セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

標的型攻撃のいたちごっこは永遠に続く

最近、ある英国の技術系の会社が標的型攻撃による被害を受けました。その攻撃は中国のハッカーによるものでしたが、用いられていたのはロシアの手口だったのです。なぜ、中国のハッカーはわざわざロシアの手口を利用したのでしょうか。この疑問に対して、F-Secureのプリンシパル・セキュリティ・コンサルタント Tom Van de Wiele は次のように答えました。

各国が互いの攻撃手法を利用するのは、そうすることで攻撃がうまくいくからです。他人の手法を盗めるのであれば、コスト削減や攻撃の洗練のためにも当然彼らはそうするでしょう。さらに言うなら、もし攻撃が発覚しても言い逃れの口実になりますし、少なくとも事態を複雑な状況にはしてくれます。– Tom Van de Wiele, F-Secure

その攻撃が国家による支援を受けていようがいまいが、攻撃手法を使いまわすことはネットワーク犯罪において有利に働きます。
さらに、成功率を高め、検出されるリスクを下げることだけが目的だとしても、実用的な利点は求められます。

もちろん、特定の手法がほかの何よりも優先されることはあります。– Tom Van de Wiele, F-Secure

たとえば、攻撃者にとって「身柄や情報の引き渡しが求められない国」は好都合の拠点となります。人員や設備を配置することで攻撃は検出されやすくなるかもしれませんが、どちらにせよ攻撃者の特定が困難であることには変わりないため、身を守ることができるのです。

国家によるサイバー攻撃に対抗するために

攻撃とその対策が変わり続ける様をTomは「永遠のいたちごっこ」と呼んでいます。このような国家による攻撃にはどのように対処すればいいのでしょうか。攻撃の高度化に為す術なく、取り残されるしかないのでしょうか。

国家によるサイバー攻撃への対処方法は、一般的な標的型攻撃の対策と同様です。– Tom Van de Wiele, F-Secure

その対策とはどのようなものなのでしょうか。Tomがすべての組織に推奨する手順は以下のとおりです。

1. 脅威モデルを作成する、少なくとも最悪の事態を想定したシナリオを用意しておく

すべての情報を守ることは不可能ですが、その中でも特に優先して守るべきものはあります。それが何かを見極め、最近のサイバー攻撃の傾向とそれがビジネスに及ぼす影響を測定しておくことをお勧めします。その時に、利害を共有しうるすべての関係者と「起こりうる事態」について話し合いましょう。– Tom Van de Wiele, F-Secure

このセミナーで、Tomは攻撃者の思考や行動パターンを把握することがセキュリティ対策においていかに有効かを語っています。数ある脅威の中でも、あなたの組織が特に注意をするべきものは何なのでしょうか。この映像はセキュリティ対策における考え方を磨くための手助けとなります。

2. 標的型攻撃を検知し対応する

標的型攻撃を止めることはできません。しかし、対策次第では攻撃を検知することは可能です。検知すべき領域を見定め、セキュリティインシデントに対処する上で十分な詳細ログが収集できるよう設定しておきましょう。エンドポイント対策は必須です。

3. 攻撃に備える

問題は、いつ攻撃を受けるのかではなく、その攻撃に対する準備ができているかどうかです。

緊急事態に対処できるように、危機管理や事後対策のシミュレーションを行いましょう。そして、攻撃の識別、封じ込め、その他の行動や設定変更において、誰が、いつ、どのような事態にどのような行動を取るべきかを確認しておきます。

誰一人として見知らぬものをクリックしない、あるいは誰もビルの中に入ってこないということを前提にセキュリティ対策を立てることはできません。どちらも起こりうることとして、監視・警告のプロセスとメカニズムがどのようなものなのかをあらかじめ知っておく必要があります。

4. 防御する

マルウェアのほとんどは電子メール経由で侵入します。業務上電子メールの受信が必要だとしても、その従業員が重要な資産や知的財産が保管されたクリティカルなネットワークに接続する必要があるかどうかは一考するべきです。

2018年前期にF-Secureが公表したセキュリティインシデント報告によると、セキュリティ被害の34%がフィッシングやマルウェアが添付された電子メールが原因であることがわかりました。

Tomは以下について確認しておくことを推奨しています。

  • ドメインを分離し、関連するすべてのネックとなる部分が検出できる状態になっているか。
  • 社員が送ろうとしているファイルは、その送信先に共有する必要があるか。
  • 会社の管理資産ファイルの共有方法を設定し、社員が本当に必要な相手とのみファイルを共有できるようになっているか。

会社のドメインに関連付けられていない相手から突然Microsoft Officeの添付ファイルが送られてくる。実際のところ、そのようなことはほとんどないでしょう。管理・監視を可能とするファイル共有サービスを利用することは、部門によっては過剰な対策となり得ます。– Tom Van de Wiele, F-Secure

5. セキュリティ意識を向上させる

サイバー犯罪者はユーザー心理に関する知識を巧みに利用し、攻撃の成功率を高めます。引っ掛かりやすい手口をあらかじめユーザーに周知しておくことで、ある程度その確率を下げることは可能です。

社員には、自らの責任と彼らが日常業務で利用している技術における注意事項を伝えましょう。 標準化されたテストを通して、自社のセキュリティを定期的に検査します。そして、その結果から得られた例を活用してレッドチーム演習を実施し、社員と一緒に議論しましょう。 – Tom Van de Wiele, F-Secure

この対策はF-Secure独自のものではなく、世界中のセキュリティ対策の進んでいる企業が実践しているものです。攻撃者がどれだけ優位に立っているかを考慮すれば、対策のためにいくつかの手法を知っておきたいと思うかもしれません。

あなたの会社が大規模なセキュリティ侵害に備えられているかどうかを見極めましょう。

オリジナル記事情報

    The everlasting cat and mouse game of targeted attacks
    掲載日:2018年11月27日
    執筆者:Jason Sattler
本記事はF-Secure KKの許諾のもと、オリジナル記事を日本語に翻訳・編集したものです。

当社では、F-Secure社のエンドポイントセキュリティソフト、エフセキュア プロテクションサービス ビジネスを取り扱っております。
F-Secure

UTM(統合脅威管理)は標的型攻撃をはじめとしたさまざまな脅威に対応しています。
img_cp700_01 img_cp5000

訓練を通じて標的型メールへの対処を学ぶことは、有効な対策の一つとなります。

標的型メール訓練サービス


体験型セキュリティ基礎コースでは、疑似マルウェアの作成や攻撃元の隠蔽方法など、さまざまな演習を通して攻撃者の思考や行動パターンを学習できます。

体験型セキュリティ基礎コース教育サービス

記事一覧に戻る