アドバイザリー

サイバー攻撃への対抗

2011.11.16
photo
嶋守 浩之
新日本有限責任監査法人
ITリスクアドバイザリー部 パートナー
公認情報システム監査人/公認会計士
大手電機メーカーを経て監査法人に勤務、情報システムに関わる内部統制の構築・評価・監査業務に携わる。製造業を中心に、セキュリティ監査、業務アプリケーションの内部統制の設計・評価、システム導入・IFRSプロジェクト等のプロジェクトマネジメントに関するアドバイザリー業務、US/JSOXの導入支援業務に豊富な実績を持つ。


1. 新種の脅威

2011年9月の大手総合重電メーカーへの一連のサイバー攻撃事件は、防衛関連産業界を標的にするといった、これまでになかった規模と悪質性の点で深刻であり、幅広いメディアで大きく取り上げられました。その手口は、まず業界団体に侵入(感染)し、その団体のメールを窃取、そのメールを悪用してウィルスファイルを傘下企業に送りつけ、侵入を企てていたというものでした。今回の事件の概要が明らかになるにつれ、政府はじめ様々な民間企業の間でITセキュリティに対する関心が一気に高まりました。

これまで、一般的な多くの企業は、何らかの機会に便乗する形の攻撃(機会便乗型脅威)を想定してセキュリティ体制を強化してきましたが、現在では、多くの企業が、従来型の対策で間に合わないような、APT攻撃(Advanced persistent threat : 高度かつ持続的な脅威)と呼ばれる攻撃の標的となっていることを警戒しなければなりません。残念ながら、概して日本の企業は欧米の先進的な企業に比べ、その取組みは遅れています。この二つ脅威は、本質的に次のような違いがあります。

  • 機会便乗型脅威:
    機会便乗型脅威は、経済的動機や、単なる破壊への欲求のために、攻撃しやすい脆弱な標的を狙います。多くの場合、単純な脆弱性スキャンや、盗んだパスワードでのアクセス、不十分な設定のアプリケーションの発見に始まります。攻撃は通常無差別で、一度攻撃すると次の標的へと対象を移します。サービス妨害攻撃(Denial of Service attack)、ウェブ改ざん、さらに財務情報の窃取などが含まれます。
  • 高度かつ持続的な脅威(APT):
    APTは、組織の特定グループから情報を収集します。攻撃者たちは標的を陥れるために、ありとあらゆる手段を使います。組織内の個人を特定するために十分な調査を行い、長期間(数年単位)にわたって継続し、集中的に複雑な攻撃を実施します。可能な限り長く潜伏し続けようとする特徴があり、膨大な機密情報を収集し、侵入の痕跡をほとんど残しません。

2. 標的は誰か?

当初、APTは、軍事施設や政府機関を標的としてきましたが、その後、同様の軍事的価値や知的価値のある情報を有する、より脆弱な組織、いわゆる防衛システムの開発と製造を行う請負業者に対象を移してきました。さらに最近になって、APTは、製造業、金融業、エネルギー産業、ハイテク工学の企業を含む、新たな標的へと対象を拡大しています。

3. 攻撃の展開

APTは、例えば次のような手順で攻撃を展開していきます。

調査・偵察
ターゲット企業を特定し、直近の会議の出席者・役員の履歴・過去のEメール等様々なソースから攻撃相手の情報を収集する。
初期攻撃
標的型メール、物理媒体等を利用し、ソーシャルエンジニアリングを駆使して、ターゲットのシステムを感染させる。
マルウェアの実行
攻撃者の用意しているサーバーとの通信経路となるバックドア(裏口)を確保する。新しい機能、アカウントや権限を追加する。
足場固め
盗んだアカウントを使って足場を強化する、新しく発見された脆弱なデバイスを攻撃する等の足場固めを行う。
盗み出し
パスワードで保護されたアーカイブに目的のデータをまとめる等して、バックドアから目的となる情報を窃取する。何度も侵入を繰り返し膨大な情報を窃取する。

4. ニューノーマルの確立

これまでと異なる攻撃手法と攻撃者の出現によってもたらされた継続的な脅威を受け、組織のセキュリティ戦略に新しい考え方が必要です。情報セキュリティにも、従来の取組みと違う、"ニューノーマル(新しい常態)"を確立することが必要です。次に従来の考え方との相違の主要な部分を例示します。

従来の取組み ニューノーマル
「どうやって」という視点でセキュリティインシデントに対応する(どうやって攻撃者はネットワークに入り込んだのか?)
  • 「何を」そして「何故」という視点から分析する。攻撃者を理解し、収集しようとしているデータが何であるかを特定する。
  • 最もリスクの高いデータに関する保護、攻撃に対する検知および対応に着目することから始める。
企業インフラが現に脅かされているという証拠がない場合には安全であると仮定する。
  • すでに企業インフラに侵入されていると仮定する。
  • 悪意のあるハッカーによる継続的な攻撃を特定し、闘うための堅牢な戦略の構築に必要な、知識に基づく取組みを推進する。
  • AV(アンチウィルス)やIDS(侵入検知システム)よりも高度で、積極的にセキュリティ侵害の証拠を調査する検出メカニズムを開発する。
セキュリティツールを調達し展開することがセキュリティ対策プロジェクトの成果である。
  • 十分なスキルを持つサイバーセキュリティの担当者が複雑な脅威を防御する。
  • 脅威調査チームからセキュリティ対策プロジェクトのプロジェクトマネージャーへフィードバックを行い、APT攻撃対策を共同して検討する。

尚、EYでは、APT攻撃について、2011年3月に、「サイバー攻撃への対抗」という、より詳しい小冊子を発行しております。
以下のページより英語版・日本語版が入手できますので、ぜひご参照下さい。





情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?