キヤノンITソリューションズ マルウェアラボ・マルウェアアナリスト 池上 雅人 氏

キヤノンITソリューションズ
マルウェアラボ・マルウェアアナリスト

池上 雅人

キヤノンITソリューションズが、サイバー攻撃の脅威を軽減するために「マルウェアラボ」を開設した。同ラボでアナリストを務める池上雅人氏が、サイバー攻撃の最新動向とその対策を解説した。

CaaSの登場によって攻撃のハードルが下がる

 「サイバー攻撃に利用するためのサービスが相次いで登場しており、攻撃者のコストが急激に低下しています」。池上氏は、サイバー攻撃が急増している背景を、このように説明する。こうしたサービスは「CaaS(Crime as a Service)」と呼ばれている。

 電子メールで金融機関などを模した偽のウェブサイトに誘導し、クレジットカード情報などを盗み出すフィッシング詐欺のためのサービス「PhaaS(Phishing as a Service)」も登場している。サービス提供者がフィッシング詐欺に必要なインフラを設置し、これを実行犯である攻撃者が利用するという仕組みだ。

PhaaS(Phishing as a Service)の仕組み 攻撃者は、サービス提供者が用意しているインフラを有償で利用する。このため、専門的な知識がなくても攻撃の実行が可能になる

PhaaS(Phishing as a Service)の仕組み

攻撃者は、サービス提供者が用意しているインフラを有償で利用する。このため、専門的な知識がなくても攻撃の実行が可能になる

画像を拡大する

 ファイルを暗号化したり、PCをロックしたりして、解除のための身代金を要求するランサムウェアをサービスとして提供する「RaaS(Ransomware as a Service)」もある。RaaSでは、サービス提供者と攻撃者の間で身代金を山分けしているという。

マルウェアを研究・解析する専門組織を設置

 池上氏は「CaaSを利用することで、専門知識を持たない者でも、サイバー攻撃を実行することが可能になりました。犯罪件数は、今後も増え続けるでしょう」と警鐘を鳴らす。こうした危機的な状況を改善するために、キヤノンITソリューションズが3年前に開設したのが「マルウェアラボ」である。

 同社は、欧州に本社を置くESET社が開発したセキュリティソリューション「ESET」の販売を手がけている。ソフトウェアの販売だけでなく、顧客から提供されたマルウェアを解析するようなサービスも提供中だ。『日経コンピュータ』誌が毎年実施している顧客満足度調査では、「セキュリティ対策製品部門」で6年連続の第1位という実績を誇っている。

 マルウェアラボは、主に①研究調査、②検体解析、③情報発信──という3つの活動に取り組んでいる。研究調査では公的機関や研究機関と連携して、サイバー攻撃やマルウェアの研究調査を行っている。検体解析では、マルウェアがどんな挙動をするのか、どこのサーバーと通信するのかといったことを詳細に解析する。研究調査と検体解析で得られた情報を基に、ウェブサイト上で公表するレポートやセミナー、講演活動を通して、マルウェアの最新動向や対策などを発信中だ。

 マルウェアラボの強みは、ESET社が世界中に設置しているラボと連携して情報交換を行っている点だ。これについて、池上氏は次のように説明する。

 「ある地域で流行したマルウェアが、数日後に別の地域で流行する例が多くなっています。国内のサイバー攻撃にいち早く対処するためには、世界中から情報を収集することが欠かせません」

キヤノンITソリューションズの「マルウェアラボ」 顧客企業におけるサイバー攻撃の脅威を軽減するために開設。「研究調査」「検体解析」「情報発信」という3つの活動に取り組む

キヤノンITソリューションズの「マルウェアラボ」

顧客企業におけるサイバー攻撃の脅威を軽減するために開設。「研究調査」「検体解析」「情報発信」という3つの活動に取り組む

画像を拡大する

目的達成まで攻撃を継続するAPTが大きな脅威として浮上

 池上氏は、今後は「APT(Advanced Persistent Threat)」と呼ばれるサイバー攻撃が大きな脅威になると指摘する。APTとは、特定の標的に対して、高度な技術を駆使して目的を達成するまで継続的に攻撃をしかける手口のことだ。攻撃が数年にもわたって継続するケースもあるという。主な標的は、公的機関や大手企業の機密情報である。

 一般にAPTは、「サイバー・キル・チェーン」と呼ばれる複数のフェーズで構成されるという。APTの攻撃者は、初めにターゲットとなる組織の情報を収集する。例えば、導入しているアンチウイルス製品の情報を取得し、その製品で検知されないようなマルウェアを作成する。

 その後、脆弱性などを悪用してターゲットの環境に入り込み、バックドアを設置。バックドアに対して指令を送ることで、機密情報を窃取するなどの目的を果たす。池上氏は「パターン化していないオンリーワンの手口なので、パターンマッチング方式のセキュリティツールで検知することは難しいでしょう」と語る。

 近年は、サイバー攻撃集団が特定の業界や地域を執拗に狙うキャンペーンを行うこともあるという。例えば「Plead」と呼ばれるキャンペーンは、東アジアをターゲットにしていた。このキャンペーンは日本でも活動が確認されており、今年1月には文科省をかたったメールが研究機関に送付されている。

攻撃の対象となることを前提とした防御策が必要

 サイバー攻撃への対策として、池上氏は次の3つを提示した。1つ目は脆弱性への対応だ。セキュリティパッチを必ず適用した上で、脆弱性を診断する製品やサービスを活用することも効果的だと指摘する。

 2つ目は、セキュリティ製品を正しく運用することである。「エンドポイント製品の定義データベースを最新の状態に保つのはもちろんのこと、ファイアウォールやIPS/IDSなどのネットワーク製品を活用し、複数の層で防御することが重要です」と語る。

 3つ目は、情報リテラシーの教育だ。怪しいメールに気をつけてはいても、見ただけでは気づかないものも存在することに留意する必要がある。メールに記載されたURLには、原則としてアクセスしないことを推奨しているという。

 池上氏は「サイバー攻撃の脅威を軽減するためには、何よりも攻撃者の戦術を知ることが重要です」と力説する。たとえAPTの攻撃を受けても、敵の戦術が分かれば、それに対応した防御策を講じることができるからだ。同氏は、次のように語って講演を締めくくった。

 「2年後にオリンピック・パラリンピックを開催する日本では、これからサイバー攻撃が急増することが予想されます。高度な攻撃の対象となることを前提とした防御策を立案することが、大切です」

このページのトップに戻る