標的型攻撃の脅威。 複数のセキュリティ対策をまとめたUTMが有効
IPA(独立行政法人 情報処理推進機構)の発表する「情報セキュリティ10大脅威」で4年連続トップとなっている標的型攻撃。今回はこの標的型攻撃に焦点を当て、どのような手口で攻撃してくるのか、それらに対する対策方法があるのかなどを解説いたします。
目次
標的型攻撃の脅威
標的型攻撃は2003年頃から見られるようになり、2005年には国内政府機関への標的型メールが観測されました。それまでのサイバー攻撃は個人が自分の技術を誇示することが目的でしたが、この頃より個人情報等を狙い、金銭を目的としたものに変わってきたのです。それが組織的になり、最新技術を駆使して企業を狙うようになったのが標的型攻撃です。
特定の企業をターゲットに攻撃することから「標的型攻撃」と呼ばれています。その企業を綿密に研究調査し、目的が達成されるまで執拗に攻撃を繰り返します。
たとえば防衛関係の企業が狙われたことがありました。日本、イスラエル、インド、米国の防衛産業の企業を狙って、リモートアクセス型のトロイの木馬を送り込み、システム内で暗躍していました。
125万件もの個人情報が外部に漏えいし大事件になったこともあります。氏名、基礎年金番号、生年月日、住所などが盗み出され、激しい非難を受けました。ある拠点の担当者に関係者を装ったメールが届き、何も疑わずに開封し、添付のファイルを解凍したことでウィルス感染が始まっています。本人でさえ、指摘されるまで感染したことの自覚がありませんでした。それほど、標的となる企業を研究してまったく疑われないように工夫された文面でした。
入口対策:ウィルスの侵入防止
標的型攻撃の手法はさまざまですが、最も多いのがトロイの木馬などウィルス(マルウェア)の送り込みです。ここから感染が始まります。ここをいかに防ぐか、すなわち入口対策が大きなポイントとなります。
ウィルスの侵入はメール添付と水飲み場型攻撃がよく見られます。メールでの攻撃に対して有効となるのがアンチスパムとアンチウィルス機能です。アンチスパムは怪しい差出人をリスト化したり、犯罪に使用される文言をチェックすることで警告を促します。また、アンチウィルスはメールに添付されたウィルスを識別し、侵入を防ぎます。たとえウィルスが圧縮され添付されていても、見つけ出して排除します。
水飲み場型攻撃は、Webサイトにウィルスを忍ばせてターゲット企業の社員へ感染させる手法です。これにはWebフィルタリングが有効です。危険なサイトへのアクセスを禁止し、ウィルス感染を未然に防ぎます。
ただし、これらは既知のウィルスが対象になり、刻々と進化しているウィルスを苦手とします。この未知のウィルスにはサンドボックス機能が有効です。怪しい振る舞いをするプログラムをサンドボックスに閉じ込めた状態で動作させることになるため、監視・対策・分析ができるようになります。
出口対策:持ち出しや外部との通信を遮断
ウィルスの侵入防止が入口対策であり、入ってしまったウィルスによる機密情報持ち出しが出口対策です。ウィルスは盗みとった機密情報を外部に送信しようとしますが、その送信先をWebフィルタリングで監視し、ブロックすることで情報漏えいを防ぎます。出口対策でもWebフィルタリングが活躍します。
標的型攻撃は、忍び込んだウィルスが外部と通信し、システム内で活動を開始します。紹介した防衛関係企業への攻撃でも、内部で活動したのは、リモートアクセス型のトロイの木馬でした。125万件もの個人情報が漏えいした事件でも、侵入したウィルスは外部と連絡を取り合い、個人情報を持ち出しています。この外部との通信をWebフィルタリングでキャッチしてブロックし、通信不能にします。また、通信に使用されているアプリケーションレベルで識別して遮断できるアプリケーションコントロールも有効です。
UTMでまとめて対策
標的型攻撃は入口・出口対策の多層防御が重要となります。単体ではなく、対策を複数用意して防御します。
この多層防御のために用意されたのがUTMです。標的型攻撃の対策として紹介したアンチスパム、アンチウィルス、サンドボックス、Webフィルタリング、アプリケーションコントロールの各機能が搭載されています。これらを個々の装置やソフトウェアで対応するのは大変な負荷になりますが、UTMはこれらの負荷軽減を実現します。
UTMだけでなく、ログ監視などの内部対策も加えると、さらに脅威を軽減することができます。
ポイントまとめ
クラウド型UTMで多層防御!
標的型攻撃は成功するまで、複数の手段で執拗に狙ってきます。これら攻撃には単体ではなく、入口対策と出口対策を組み合わせた多層防御が重要です。これを可能にする手段としてUTMがあります。UTMはセキュリティ対策の基本であり、極めて重要な防御となります。