【今、知っておくべき危機 第3回】韓国へのサイバー攻撃は決して「対岸の火事」などではない。これからの日本に求められるサイバー攻撃を防御する新しい考え方とは何か?
「今後、日本に求められるサイバー攻撃対策の新しい考え方」についてトレンドマイクロがレポート
サイバー攻撃はもはや、日常的な出来事となってしまった。つい先日も韓国に対して大規模なサイバー攻撃が行われた。日本でも対策と法整備に乗り出しているが、サイバー攻撃は今後も間違いなく増加し、危機的な状況にあると思われる。この状況を受け、大手情報セキュリティ会社のトレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長兼CEO:エバ・チェン、東証一部:4704 以下、トレンドマイクロ)は、「今後、日本に求められるサイバー攻撃対策の新しい考え方」について、以下のようにまとめた。
■韓国で大規模サイバー攻撃が発生
2013年3月、韓国の主要企業などを狙ったサイバー攻撃が確認された。今回の攻撃では、PCやUNIX OSで稼働するサーバなど、数多くのシステムの再起動ができなくなったと報告されている。
インターネットで接続されている限り、この被害は決して対岸の火事ではない。いつ、自社が同じような攻撃を受けてもおかしくない世の中になっているのだ。
■サイバー攻撃の被害は「標的にされた企業」だけではない
サイバー犯罪者は、最終目的の企業だけを攻撃するのではない。周辺の下請け企業や取引先など、関係ある企業や人は全て狙われる可能性がある。そのため、自社が被害に遭えば、結果的に取引先や顧客に直接的な迷惑をかけることにもなる。民事起訴され責任を問われる可能性もある。こうしたセキュリティ対策の甘さは、自社だけでなく様々な企業に影響を及ぼすリスクがあることを認識しなければならない。
■サイバー攻撃の被害が発生していても気付かない?何がそんなに分かりづらいのか?
サイバー攻撃は、目に見える被害が出て初めて攻撃を受けたことに気付くケースが多い。それは、サイバー攻撃は極めて密かに、且つ巧妙に行われることが理由だ。例えば、あなたは、以下の手口を見抜く自信があるだろうか?
【“米国セキュリティ対策会社の「サイバー攻撃についてのレポート」を偽装した不正ファイルからの攻撃”】
米国のセキュリティ会社「Mandiant」は、2013年2月19日(米国時間)、企業のサイバー攻撃に関するセキュリティ対策のレポートを公開した。サイバー攻撃者はこのレポートの名前を利用し、攻撃対象者たちにメールを送る手法を行っているが、もちろんこのPDFファイルは本物のレポートに偽装した不正なファイルだ。このファイルを開いたユーザーの端末は不正プログラムに感染し、サイバー攻撃のきっかけを攻撃者に与えてしまう。皮肉なことに、セキュリティ対策について興味を持ち、その詳細を知るためにファイルを開けたユーザーが、被害者の一人となるのだ。
おそらくサイバー攻撃者は、“この攻撃対象者たちは「サイバー攻撃のセキュリティ対策」に興味がある”と、事前調査の結果から判断したのだろう。サイバー攻撃者は、警戒心を与えないよう、攻撃対象の日常の行動に溶け込もうとしたり、ユーザーの興味を利用したりしようとする。
このようなセキュリティへの関心を悪用した同様の事例として、Javaのゼロデイ攻撃の事例も確認している。この不正プログラムは、脆弱性に対応するOracleが先日に公開した修正プログラムに偽装されていた。
また、トレンドマイクロの Forward-looking Threat Research チームのディレクターであるMartin Roesler は、過去のブログ記事にて「攻撃者は、優位な立場にあり、標的とするユーザーの情報を持っている。その情報によって攻撃方法を変える」と説明している。ユーザーは、常に「自社も標的にされる可能性がある」という意識を持ち続ける必要があるのだ。
■サイバー攻撃の「侵入を防ぐことに注力する」というのは過去のセキュリティの考え方
このような巧妙な攻撃をされても、「絶対に騙されない」と言い切れるだろうか?
事例からも分かる通り、攻撃者はターゲットのことを調べ上げた上で攻撃を行う。徹底的な調査の上で、ターゲット企業に最も有効なサイバー攻撃を行う。
さらには、攻撃ターゲット企業の「セキュリティ状況」まで調べ上げ、自身の攻撃の有効性を検証するための「攻撃テスト」まで行われている。ターゲット企業のセキュリティ環境や導入しているセキュリティ対策などを調べ、有効と判断した上で攻撃を行うのだ。攻撃に使用される不正プログラムは、「最終目的企業のセキュリティ対策では検知されない」ことを事前に確認していることが多いため、企業はこの攻撃を防ぐことが困難となる。
サイバー攻撃は「人」が行う攻撃であり、「人が人を騙す攻撃から始まる」と言える。いきなりサーバに不正アクセスを行うわけではなく、まずは関係者を騙し、不正プログラムに感染させる。その後、複数の不正プログラムのダウンロードを経たうえで、正規の管理者のID/パスワードを抜き取る。そうすれば、攻撃者は「正規の管理者」としてログインし、オペレーションができるようになるため、不正検出ツールでは見破れなくなる。「そんなことに騙されない」と思うかもしれないが、いつ発生するかわからない攻撃に対して常に疑いを持ち続けることは現実的ではない。
人間である以上「騙されない」ということは断言できない。つまり侵入そのものを防ぐということは、相当難しいことなのだ。
「入られなければ良い」「侵入を防ぐ」だけのアプローチは過去のものになった。最新のサイバー攻撃の研究でも、侵入防御だけでは不十分であることがわかりつつある。
■これから求められる「新しい考え方」の対策とは?
過去の攻撃の情報をベースに開発された、既存のセキュリティツールだけでは、最新のサイバー攻撃に通用しないことがわかっている。しかし、セキュリティ対策側もサイバー攻撃を研究することで、対抗する手段を開発している。
ポイントは、「攻撃者も人間であること」。攻撃者は、対象に特化した、いわば「カスタマイズされた」攻撃を仕掛けてくる。そこには、画一的な攻撃ツールではなく、人的要素が深く絡んでいる。それならば、「カスタマイズ」された対策が必要だ。画一的な対策ではなく、人的要素を深く絡めた対策こそが、サイバー攻撃に有効になっていくようになる。トレンドマイクロでは、長年、世界中のサイバー攻撃事例を研究し、その対策方法を進化させ続けてきた。
■後編では、「サイバー攻撃に対抗するための最新の対抗策と考え方」を解説する。
トレンドマイクロ株式会社では、今後もセキュリティ対策ソフトを時代の変化に合わせて開発し続けるのみならず、サイバー攻撃の最新事例やその検証情報、パソコンセキュリティ対策のアップデート情報を、積極的に発信してまいります。
関連リンク
韓国へのサイバー攻撃が明らかに
マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは?
http://blog.trendmicro.co.jp/archives/6923?cm_mmc=Ent-_-Sakaami_6-_-Webrelease-_-001
韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認
http://blog.trendmicro.co.jp/archives/6911?cm_mmc=Ent-_-Sakaami_6-_-Webrelease-_-002
トレンドマイクロ セキュリティブログ
【サイバー攻撃研究】持続的標的型攻撃に利用されるツールを徹底解析
http://blog.trendmicro.co.jp/archives/6835?cm_mmc=Ent-_-Sakaami_6-_-Webrelease-_-003
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_6-_-Webrelease-_-004
■韓国で大規模サイバー攻撃が発生
2013年3月、韓国の主要企業などを狙ったサイバー攻撃が確認された。今回の攻撃では、PCやUNIX OSで稼働するサーバなど、数多くのシステムの再起動ができなくなったと報告されている。
インターネットで接続されている限り、この被害は決して対岸の火事ではない。いつ、自社が同じような攻撃を受けてもおかしくない世の中になっているのだ。
■サイバー攻撃の被害は「標的にされた企業」だけではない
サイバー犯罪者は、最終目的の企業だけを攻撃するのではない。周辺の下請け企業や取引先など、関係ある企業や人は全て狙われる可能性がある。そのため、自社が被害に遭えば、結果的に取引先や顧客に直接的な迷惑をかけることにもなる。民事起訴され責任を問われる可能性もある。こうしたセキュリティ対策の甘さは、自社だけでなく様々な企業に影響を及ぼすリスクがあることを認識しなければならない。
■サイバー攻撃の被害が発生していても気付かない?何がそんなに分かりづらいのか?
サイバー攻撃は、目に見える被害が出て初めて攻撃を受けたことに気付くケースが多い。それは、サイバー攻撃は極めて密かに、且つ巧妙に行われることが理由だ。例えば、あなたは、以下の手口を見抜く自信があるだろうか?
【“米国セキュリティ対策会社の「サイバー攻撃についてのレポート」を偽装した不正ファイルからの攻撃”】
米国のセキュリティ会社「Mandiant」は、2013年2月19日(米国時間)、企業のサイバー攻撃に関するセキュリティ対策のレポートを公開した。サイバー攻撃者はこのレポートの名前を利用し、攻撃対象者たちにメールを送る手法を行っているが、もちろんこのPDFファイルは本物のレポートに偽装した不正なファイルだ。このファイルを開いたユーザーの端末は不正プログラムに感染し、サイバー攻撃のきっかけを攻撃者に与えてしまう。皮肉なことに、セキュリティ対策について興味を持ち、その詳細を知るためにファイルを開けたユーザーが、被害者の一人となるのだ。
おそらくサイバー攻撃者は、“この攻撃対象者たちは「サイバー攻撃のセキュリティ対策」に興味がある”と、事前調査の結果から判断したのだろう。サイバー攻撃者は、警戒心を与えないよう、攻撃対象の日常の行動に溶け込もうとしたり、ユーザーの興味を利用したりしようとする。
このようなセキュリティへの関心を悪用した同様の事例として、Javaのゼロデイ攻撃の事例も確認している。この不正プログラムは、脆弱性に対応するOracleが先日に公開した修正プログラムに偽装されていた。
また、トレンドマイクロの Forward-looking Threat Research チームのディレクターであるMartin Roesler は、過去のブログ記事にて「攻撃者は、優位な立場にあり、標的とするユーザーの情報を持っている。その情報によって攻撃方法を変える」と説明している。ユーザーは、常に「自社も標的にされる可能性がある」という意識を持ち続ける必要があるのだ。
■サイバー攻撃の「侵入を防ぐことに注力する」というのは過去のセキュリティの考え方
このような巧妙な攻撃をされても、「絶対に騙されない」と言い切れるだろうか?
事例からも分かる通り、攻撃者はターゲットのことを調べ上げた上で攻撃を行う。徹底的な調査の上で、ターゲット企業に最も有効なサイバー攻撃を行う。
さらには、攻撃ターゲット企業の「セキュリティ状況」まで調べ上げ、自身の攻撃の有効性を検証するための「攻撃テスト」まで行われている。ターゲット企業のセキュリティ環境や導入しているセキュリティ対策などを調べ、有効と判断した上で攻撃を行うのだ。攻撃に使用される不正プログラムは、「最終目的企業のセキュリティ対策では検知されない」ことを事前に確認していることが多いため、企業はこの攻撃を防ぐことが困難となる。
サイバー攻撃は「人」が行う攻撃であり、「人が人を騙す攻撃から始まる」と言える。いきなりサーバに不正アクセスを行うわけではなく、まずは関係者を騙し、不正プログラムに感染させる。その後、複数の不正プログラムのダウンロードを経たうえで、正規の管理者のID/パスワードを抜き取る。そうすれば、攻撃者は「正規の管理者」としてログインし、オペレーションができるようになるため、不正検出ツールでは見破れなくなる。「そんなことに騙されない」と思うかもしれないが、いつ発生するかわからない攻撃に対して常に疑いを持ち続けることは現実的ではない。
人間である以上「騙されない」ということは断言できない。つまり侵入そのものを防ぐということは、相当難しいことなのだ。
「入られなければ良い」「侵入を防ぐ」だけのアプローチは過去のものになった。最新のサイバー攻撃の研究でも、侵入防御だけでは不十分であることがわかりつつある。
■これから求められる「新しい考え方」の対策とは?
過去の攻撃の情報をベースに開発された、既存のセキュリティツールだけでは、最新のサイバー攻撃に通用しないことがわかっている。しかし、セキュリティ対策側もサイバー攻撃を研究することで、対抗する手段を開発している。
ポイントは、「攻撃者も人間であること」。攻撃者は、対象に特化した、いわば「カスタマイズされた」攻撃を仕掛けてくる。そこには、画一的な攻撃ツールではなく、人的要素が深く絡んでいる。それならば、「カスタマイズ」された対策が必要だ。画一的な対策ではなく、人的要素を深く絡めた対策こそが、サイバー攻撃に有効になっていくようになる。トレンドマイクロでは、長年、世界中のサイバー攻撃事例を研究し、その対策方法を進化させ続けてきた。
■後編では、「サイバー攻撃に対抗するための最新の対抗策と考え方」を解説する。
トレンドマイクロ株式会社では、今後もセキュリティ対策ソフトを時代の変化に合わせて開発し続けるのみならず、サイバー攻撃の最新事例やその検証情報、パソコンセキュリティ対策のアップデート情報を、積極的に発信してまいります。
関連リンク
韓国へのサイバー攻撃が明らかに
マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは?
http://blog.trendmicro.co.jp/archives/6923?cm_mmc=Ent-_-Sakaami_6-_-Webrelease-_-001
韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認
http://blog.trendmicro.co.jp/archives/6911?cm_mmc=Ent-_-Sakaami_6-_-Webrelease-_-002
トレンドマイクロ セキュリティブログ
【サイバー攻撃研究】持続的標的型攻撃に利用されるツールを徹底解析
http://blog.trendmicro.co.jp/archives/6835?cm_mmc=Ent-_-Sakaami_6-_-Webrelease-_-003
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_6-_-Webrelease-_-004
企業情報
企業名 | トレンドマイクロ株式会社 |
---|---|
代表者名 | エバ・チェン |
業種 | ネットサービス |
コラム
トレンドマイクロ株式会社の
関連プレスリリース
-
変更監視の目をすり抜ける?Apache不正モジュールを悪用した、気づきにくい「正規サイト書き換え」攻撃とは。
2013年4月18日 10時
-
【今、知っておくべき危機 】確実に忍び寄るサイバー攻撃!「症状のない病」から日本企業の情報資産を守れ! ~後編~
2013年4月9日 18時
-
【今、知っておくべき危機】韓国へのサイバー攻撃は、対岸の火事ではない。忍び寄るサイバー攻撃から日本企業の情報資産を守れ! ~前編~
2013年4月4日 18時
-
【今、知っておくべき危機 第4回】韓国へのサイバー攻撃は決して「対岸の火事」などではない。これからの日本に必要なサイバー攻撃を防御する新しい考え方とは?(後編)
2013年4月4日 18時
トレンドマイクロ株式会社の
関連プレスリリースをもっと見る