ページの本文へ

Hitachi
お問い合わせお問い合わせ
株式会社 日立システムズ

第23回 サイバー攻撃の最新トレンドと対策(3)~巧妙な手口でだます

2016年5月23日掲載

サイバー攻撃対策はもはや経営課題であり、全社で取り組む課題でもあります。そのため誰もがサイバー攻撃に関するポイントを押さえておく必要があると言えます。サイバー攻撃のパターンには大きく、プログラムの脆弱性につけこむ方法と巧妙な手口でだます方法があります。今回は巧妙な手口でだます方法を見ていきましょう。

第23回 サイバー攻撃の最新トレンドと対策(3)~巧妙な手口でだます

水飲み場に待ちうけるライオン

埼玉県にある従業員約280人のEMS(Electronics Manufacturing Service)企業、YMC電子工業(仮名、以下YMC)。同社の顧問ITコンサルタントである美咲いずみ(仮名)は、同社の山田勝(仮名)社長と山田昭(仮名)CIO兼システム部長の要請で、情報セキュリティに関する講義をしている。プログラムの脆弱性につけこむ方法と対策についての説明を終え、これから巧妙な手口でだます方法の説明を始めるところだ。

「巧妙な手口でだます方法として最初に『水飲み場攻撃』(水飲み場型攻撃とも言う)についてお話ししましょう」

「何だかのんびりした名前だねえ」と山田社長が言うと、いずみは「水飲み場にライオンが潜んでいて草食動物を狙っていると言えば、少しは怖そうでしょうか?」と返す。

いずみが続ける。「実際かなり悪質な攻撃です。この中にPCに怪しいソフトウェアがインストールされてしまい、アンインストールするのに困ったことがある人はいませんか?」

「恥ずかしながら……」と真鍋勇(仮名)課長が手を挙げた。

「また不適切なサイトでも閲覧していたんじゃ?」と木村美佐子(仮名)主任が突っ込みを入れた。

「ははは。『期待』に応えられなくて申し訳ないが、ある有名なソフトをダウンロードして自宅のPCにインストールして使っているんだ。更新があると知らせてくれるので最新版をダウンロードしてインストールしたら、それ以降ブラウザを起動するたびに、変なサイトが初期画面になってしまってね。元に戻すのに、かなりネットを調べまくったよ」

「それが水飲み場攻撃の原型です。人がよく来るサイトを改ざんして、開いただけで悪意のあるソフトがダウンロードされるようにします(『ドライブ・バイ・ダウンロード』という)」

「確かに悪質だね」と山田社長が言う。

ゼロデイ攻撃と組み合わせる

「水飲み場攻撃は、特定企業の社員がよく行くサイトを改ざんして、そこにマルウェア(悪意のあるソフトウェア)を仕掛けるという手口です。こうすると、特定の人たちしか被害にあわないため、発見が遅れます。そこにゼロデイ攻撃を仕掛けます」

「何だか戦争の作戦名みたいな攻撃だね」と山田CIOが口をはさむ。

「勢いとしては戦争の感じがありますね。まさに奇襲ですから。まだ対策が実行されないうちにサイバー攻撃を仕掛けることを『ゼロデイ攻撃』と言います。対策どころかまだマルウェアが仕掛けられたことに気がつかないうちに、バッファオーバーフローなどのセキュリティホールを利用して一斉にマルウェアを起動し、企業活動を混乱に陥れるわけです」 

「それはひどい」

「ゼロデイ攻撃は、セキュリティパッチが配布される前の攻撃のことを言いますが、特定企業を狙った水飲み場攻撃と組み合わせると最も効果があるとされています」

「水飲み場攻撃に有効な対策はあるんですか?」と運用担当の宮下浩二(仮名)が質問する。

「情報セキュリティ対策には、入り口対策と出口対策の2とおりがあります。入り口対策は侵入前に防ぐこと、出口対策は侵入後に早急に検知して対応することです。水飲み場攻撃には入り口対策はほとんど効果がありません。マルウェアが侵入したことやシステムの異常をいち早く検知し、すぐに対応するしかありません。つまり監視ツールによる検知が最も有効です」

巧妙化している標的型メール攻撃

「次に、標的型メール攻撃について説明します。みなさん、2015年5月に発生した大規模な個人情報漏えい事件を覚えておられますか?」

「あんな事件が当社で起こったらとゾッとしたよ。まあ当社はBtoC企業ではないので個人情報ではそれほどの一大事にはならないが、機密性の高い設計情報をお預かりするので、それが奪われたら大変な賠償責任になる」と山田CIO。

「その事件で使用された手口がまさに標的型メール攻撃だったのです。ちなみに不特定多数ではなく、特定の組織や個人に対象を絞ることから『標的型』と呼ばれています」

「標的型メール攻撃では、添付ファイルやURLなどをクリックしない限りは問題ないと聞いています。被害にあった組織ではそのような呼びかけをしていなかったのでしょうか?」と宮下が質問した。

「さすが、宮下さん。いい質問です。おっしゃるとおり、標的型メール攻撃とは、ターゲットに向けて、添付ファイルを開いたり、罠を仕掛けたサイトへのURLをクリックしたりするように要求するメールを送りつけて、それらのアクションをトリガーにして、マルウェアを送りこむ攻撃です。
この文面がとても巧妙になっています。タイトルも自然ですし、文章も巧みです。日本人スタッフがいるというウワサがあるぐらい、日本語もしっかりしています。差出人のメールアドレスも自然なので、まじめな人ほどクリックしてしまう可能性が高まります。
その組織でもでも標的型メールの発見以降、注意喚起をしたのですが、メールの内容や添付ファイルの具体名などがなく、不十分な注意喚起だったと言われています。とはいえ、かなり巧妙なメールで、注意喚起しても引っかかる人は多かったのではないでしょうか」

「対策はあるの?」と木村主任。

「標的型メールの取り扱いルールを決めて、見分け方と取り扱いを具体的な事例で示したマニュアルを作成し、従業員教育をすることが最も有効です。最近は標的型メール検知ツールも出てきています。100%確実とは言えませんが、導入することで検知率が高まることが期待できるでしょう」

絶対に支払ってはいけない「身代金」

「最後にランサムウェアについて説明します。ランサムとは『身代金』や『人質の解放』を意味する言葉です。なので、ランサムウェアを『身代金ウイルス』と訳すこともあります」

「身代金? それは物騒だな。でも何に対して?」と山田社長が質問する。

「PCやスマートフォンを操作不能にしたり、PCに接続しているディスク上のファイルを勝手に暗号化したりするのです。そして『元に戻すには、●万円の支払いが必要です』というメッセージボックスを表示します。メッセージボックスも出っぱなしになり、消すのも難しいのです」

「お金を払う人はいるのかね?」

「います。身代金の額は数万円ぐらいということが多く、ファイルやデータが消滅する損失と比較すれば安いと言えます。また個人で支払える額でもあります。そこで身代金を支払う人が後を絶ちませんが、元に戻ることはまずありません。結局泣く泣く、クリアインストール(PCなどを出荷時の状態に初期化して、OSとアプリケーションなどをインストールし直すこと)することになります」

ランサムウェアは、標的型メール攻撃と組み合わされることが多い。巧みな言葉にだまされてWebサイトへのリンクをクリックしてしまうと、それだけで感染してしまうようになっている。

身代金は、匿名接続が可能なWebサイトで、仮想通貨「ビットコイン」など、追跡が難しい電子通貨で支払うよう要求されるが、いずみの言うように支払っても元に戻ることはまずない。セキュリティの専門家は「絶対に支払ってはいけない」と警告している。

ランサムウェアの対策

「しかし恐ろしいね。どんな対策があるのだろうか?」と真鍋課長が質問した。

「標的型メール攻撃と組み合わされることが多いので、1つは標的型メール攻撃への対策をきちんとすることです。ただ通常のウイルスである場合もあるので、ウイルス対策ソフトとパターンファイルは常に最新の状態にしておくことも重要です。またセキュリティホールを利用して、サーバー内のソフトを書き換える形で侵入してくることもあるので、最新のセキュリティパッチを適用しておくことも必要です」

「つまり、従来のマルウェア対策を怠りなくやっておけということですね」と宮下。

「そのとおりです。さらに万が一の感染に備えて、バックアップをこまめに採っておくことも推奨されています。ただし一点だけ注意事項があります。どなたか分かりますか?」

木村主任が手を挙げた。「バックアップのための媒体は常時接続してはダメということじゃないかしら?」

「ご明察です。バックアップのとき以外は物理的に切り離してください。そうしないとバックアップファイルも使用不能にされてしまいます」

サイバー攻撃対策のまとめ

「まったく、恐ろしい世の中になったものだ。だが、きちんと最新情報を収集して油断せずに対策を実施し、万が一侵入・感染が検知された場合の対策も考えておけば、なんとかなるということかな?」と山田CIOが言うと、いずみは「少し厳しい言い方をしますと、最低限そのようにすることが必要です」と返す。

「情報システム部門だけでは対策・対応は難しいということだな。まず経営陣がこのような状況であることを認識し、全社的な体制を作る。そして予算を取ってマニュアル作成や研修を実施し、全社員にも状況を認識し、普段からセキュリティ対策を実施してもらう。そのうえで情報システム部門には、侵入・感染を防ぐための対策と被害にあった場合の対応をしてもらう」

「山田社長のおっしゃるとおりです。付け加えるとしたら、実際に被害にあったことを想定した、社員を巻き込んだ対応訓練も必要だと言えます。これは事業継続計画(BCP)と同じで、今は大地震などの災害とサイバー攻撃を同列に考えないといけない時代なのです」

「サイバー攻撃は災害と同じか。しかし自然災害と違って、我々の努力で防げる確率が高まる災害ではあるね」と山田社長。

「はい。むやみに恐れず、情報収集で敵を知り、内部監査で己を知れば『百戦危うからず』ではないでしょうか?」

「『孫子』か。若いのによく知っているね」と山田社長が褒める。だが、いずみが「よく知って」いたのは、実は歴女だったからである。

まとめ

  •  水飲み場攻撃は、ターゲットがよく訪れるサイトを改ざんして、マルウェアを送りこむ手口である。入り口対策はあまり効果がなく、マルウェア侵入をいち早く検知して対応する出口対策が重要である
  • 標的型メール攻撃は、特定の組織や個人を対象にメールを送付し、マルウェアを送りこもうとする攻撃である。手口が年々巧妙になっており、対策にはマニュアル整備と十分な従業員教育が必要である
  • ランサムウェア(身代金ウイルス)は、システムを使用不可能にするサイバー攻撃であり、元に戻したければ金銭を支払えと要求することからこのように言われる。通常のマルウェア対策をしっかりとすることと、万が一に備えたこまめなバックアップが必要である
  • 年々高度化しているサイバー攻撃に備えるためには、情報システム部門だけでは対応が困難である。経営陣がまず状況を認識し、社員全体を巻き込んだ全社的な体制作りと対応が必要とされている。

いずみの目

経済産業省が「サイバーセキュリティ経営ガイドライン」を策定した背景には、近年のサイバー攻撃被害の増加と被害規模の大型化に対する危機感があります。これは全世界的な現象ですが、諸外国では6割近くの企業がセキュリティ対策に経営幹部が参画しているのに対して、日本ではわずか27%に過ぎません(「サイバーセキュリティ経営ガイドライン v1.0」)。多くの経営者に「サイバーセキュリティ経営ガイドライン」の内容を知っていただく必要があります。そこで、「サイバーセキュリティ経営ガイドライン」を読み物風に分かりやすくまとめた資料を作成しました。ぜひご活用ください。

  • * この物語は、筆者の見解をもとに構成されています。
    日立システムズの公式見解を示すものではありません。
  • * 文章中に記載された社名および製品名は各社の商標または登録商標です。

目次に戻る

 

ITコンサルタント美咲いずみが行く

メールマガジン

最新のイベント情報、商品情報など、お役立ち情報をご紹介するメールマガジンをお送りしております。

メールマガジン登録

  • 日立システムズFacebook 公式アカウント

データセンター紹介ページへ

データセンター紹介
ゆるぎない信頼のパートナー 日立のデータセンター

日立システムズの
Microsoftソリューション
Microsoftとの力強い協力体制で、お客さまのソリューションを支えます。

日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。