日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

経営課題解決シンポジウム 情報漏えい対策編 Review|クオリティソフト

クオリティソフト サイバー攻撃の仕組みを知れば
対抗するための方策も見えてくる

いまだ収束が見えない、サイバー攻撃――。企業内の情報が外部に流出してしまうのを防ぐには、その仕組みを知ったうえでの対策が望まれる。クオリティソフトの山﨑誠司氏は、サイバー攻撃のメカニズムを解説したうえで、統合型の対策ソリューションとして自社のQND Advanceを紹介する。

PCをマルウェアに感染させて情報を盗み取る

クオリティソフト株式会社
カスタマーコミュニケーション本部
セールスプロモーション部 部長
山﨑 誠司 氏

 特定の相手を狙って仕掛けられるサイバー攻撃(標的型攻撃)は、国内では2010年頃から一般にも知られるようになった。最近は他の手法と組み合わせた高度で複雑な攻撃の事例も報告されるようになり、公表されていないものも含めると攻撃を受けた企業・団体の実数はかなり多くなるものとみられる。

 では、サイバー攻撃とは具体的にどのような攻撃手法であり、狙い撃ちされた企業・団体にどのような影響をもたらすのか――。クオリティソフトの山﨑誠司氏はそのメカニズムを解説しつつ、情報漏えいの抑止にはどのような対策が有効かを解き明かす。

 サイバー攻撃の端的なねらいは、個人情報(社員/顧客)や営業秘密などの情報を外部に漏えいさせることにある。しかし、情報漏えいのすべてがサイバー攻撃に分類されるわけではない。「情報漏えいを大別すれば、不慮の事故、内部不正による持ち出し、社外から故意にアタックされるサイバー攻撃に分けることができます」と山﨑氏は語る。具体的には、IDやパスワードの流出、サーバー停止、Webサイト改ざんなどが含まれるという。

 山﨑氏は、情報セキュリティの脅威についてのIPAの調査結果を基にサイバー攻撃には複数の事象が関連しているとの見方を提示する。「不正ログインによってユーザー情報がWebサービスから漏えいし、その流出データが他サイトでの不正ログインや標的型メールによるピンポイント攻撃へと連鎖していきます」としたうえで、標的型メールの送り付け、Webサイトの改ざん、スマートフォン版マルウェアからの攻撃、サービス妨害(DDoS)などの外部からの攻撃は、すべてマルウェアに感染させることが目的だと指摘する。

 企業内のPCがマルウェアに感染する主な経路として、山﨑氏は、「標的型メール」「Webサイト」「USBメディア」の三つを挙げる。標的型メールは、日常的にやり取りされる業務用の電子メールとほとんど区別できない文面になっていることがポイント。人材募集担当者への応募メールや取材への対応依頼メールなどがその典型だ。マルウェアは標的型メールに添付されたファイルに含まれているが、電子メールの文面を見ただけではその危険性を察知できないのである。

 また、マルウェアを配布するように改ざんされたWebサイトに標的となる相手を誘導するのが、ドライブバイダウンロードなどと呼ばれる手法だ。USBメモリなどにマルウェアを仕込んでおき、Windowsの自動再生(AutoRun)機能などでPCに感染させるという古典的な手口もいぜん健在だ。

関係先も含めて複数の経路から攻撃される

 サイバー攻撃は、企業のPCがマルウェアに感染してしまうところから始まる。次の段階では、そのマルウェアが外部のコマンド&コントロールサーバー(C&Cサーバー)と通信するための経路を確保し、企業内ネットワークに潜り込むためのバックドア(裏口)を作りあげてしまう。C&Cサーバーは攻撃者がインターネットのどこかに構築したサーバーで、ファイルを盗み取ったりマルウェアを他のPCやサーバーに組み込んだりする際の“中継基地”として使われるものだ。

 「企業で一般的に使用されるWindows PCの場合、ログオンの際のユーザー認証に使われたIDとパスワードハッシュがPC内に残っています。このため、いったん企業内ネットワークに侵入されてIDが抜き取られ、パスワードも解析されてしまうと、そのユーザーが乗っ取られてしまうことになります」と山﨑氏は警告する。また、一般ユーザー用のPCに業務アプリケーションを組み込む作業をシステム管理者のIDで行っていると、攻撃者はシステム管理者として振る舞えるようになってしまう。

サイバー攻撃への対策
関係先も含めて長期間にわたって執拗に続くサイバー攻撃への有効な対策は、「最新のOS/アプリケーションを使う」「不要な外部向け通信を監視・遮断」「定期的なログ監視・監査」の三点

 こうした攻撃は、標的とする企業だけでなく、その関係先に対しても長期間にわたって執拗に行われる。実際、JPCERTコーディネーションセンター(JPCERT/CC)が公開したセキュリティインシデントの事例によれば、攻撃者は標的企業B社の従業員が従来から利用していたWebサイトを改ざんしていただけでなく、取引先のY社にも6カ月前に侵入していたという。その結果、総務部門のPCがWebサイト経由でマルウェアに感染し、Webサーバー、Web管理者のPC、ドメインコントローラー、製造部門のPC、と次々に侵入先が広がってしまった。このほか、被害はなかったものの、人事担当者に不審な電子メールが送り付けられたり、製造部門にマルウェア入りDVD-Rが届けられたりしたこともあったという。

 このような実例からわかることとして、山﨑氏は「複数の攻撃手法が使われる」「弱いところを狙われる」「マルウェアを検知するのは難しい」「いったん侵入されると社内の他のPCにも侵入される」「裏口から何回も侵入される」「全容解明には時間がかかる」などを列挙する。望まれる対策として、「最新のOS/アプリケーションを使う」「不要な外部向け通信を監視・遮断」「定期的なログ監視・監査」の三点を挙げる。

サイバー攻撃に対抗できるQND Advance

 この三つの対策をすべてカバーする強力なサイバー攻撃対策ソリューションが、クオリティソフトのフルスペック・クライアント管理製品の「QND Advance」である。

 まず、常に最新のOSとアプリケーションを使えるようにする機能として、「資産管理」がある。これは企業内ネットワークに接続されたすべてのPCからソフトウェア情報を収集し、ソフトウェアインベントリーとして一元的に管理するというもの。古いソフトウェアを使っているPCを自動的に洗い出し、最新バージョン/最新パッチを自動的に配布してくれるので、サイバー攻撃の“入り口”となる脆弱性は極限まで減らすことができる。WindowsのAutoRunをオフにする機能を併用すれば、USBメモリなどからのマルウェア感染も防止可能だ。

フィルタリング・配布・ログで標的型攻撃をブロック!
資産管理機能で最新バージョンを適用、URLフィルタリングで外部向けの怪しい通信を遮断し、クライアント操作ログ機能で監視・監査を強化する

 次に「URLフィルタリング」機能によって、外部向けの怪しい通信を個別に遮断できる。山﨑氏は「従来のURLフィルタリングは従業員による私的利用を防ぐコンプライアンスの目的で使われることが多かったのですが、ここでは、マルウェア配布サイトへのアクセスを避けるために利用しています」と語り、QND AdvanceのURLフィルターは国のセキュリティ対策機関やセキュリティサービス企業とも連携していることを明らかにした。インターネットに接続できればどこでも利用できるクラウドサービスとして提供されるので、外出先や出張先などで使用するノートPCやタブレットに対しても同じレベルのコントロールができるという利点もある。

 さらに「クライアント操作ログ」の機能を利用すると、企業内のPCが攻撃者に乗っ取られてしまった場合の行動確認ができる。QND Advanceで取得できる操作ログの種類は14種類。真に危険な状態になったらQNDコンソールにアラートを表示するにように設定できるほか、監査やデジタルフォレンジック用にアラート発生時の操作画面をイメージとして取得・保存させることも可能だ。

 山﨑氏は「クオリティソフトには、このほかにも多様なセキュリティソリューションがそろっています」という。サイバー攻撃以外のセキュリティ対策にもぜひ活用してほしいと語る。

お問い合わせ

クオリティソフト株式会社

TEL 03-5275-6123

E-mail sales@quality.co.jp

URL https://qweb.quality.co.jp/wumf/index.cfm?RefNo=225