スピアフィッシングやAPT(持続性標的型攻撃)といった、明確な目的の下で特定の企業を執拗に襲うタイプのサイバー攻撃に、もはやこれまでの情報セキュリティの定石は通用しない。2013年9月30日、米国EMCのRSA部門でCSO(最高セキュリティ責任者)を務めるエディ・シュワルツ氏が来日。日本のプレス関係者とのラウンドテーブルに参加した同氏は、「APTを構成する要素に着目して、そこから対処を検討すべきである」と強調した。
シュワルツ氏の職責には、RSA全社の情報セキュリティの統括のほか、同社の顧客企業において同じ立場にある各社のCSO/CISO(最高情報セキュリティ責任者)と会って、セキュリティ施策の戦略や実践についてディスカッションを行うことや、米国やイスラエルのスタッフで組織されるサイバー攻撃 調査の推進も含まれている。
同氏が重視する顧客とのディスカッションでは、セキュリティベンダーとして技術や情報を提供するだけでなく、サイバー攻撃の規模や頻度において日本のはるか上を行く米国で、実際に攻撃を受けたり、日々効果的な対処のしかたを検討しているCISO達から得る知見も多いという。そうした情報も含めて調査チームが詳細な分析を行い、7月にまとめられたのが「THE CYBER ESPIONAGE BLUEPRINT(PDF)」(サイバー諜報活動の青写真)と題したホワイトペーパーである。
「青写真と名付けたのには理由がある。それは、APTに代表される昨今のサイバー攻撃の実態をひもとくには、攻撃を構成する1つ1つの要素に着目する必要があるということ」とシュワルツ氏は述べ、ホワイトペーパーにも記された、APTを構成する5つの要素について解説した。
APTを構成する5つの要素とは
1つ目の要素はAPTの攻撃手法である。シュワルツ氏は、APTに関してはもはやセキュリティ担当者やIT部門のセキュリティ施策の失態というよりも、組織に属するユーザー個々人のアクションによって最初の突破口を開かれてしまうケースが大半であると指摘。そのうえで調査チームの分析結果として、現在猛威をふるうAPTの約9割をスピアフィッシングとウォーターホール(水飲み場)型攻撃が占めていることを説明した。
「ウォーターホールの攻撃のターゲットは、情報セキュリティにあまりお金のかけられない小規模な企業である。銀行、教会、スポーツクラブ、メディアなど運営組織自体は小規模でも不特定多数のユーザーが訪れるようなサイトが特に狙われる」(同氏)
2つ目は攻撃者がターゲットのPCを感染させた後に用いるツールで、リモートアクセス型のトロイの木馬(RAT)が巧妙に使われるケースが多いという。シュワルツ氏は、「たとえRAT自体を発見できたとしても、大抵、誰にも見破られない形でバックドアが仕掛けられている」と警告。
3つ目の要素は、攻撃者は標準ポート/プロトコルを頻用するという事実だ。現行のセキュリティ製品は、通常とは違うポートでの通信を検出可能だが、攻撃者はHTTPやDNS、SMTPといった標準を使用することで、ゲートをあっさりくぐり抜けてくる。
4つ目の要素は、攻撃者はマルウェアにランダムなファイル名をつけて攻撃を仕掛けてくるということ。大半のウイルス対策ソフトやIDS(侵入防止システム)は、シグニチャーベースで攻撃を検出するが、ランダムな名前をつけられてしまうと正確な検出が非常に困難になる。
5つ目の要素は、攻撃者はダイナミックDNSを用いて攻撃を仕掛けてくる点である。「企業側がある特定のIPアドレスをブラックリストに設定してブロックをかけたとしても、攻撃者は何百、何千とある有効なIPアドレスやドメイン名を使うことでブロックを回避しようとする」(シュワルツ氏)
●Next:「従来の防御の仕組みはほとんど意味をなさなくなる」
会員登録(無料)が必要です
- 1
- 2
- 次へ >
