2016年5月23日掲載
サイバー攻撃対策はもはや経営課題であり、全社で取り組む課題でもあります。そのため誰もがサイバー攻撃に関するポイントを押さえておく必要があると言えます。サイバー攻撃のパターンには大きく、プログラムの脆弱性につけこむ方法と巧妙な手口でだます方法があります。今回は巧妙な手口でだます方法を見ていきましょう。
埼玉県にある従業員約280人のEMS(Electronics Manufacturing Service)企業、YMC電子工業(仮名、以下YMC)。同社の顧問ITコンサルタントである美咲いずみ(仮名)は、同社の山田勝(仮名)社長と山田昭(仮名)CIO兼システム部長の要請で、情報セキュリティに関する講義をしている。プログラムの脆弱性につけこむ方法と対策についての説明を終え、これから巧妙な手口でだます方法の説明を始めるところだ。
「巧妙な手口でだます方法として最初に『水飲み場攻撃』(水飲み場型攻撃とも言う)についてお話ししましょう」
「何だかのんびりした名前だねえ」と山田社長が言うと、いずみは「水飲み場にライオンが潜んでいて草食動物を狙っていると言えば、少しは怖そうでしょうか?」と返す。
いずみが続ける。「実際かなり悪質な攻撃です。この中にPCに怪しいソフトウェアがインストールされてしまい、アンインストールするのに困ったことがある人はいませんか?」
「恥ずかしながら……」と真鍋勇(仮名)課長が手を挙げた。
「また不適切なサイトでも閲覧していたんじゃ?」と木村美佐子(仮名)主任が突っ込みを入れた。
「ははは。『期待』に応えられなくて申し訳ないが、ある有名なソフトをダウンロードして自宅のPCにインストールして使っているんだ。更新があると知らせてくれるので最新版をダウンロードしてインストールしたら、それ以降ブラウザを起動するたびに、変なサイトが初期画面になってしまってね。元に戻すのに、かなりネットを調べまくったよ」
「それが水飲み場攻撃の原型です。人がよく来るサイトを改ざんして、開いただけで悪意のあるソフトがダウンロードされるようにします(『ドライブ・バイ・ダウンロード』という)」
「確かに悪質だね」と山田社長が言う。
「水飲み場攻撃は、特定企業の社員がよく行くサイトを改ざんして、そこにマルウェア(悪意のあるソフトウェア)を仕掛けるという手口です。こうすると、特定の人たちしか被害にあわないため、発見が遅れます。そこにゼロデイ攻撃を仕掛けます」
「何だか戦争の作戦名みたいな攻撃だね」と山田CIOが口をはさむ。
「勢いとしては戦争の感じがありますね。まさに奇襲ですから。まだ対策が実行されないうちにサイバー攻撃を仕掛けることを『ゼロデイ攻撃』と言います。対策どころかまだマルウェアが仕掛けられたことに気がつかないうちに、バッファオーバーフローなどのセキュリティホールを利用して一斉にマルウェアを起動し、企業活動を混乱に陥れるわけです」
「それはひどい」
「ゼロデイ攻撃は、セキュリティパッチが配布される前の攻撃のことを言いますが、特定企業を狙った水飲み場攻撃と組み合わせると最も効果があるとされています」
「水飲み場攻撃に有効な対策はあるんですか?」と運用担当の宮下浩二(仮名)が質問する。
「情報セキュリティ対策には、入り口対策と出口対策の2とおりがあります。入り口対策は侵入前に防ぐこと、出口対策は侵入後に早急に検知して対応することです。水飲み場攻撃には入り口対策はほとんど効果がありません。マルウェアが侵入したことやシステムの異常をいち早く検知し、すぐに対応するしかありません。つまり監視ツールによる検知が最も有効です」
「次に、標的型メール攻撃について説明します。みなさん、2015年5月に発生した大規模な個人情報漏えい事件を覚えておられますか?」
「あんな事件が当社で起こったらとゾッとしたよ。まあ当社はBtoC企業ではないので個人情報ではそれほどの一大事にはならないが、機密性の高い設計情報をお預かりするので、それが奪われたら大変な賠償責任になる」と山田CIO。
「その事件で使用された手口がまさに標的型メール攻撃だったのです。ちなみに不特定多数ではなく、特定の組織や個人に対象を絞ることから『標的型』と呼ばれています」
「標的型メール攻撃では、添付ファイルやURLなどをクリックしない限りは問題ないと聞いています。被害にあった組織ではそのような呼びかけをしていなかったのでしょうか?」と宮下が質問した。
「さすが、宮下さん。いい質問です。おっしゃるとおり、標的型メール攻撃とは、ターゲットに向けて、添付ファイルを開いたり、罠を仕掛けたサイトへのURLをクリックしたりするように要求するメールを送りつけて、それらのアクションをトリガーにして、マルウェアを送りこむ攻撃です。
この文面がとても巧妙になっています。タイトルも自然ですし、文章も巧みです。日本人スタッフがいるというウワサがあるぐらい、日本語もしっかりしています。差出人のメールアドレスも自然なので、まじめな人ほどクリックしてしまう可能性が高まります。
その組織でもでも標的型メールの発見以降、注意喚起をしたのですが、メールの内容や添付ファイルの具体名などがなく、不十分な注意喚起だったと言われています。とはいえ、かなり巧妙なメールで、注意喚起しても引っかかる人は多かったのではないでしょうか」
「対策はあるの?」と木村主任。
「標的型メールの取り扱いルールを決めて、見分け方と取り扱いを具体的な事例で示したマニュアルを作成し、従業員教育をすることが最も有効です。最近は標的型メール検知ツールも出てきています。100%確実とは言えませんが、導入することで検知率が高まることが期待できるでしょう」
「最後にランサムウェアについて説明します。ランサムとは『身代金』や『人質の解放』を意味する言葉です。なので、ランサムウェアを『身代金ウイルス』と訳すこともあります」
「身代金? それは物騒だな。でも何に対して?」と山田社長が質問する。
「PCやスマートフォンを操作不能にしたり、PCに接続しているディスク上のファイルを勝手に暗号化したりするのです。そして『元に戻すには、●万円の支払いが必要です』というメッセージボックスを表示します。メッセージボックスも出っぱなしになり、消すのも難しいのです」
「お金を払う人はいるのかね?」
「います。身代金の額は数万円ぐらいということが多く、ファイルやデータが消滅する損失と比較すれば安いと言えます。また個人で支払える額でもあります。そこで身代金を支払う人が後を絶ちませんが、元に戻ることはまずありません。結局泣く泣く、クリアインストール(PCなどを出荷時の状態に初期化して、OSとアプリケーションなどをインストールし直すこと)することになります」
ランサムウェアは、標的型メール攻撃と組み合わされることが多い。巧みな言葉にだまされてWebサイトへのリンクをクリックしてしまうと、それだけで感染してしまうようになっている。
身代金は、匿名接続が可能なWebサイトで、仮想通貨「ビットコイン」など、追跡が難しい電子通貨で支払うよう要求されるが、いずみの言うように支払っても元に戻ることはまずない。セキュリティの専門家は「絶対に支払ってはいけない」と警告している。
「しかし恐ろしいね。どんな対策があるのだろうか?」と真鍋課長が質問した。
「標的型メール攻撃と組み合わされることが多いので、1つは標的型メール攻撃への対策をきちんとすることです。ただ通常のウイルスである場合もあるので、ウイルス対策ソフトとパターンファイルは常に最新の状態にしておくことも重要です。またセキュリティホールを利用して、サーバー内のソフトを書き換える形で侵入してくることもあるので、最新のセキュリティパッチを適用しておくことも必要です」
「つまり、従来のマルウェア対策を怠りなくやっておけということですね」と宮下。
「そのとおりです。さらに万が一の感染に備えて、バックアップをこまめに採っておくことも推奨されています。ただし一点だけ注意事項があります。どなたか分かりますか?」
木村主任が手を挙げた。「バックアップのための媒体は常時接続してはダメということじゃないかしら?」
「ご明察です。バックアップのとき以外は物理的に切り離してください。そうしないとバックアップファイルも使用不能にされてしまいます」
「まったく、恐ろしい世の中になったものだ。だが、きちんと最新情報を収集して油断せずに対策を実施し、万が一侵入・感染が検知された場合の対策も考えておけば、なんとかなるということかな?」と山田CIOが言うと、いずみは「少し厳しい言い方をしますと、最低限そのようにすることが必要です」と返す。
「情報システム部門だけでは対策・対応は難しいということだな。まず経営陣がこのような状況であることを認識し、全社的な体制を作る。そして予算を取ってマニュアル作成や研修を実施し、全社員にも状況を認識し、普段からセキュリティ対策を実施してもらう。そのうえで情報システム部門には、侵入・感染を防ぐための対策と被害にあった場合の対応をしてもらう」
「山田社長のおっしゃるとおりです。付け加えるとしたら、実際に被害にあったことを想定した、社員を巻き込んだ対応訓練も必要だと言えます。これは事業継続計画(BCP)と同じで、今は大地震などの災害とサイバー攻撃を同列に考えないといけない時代なのです」
「サイバー攻撃は災害と同じか。しかし自然災害と違って、我々の努力で防げる確率が高まる災害ではあるね」と山田社長。
「はい。むやみに恐れず、情報収集で敵を知り、内部監査で己を知れば『百戦危うからず』ではないでしょうか?」
「『孫子』か。若いのによく知っているね」と山田社長が褒める。だが、いずみが「よく知って」いたのは、実は歴女だったからである。
まとめ
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。