ページの先頭です。
ヘッダをスキップして本文へ。

TOPコラムITコンサルタント美咲いずみが行く > 第23回 サイバー攻撃の最新トレンドと対策(3)~巧妙な手口でだます

第23回 サイバー攻撃の最新トレンドと対策(3)~巧妙な手口でだます

サイバー攻撃対策はもはや経営課題であり、全社で取り組む課題でもあります。そのため誰もがサイバー攻撃に関するポイントを押さえておく必要があるといえます。サイバー攻撃のパターンには大きく、プログラムのぜい弱性につけこむ方法と巧妙な手口でだます方法があります。今回は巧妙な手口でだます方法を見ていきましょう。


第23回 サイバー攻撃の最新トレンドと対策(3)~巧妙な手口でだます


水飲み場に待ちうけるライオン

埼玉県にある従業員約280人のEMS(Electronics Manufacturing Service)企業、YMC電子工業(仮名、以下YMC)。同社の顧問ITコンサルタントである美咲いずみ(仮名)は、同社の山田勝(仮名)社長と山田昭(仮名)CIO兼システム部長の要請で、情報セキュリティーに関する講義をしている。プログラムのぜい弱性につけこむ方法と対策についての説明を終え、これから巧妙な手口でだます方法の説明を始めるところだ。

「巧妙な手口でだます方法として最初に『水飲み場攻撃』(水飲み場型攻撃ともいう)についてお話ししましょう」

「何だかのんびりした名前だねえ」と山田社長がいうと、いずみは「水飲み場にライオンが潜んでいて草食動物を狙っているといえば、少しは怖そうでしょうか?」と返す。

いずみが続ける。「実際かなり悪質な攻撃です。この中にPCに怪しいソフトウェアがインストールされてしまい、アンインストールするのに困ったことがある人はいませんか?」

「恥ずかしながら……」と真鍋勇(仮名)課長が手を挙げた。

「また不適切なサイトでも閲覧していたんじゃ?」と木村美佐子(仮名)主任が突っ込みを入れた。

「ははは。『期待』に応えられなくて申し訳ないが、ある有名なソフトをダウンロードして自宅のPCにインストールして使っているんだ。更新があると知らせてくれるので最新版をダウンロードしてインストールしたら、それ以降ブラウザを起動するたびに、変なサイトが初期画面になってしまってね。元に戻すのに、かなりネットを調べまくったよ」

「それが水飲み場攻撃の原型です。人がよく来るサイトを改ざんして、開いただけで悪意のあるソフトがダウンロードされるようにします(『ドライブ・バイ・ダウンロード』という)」

「確かに悪質だね」と山田社長がいう。

ゼロデイ攻撃と組み合わせる

「水飲み場攻撃は、特定企業の社員がよく行くサイトを改ざんして、そこにマルウェア(悪意のあるソフトウェア)を仕掛けるという手口です。こうすると、特定の人たちしか被害にあわないため、発見が遅れます。そこにゼロデイ攻撃を仕掛けます」

「何だか戦争の作戦名みたいな攻撃だね」と山田CIOが口をはさむ。

「勢いとしては戦争の感じがありますね。まさに奇襲ですから。まだ対策が実行されないうちにサイバー攻撃を仕掛けることを『ゼロデイ攻撃』と言います。対策どころかまだマルウェアが仕掛けられたことに気がつかないうちに、バッファオーバーフローなどのセキュリティーホールを利用して一斉にマルウェアを起動し、企業活動を混乱に陥れるわけです」

「それはひどい」

「ゼロデイ攻撃は、セキュリティーパッチが配布される前の攻撃のことを言いますが、特定企業を狙った水飲み場攻撃と組み合わせると最も効果があるとされています」

「水飲み場攻撃に有効な対策はあるんですか?」と運用担当の宮下浩二(仮名)が質問する。

「情報セキュリティー対策には、入り口対策と出口対策の2とおりがあります。入り口対策は侵入前に防ぐこと、出口対策は侵入後に早急に検知して対応することです。水飲み場攻撃には入り口対策はほとんど効果がありません。マルウェアが侵入したことやシステムの異常をいち早く検知し、すぐに対応するしかありません。つまり監視ツールによる検知が最も有効です」

巧妙化している標的型メール攻撃

「次に、標的型メール攻撃について説明します。みなさん、2015年5月に発生した大規模な個人情報漏えい事件を覚えておられますか?」

「あんな事件が当社で起こったらとゾッとしたよ。まあ当社はBtoC企業ではないので個人情報ではそれほどの一大事にはならないが、機密性の高い設計情報をお預かりするので、それが奪われたら大変な賠償責任になる」と山田CIO。

「その事件で使用された手口がまさに標的型メール攻撃だったのです。ちなみに不特定多数ではなく、特定の組織や個人に対象を絞ることから『標的型』と呼ばれています」

「標的型メール攻撃では、添付ファイルやURLなどをクリックしない限りは問題ないと聞いています。被害にあった組織ではそのような呼びかけをしていなかったのでしょうか?」と宮下が質問した。

「さすが、宮下さん。いい質問です。おっしゃるとおり、標的型メール攻撃とは、ターゲットに向けて、添付ファイルを開いたり、罠を仕掛けたサイトへのURLをクリックしたりするように要求するメールを送りつけて、それらのアクションをトリガーにして、マルウェアを送りこむ攻撃です。
この文面がとても巧妙になっています。タイトルも自然ですし、文章も巧みです。日本人スタッフがいるというウワサがあるぐらい、日本語もしっかりしています。差出人のメールアドレスも自然なので、まじめな人ほどクリックしてしまう可能性が高まります。
その組織でも標的型メールの発見以降、注意喚起をしたのですが、メールの内容や添付ファイルの具体名などがなく、不十分な注意喚起だったといわれています。とはいえ、かなり巧妙なメールで、注意喚起しても引っかかる人は多かったのではないでしょうか」

「対策はあるの?」と木村主任。

「標的型メールの取り扱いルールを決めて、見分け方と取り扱いを具体的な事例で示したマニュアルを作成し、従業員教育をすることが最も有効です。最近は標的型メール検知ツールも出てきています。100%確実とはいえませんが、導入することで検知率が高まることが期待できるでしょう」

絶対に支払ってはいけない「身代金」

「最後にランサムウェアについて説明します。ランサムとは『身代金』や『人質の解放』を意味する言葉です。なので、ランサムウェアを『身代金ウイルス』と訳すこともあります」

「身代金? それは物騒だな。でも何に対して?」と山田社長が質問する。

「PCやスマートフォンを操作不能にしたり、PCに接続しているディスク上のファイルを勝手に暗号化したりするのです。そして『元に戻すには、●万円の支払いが必要です』というメッセージボックスを表示します。メッセージボックスも出っぱなしになり、消すのも難しいのです」

「お金を払う人はいるのかね?」

「います。身代金の額は数万円ぐらいということが多く、ファイルやデータが消滅する損失と比較すれば安いといえます。また個人で支払える額でもあります。そこで身代金を支払う人が後を絶ちませんが、元に戻ることはまずありません。結局泣く泣く、クリアインストール(PCなどを出荷時の状態に初期化して、OSとアプリケーションなどをインストールし直すこと)することになります」

ランサムウェアは、標的型メール攻撃と組み合わされることが多い。巧みな言葉にだまされてWebサイトへのリンクをクリックしてしまうと、それだけで感染してしまうようになっている。

身代金は、匿名接続が可能なWebサイトで、仮想通貨「ビットコイン」など、追跡が難しい電子通貨で支払うよう要求されるが、いずみのいうように支払っても元に戻ることはまずない。セキュリティーの専門家は「絶対に支払ってはいけない」と警告している。

ランサムウェアの対策

「しかし恐ろしいね。どんな対策があるのだろうか?」と真鍋課長が質問した。

「標的型メール攻撃と組み合わされることが多いので、1つは標的型メール攻撃への対策をきちんとすることです。ただ通常のウイルスである場合もあるので、ウイルス対策ソフトとパターンファイルは常に最新の状態にしておくことも重要です。またセキュリティーホールを利用して、サーバー内のソフトを書き換える形で侵入してくることもあるので、最新のセキュリティーパッチを適用しておくことも必要です」

「つまり、従来のマルウェア対策を怠りなくやっておけということですね」と宮下。

「そのとおりです。さらに万が一の感染に備えて、バックアップをこまめに採っておくことも推奨されています。ただし一点だけ注意事項があります。どなたか分かりますか?」

木村主任が手を挙げた。「バックアップのための媒体は常時接続してはダメということじゃないかしら?」

「ご明察です。バックアップのとき以外は物理的に切り離してください。そうしないとバックアップファイルも使用不能にされてしまいます」

サイバー攻撃対策のまとめ

「まったく、恐ろしい世の中になったものだ。だが、きちんと最新情報を収集して油断せずに対策を実施し、万が一侵入・感染が検知された場合の対策も考えておけば、なんとかなるということかな?」と山田CIOがいうと、いずみは「少し厳しいいい方をしますと、最低限そのようにすることが必要です」と返す。

「情報システム部門だけでは対策・対応は難しいということだな。まず経営陣がこのような状況であることを認識し、全社的な体制を作る。そして予算を取ってマニュアル作成や研修を実施し、全社員にも状況を認識し、普段からセキュリティー対策を実施してもらう。そのうえで情報システム部門には、侵入・感染を防ぐための対策と被害にあった場合の対応をしてもらう」

「山田社長のおっしゃるとおりです。付け加えるとしたら、実際に被害にあったことを想定した、社員を巻き込んだ対応訓練も必要だといえます。これは事業継続計画(BCP)と同じで、今は大地震などの災害とサイバー攻撃を同列に考えないといけない時代なのです」

「サイバー攻撃は災害と同じか。しかし自然災害と違って、我々の努力で防げる確率が高まる災害ではあるね」と山田社長。

「はい。むやみに恐れず、情報収集で敵を知り、内部監査で己を知れば『百戦危うからず』ではないでしょうか?」

「『孫子』か。若いのによく知っているね」と山田社長が褒める。だが、いずみが「よく知って」いたのは、実は歴女だったからである。

まとめ

  • 水飲み場攻撃は、ターゲットがよく訪れるサイトを改ざんして、マルウェアを送りこむ手口である。入り口対策はあまり効果がなく、マルウェア侵入をいち早く検知して対応する出口対策が重要である
  • 標的型メール攻撃は、特定の組織や個人を対象にメールを送付し、マルウェアを送りこもうとする攻撃である。手口が年々巧妙になっており、対策にはマニュアル整備と十分な従業員教育が必要である
  • ランサムウェア(身代金ウイルス)は、システムを使用不可能にするサイバー攻撃であり、元に戻したければ金銭を支払えと要求することからこのようにいわれる。通常のマルウェア対策をしっかりとすることと、万が一に備えたこまめなバックアップが必要である
  • 年々高度化しているサイバー攻撃に備えるためには、情報システム部門だけでは対応が困難である。経営陣がまず状況を認識し、社員全体を巻き込んだ全社的な体制作りと対応が必要とされている

いずみの目

経済産業省が「サイバーセキュリティー経営ガイドライン」を策定した背景には、近年のサイバー攻撃被害の増加と被害規模の大型化に対する危機感があります。これは全世界的な現象ですが、諸外国では6割近くの企業がセキュリティー対策に経営幹部が参画しているのに対して、日本ではわずか27%に過ぎません(「サイバーセキュリティー経営ガイドライン v1.0」)。多くの経営者に「サイバーセキュリティー経営ガイドライン」の内容を知っていただく必要があります。そこで、「サイバーセキュリティー経営ガイドライン」を読み物風に分かりやすくまとめた資料を作成しました。ぜひご活用ください。

お役立ち資料:「サイバーセキュリティー経営」とは(下)

[ITブレークスルー代表 森川 滋之 記]

* この物語は、筆者の見解をもとに構成されています。
  日立システムズの公式見解を示すものではありません。
* 文章中に記載された社名および製品名は各社の商標または登録商標です。

オープンクラウドマーケットプレースでは、セキュリティーに関する商品をご用意しております。
条件検索機能より「セキュリティー」に関する商品を検索いただけます。
条件検索画面はこちら


▲画面トップへ戻る

【前回】第22回 サイバー攻撃の最新トレンドと対策(2)~プログラムのぜい弱性につけこむ
【次回】第24回 IPOのための戦略的IT投資(1)~IPO
ITコンサルタント美咲いずみが行く

資料請求・お問い合わせはこちらから

お問い合わせ

利用開始までの流れ

詳しくはこちらから。

利用開始までの流れはこちら