってセグメン化することが可能です。こうして、各セグメントのセキュリティを確実にすることで、効果的な対策を講じることができます。

ログファイルの解析
ログファイルの解析は、企業が攻撃を受けているかどうかを判断する点で非常に重要です。これにより、攻撃者がどのエリアに「初期潜入」したのか、どのデータを「情報探索」しているのかを知る手がかりを得ることができます。企業内における日常のネットワークトラフィック活動を熟知している専門の解析者を配置すれば、攻撃を早い段階で検知することが可能になり、本格的な活動が始まる前にその攻撃を阻止ことも可能です。早期に検知できなかった場合でも、解析者は、ログファイルを利用して攻撃者の活動を再現することができます。

ログファイル解析のために企業がログしておくべき情報は、以下のとおりです。

  • サーバやPC、プリンタなどの社内配置図
  • WebプロキシおよびDNSサーバリクエスト
  • リモート・デスクトップ・プロトコル(RDP)、仮想プライベートネットワーク(VPN)等への(物理な接触も含めた)ユーザのアクセス
  • 社内・社外のネットワークトラフィック(法で定められた範囲内で)
  • パケットキャプチャ(pcap)、(難しい場合は少なくとも)ネットワークフロー
  • ヘッダおよび添付ファイルつきのメール
  • ファイアウォールの設定ルール

そしてこれらのデータは、セキュリティ情報イベント管理(SIEM)やセキュリティイベント管理(SEM)などの技術でしっかりと管理しておくべきです。これにより、企業内の環境における状況や活動をリアルタイムで判断できます。

ユーザアカウントおよびワークステーションの管理
社員が企業のリソースをどのように扱うかという点も、よく怠りがちな部分ですが、企業は、使用基準等を厳格に定めて実行する必要があります。社員に個人アカウントやワークステーションが与えられることはごく一般的ですが、攻撃に伴う被害を最小限に抑えるためにも、そうしたアカウントへのアクセスにも制限が必要です。企業は、パスワード作成にも厳格な方針を実施し、可能であれば、二段階認証を採用することです。

侵入テストとは何ですか? どのように役立ちますか?

侵入テストとは、システムとネットワークのセキュリティを評価するための方法です。このテストでは、権限の与えられたメンバー(侵入テストチーム)が、企業や組織の外部もしくは内部から、システムやネットワークに対して「攻撃のシミュレーション」を実施します。このテストの目的は、攻撃者に悪用される可能性のある、ソフトウェアの潜在的な脆弱性や業務上の弱点を判断・分析することです。 侵入テストは、ITセキュリティや監視の担当者が実践経験を積むためにも、絶好の機会となります。このテストを効果的に実行するためにも、企業は、侵入テストチームに対して一定以上の裁量権を与える必要があります。他方、ある程度の制限も課し、事前に関係者内でよく検討した上で実行することが不可欠です。

トレンドマイクロのユーザはこの脅威から守られていますか?

トレンドマイクロの製品をご利用のユーザは、弊社のネットワーク監視ソリューション製品「Trend Micro Deep Discovery」によって、この脅威から守られています。Trend Micro Deep Discoveryは、企業のインフラ内の不審なネットワーク活動を監視および検出します。さらに、Trend Micro Deep Discoveryは、エクスプロイトや脆弱性からもユーザを保護します。弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、不審なEメールからユーザを保護し、不正なWebサイトへのアクセスをブロックし、システム内にマルウェアがある場合、それを検出します。