[インタビュー]
セキュリティ専門家が語る「脅威の変化と対応策」
2012年3月2日(金)IT Leaders編集部
米サンフランシスコで開催された「RSA Conference 2012」のメインテーマの1つが「サイバー攻撃」。「ハクティビズム」や「APT」といった新しいキーワードを我々はどのような文脈で理解すべきか。インターネット犯罪のトレンドに詳しいウリ・リブナー氏に話を聞いた。同氏はEMCのセキュリティ部門RSAでリスクベース認証とオンライン不正対策技術の開発で中核を担う。
ー昨今、新しいタイプの脅威が注目されている。インターネット犯罪に詳しい氏は現在の状況をどのように見ているか?
私たちはサイバー攻撃について、「誰が」「誰を」「なぜ」「どのような手段で」攻撃しているかという観点で分析する。昨今は攻撃の標的やモチベーションが変化してきていると言えるだろう。
写真1:米RSA Head of New Technologies, Identity Protectionのウリ・リブナー氏
従来は金銭的な理由から個人のオンラインバンクやクレジットカードの情報を狙うのが主流だった。フィッシングやトロイの木馬などを用いて、被害者に気付かれないようにIDやパスワードを窃取、預貯金を不正に引き出すというものだ。金融機関が攻撃されることはあっても、最終的に獲得したいのは消費者の個人情報だった。
現在も、攻撃を仕掛ける相手が個人という点では変わりはない。ただし、目的はその個人が属する組織の資産である。政府組織や企業を攻撃するためのエントリーポイントとして個人を狙う。クレジットカードの情報を盗み出す要領で従業員のコンピュータをハッキングすれば、企業のネットワークに侵入できる。
RSAの調査によれば、フォーチュン500社の88%でトロイの木馬に感染した従業員が見つかっている。気がつかないうちに被害に遭っている企業は少なくない。サイバー攻撃が企業・組織にもたらす被害は甚大だ。RSA単独でも30億ドル相当の金融詐欺行為を防止している。
ただし、最近は経済的な動機以外で攻撃するケースも見られるようになってきた。それが「ハクティビズム」や「APT」と呼ばれるものだ。
思想信条に基づき特定の組織を攻撃
まずはハクティビズム。何らかの理想を共有するメンバーが集まって特定の組織を攻撃する。「アノニマス」や「ラウズセキュリティ」がその代表だが、他にも小さな組織が多数存在している。また、特定の目的のために組織横断的に活動する「オペレーション」もある。例えば、証券会社や法執行機関を対象とした「アンチセック」がある。
彼らは複数の攻撃手法を用いる。最も良く用いられるのがDDoS(Distributed Denial of Sercive)攻撃。多数のPCを使って対象のサービスを妨害する。ハッキングを必要としない最も簡単な攻撃だが、社会にメッセージを表明する手段としては有効だ。政府や銀行、証券取引所のシステムがダウンすれば一般の人々は強い衝撃を受けるからだ。
WebサーバやWebサイトをハッキングして自分のメッセージを埋め込む手法もポピュラーだ。去年は世界中の法執行機関がこのタイプの攻撃を受けた。さらに大掛かりなものとして、社内ネットワークに侵入して極秘情報やeメールを盗み出すケースもある。情報流出が発覚すると、その企業や組織は社会的な信頼を失うことになる。
ただし、彼らは無差別に標的を選んでいるわけではない。ほとんどの場合は攻撃に値すると“評価”した対象を意図的に選択している。誰がどのような動機で何を目的にどんな標的を選んでいるか。それを知ることが、ここ1〜2年のわれわれの関心事だ。
商業組織に対する軍事レベルの攻撃
もう1つがAPT(Advanced Persistent Threats:高度で長期的な標的型攻撃)。諸説あるが、私は“商業組織に対する軍事レベルの攻撃”と定義している。
ITセキュリティマネージャーならマルウェアやハッキング、脆弱性といったテーマについては十分な知識やノウハウを持ち合わせているだろう。しかし、軍事ネットワークに対する攻撃を経験をしたことはないはずだ。
実際のところ、APTの被害を受けた企業を20社以上知っているが、ITセキュリティの枠ではいずれもベストを尽くしていた。これまでとは違ったタイプの攻撃なので企業が困惑するのも無理はない。
APTの動機は主に2つある。1つは重要なインフラをコントロールすること。重要拠点を制圧する軍事作戦に似ている。そして、もう1つがエスピオナージ、つまり産業スパイだ。主体は企業だけとは限らない。他国の政府組織が企業の知的財産を狙う場合もある。
攻撃のエントリーポイントは従業員。個人を最初に攻撃する点では、経済的利益を目的とした旧来の手口と似ている。標的を絞り込んで、ゼロデイの脆弱性をつくプログラムやマルウェアの感染源となるURLをメールで送りつける。
一旦、従業員のPCを乗っ取ることに成功すれば、あとは企業ネットワークの中を自由に活動できる。残念ながら、社内のネットワークに侵入した攻撃者を発見することは非常に難しい。実際にAPTの90%は企業から発見されないまま目的を達成している。
自社が考えるべき脅威について考えよ
ー我々が今、考えるべきはAPTへの対策なのか?
非常に良い質問だ。我々はリスクマネジメントという視点を持つ必要がある。闇雲にセキュリティ対策を講じるのではなく、まず自分達が抱えるリスクを棚卸しすること。その上で、それらリスクをどのように管理するか考えなければならない。
例えば、自社が知的財産を持っているのであればAPTに備えるべきだ。例えば、金鉱業を営んでいるのであれば、APTの心配をしなければならない。今どこを掘っていて、どれくらいの算出が見込めるかを知りたいと考える別の国が攻撃してくる可能性がある。
ハクティビズムの対象になる合理的な理由があるならそれに対処すべきだ。例えば、ゲームや映画の配信業者は知的財産を守るために作品にガードをかけるが、そこに矛先が向く可能性がある。この場合に想定すべきはアノニズムなどの攻撃者である。
まずは自問しなければならない。自社に対してどのような攻撃者が存在しうるか。また、それはどのような理由によるものなのか。その上で対策を考えなければならない。脅威は流動的に変化するので、今の答えが半年前の答えと全く違っても不思議ではない。
会員登録(無料)が必要です
- 1
- 2
- 次へ >
