昨今、手口が巧妙化・多様化しているサイバー攻撃。対策を充分に行えておらず、多大な損害を被る企業が増えています。
今回は、過去にあったサイバー攻撃の事例から、今の企業に求められているセキュリティ対策の理想的なカタチについて紐解きます。
ページコンテンツ
事例① 「ゼロデイ攻撃」 ~セキュリティホールを狙ったサイバー攻撃~
ゼロデイ攻撃のターゲットに選ばれやすいのは、「利用者が多い」「サポートが終了している」「脆弱性が多い」OS・アプリケーションです。例えば、以下のOS・アプリケーションがよく狙われています。
~狙われやすいOS・アプリケーション~ ・Windows XP/Windows OS全般 ・Internet Explorer ・Microsoft Office ・Windows Media Player ・Adobe Reader など
例えば、Windows XPは、利用者が多いながらも、既にサポートが終了したOSです。サポートが終了した=脆弱性が発見されてもMicrosoftからパッチが提供されないため、脆弱性を突いた攻撃のリスクが非常に高くなります。
こうした脆弱性を突いた攻撃は、近年ますます増えています。以下に、企業が実際にゼロデイ攻撃の被害にあった事例を紹介します。
Internet Explorerの脆弱性を突いたゼロデイ攻撃
例えば、IE9とIE10に見つかった事例のあるメモリー破損の脆弱性を突く罠が仕掛けられた2014年には、「Webサイトにアクセスするだけでウイルス感染する」というものや、オンライン銀行詐欺ツールを感染させるといったものがありました。
さらに、攻撃側はこの脆弱性を悪用してPCのメモリーを不正に書き換えて操作することが可能でした。攻撃ステップは簡単で、「メール等に記したリンクからユーザーを悪意あるサイトに誘導するだけ」というものです。
攻撃者はプログラムを勝手にインストールしたり、システム内のデータを参照・書き換えしたり、すべての権限を持つユーザーを勝手に作成したりといったことが可能でした。
この問題はGoogleの脆弱性発見チームProject ZeroからMicrosoftに報告されたもので、既にセキュリティパッチが発行されています。
「SCADA(産業制御システム)」を狙ったサイバー攻撃「Sandworm」
2014年、Windows OSで見つかったゼロデイ脆弱性を狙った諜報目的のサイバー攻撃事例です。この攻撃事例は、「Sandworm Team」と呼ばれるロシアのサイバー攻撃集団によって行われました。「北太平洋条約機構(NATO)」に関連した標的型の攻撃と言われ、ウクライナやポーランドのSCADAなどが標的となりました。
標的となった要因は、当時現場でネットワークからパソコンなどの機器を切り離す「エアー・ギャップ」という手法を一般的な防御方法として使っており、アンチウイルスやシステムのアップデート、パッチを当てるといった技術的な防御方法を、”あまり役に立たないもの”として注力していなかったことにあります。
また、被害にあった企業が、SCADAを運用する環境にサポートが既に終了したWindows OSを使っていたことも、被害にあった要因となりました。この脆弱性利用の発見直後、Microsoftは新たに更新プログラムを公開しています。
Adobe Flash Playerを悪用した、脆弱性攻撃ツール
Flashプラグインは広く普及しているため、攻撃者の標的となりやすく、さまざまなゼロデイ攻撃が発生しています。さらに、Adobe Flash Playerの脆弱性は、「攻撃者が攻撃用に利用するための攻撃ツール」を利用して攻撃が実行されてしまうほど、大きな脆弱性を有しているのです。
そのため、開発元が攻撃を受ける度にセキュリティパッチの提供を繰り返している状況で、イタチごっこのような状態になっています。
事例② 「標的型攻撃メール」 ~うっかり開いてしまい感染~
大手企業のウェブサイトへの不正アクセスが増加
2016年、大手旅行会社で最大800万件の情報流出の可能性が指摘されました。この事件は、従業員がうっかり標的型メールの添付ファイルを開いたことがきっかけです。
大手企業や官公庁などのウェブサイトにも、似たような手口での不正アクセスが試みられており、この傾向は2018年以降も衰えることなく続いています。
マルウェア感染を前提とした多重対策が必要不可欠
このように、「ゼロデイ攻撃」「標的型攻撃」をはじめ、サイバー攻撃は年々巧妙化しており、情報漏えいや金銭窃取などの被害が後を絶ちません。被害の多くは、メールの開封(添付ファイルを開く、リンクのクリック)やウェブサイトの閲覧によるウイルス感染が原因で、特定のセキュリティ対策製品を導入しただけでは被害を防ぎきれない場合があります。
そのため、個人情報や機密情報を扱う業務やその他重要な業務では、マルウェア感染予防だけではなく、万が一感染してしまった場合を想定した対策が必要です。例えば、以下のようなセキュリティ対策が感染の被害を最小限に止めることに役立ちます。
- マルウェアによる攻撃を防ぐ(EPP)
- AIによる機械学習等の機能を駆使し、亜種のマルウェアを検知(NGAV)
- エンドポイントで脅威の動きを可視化し、ハッキングの検知・記録、攻撃の遮断(EDR)
また、情報の重要性や機密性に応じて、一般の端末(メールの確認やインターネットのウェブサイトを閲覧する端末)を、重要業務のシステムから分離させる方法もあります。
重要業務のシステムと一般業務のネットワークが分離されている場合も、運用によって端末やサーバー間のデータの移動が許容されていては、分離されている意味がありません。そのため運用の見直しも必要です。
それでも防ぎきれない脅威。どんな対策を取るべきか?
こうして、定期的に標的型攻撃メールの訓練を実施・セキュリティ運用をしているとはいえ、不審メールの開封率は確実に低下していたとしても開封率0%の達成は非現実的です。
また、続々と新たなマルウェアが開発され続けている現在、過去の攻撃データを基にして脅威を検知する「検知型」のセキュリティだけを用いている以上は、常にゼロデイ攻撃の危険性と隣り合わせです。
このようにルールやポリシーの徹底だけで巧妙化するサーバー攻撃から守ることは困難を極めます。しかし、放置しておくことは重大なセキュリティ事故につながる恐れもあるため、ユーザーの利便性を損なわず、セキュアなクラウド利用を実現するために、どのような対策をしたらよいのでしょうか。
最後の砦「OSプロテクト型」セキュリティが有効
これまで主流だった検知型セキュリティでは、「ゼロデイ攻撃」「標的型攻撃」など、未知の脅威に「感染しないこと」はもはや不可能です。そのため、新しいセキュリティ対策の概念として「侵入されても壊させない」という防御体制が欠かせません。
それを実現できるのが、従来の「検知型セキュリティ」に、「OSプロテクト型セキュリティ」を掛け合わせた、多層防御体制の構築です。
OSプロテクト型セキュリティとは
https://www.daikodenshi.jp/daiko-plus/security-appguard/
「OSプロテクト型」とは、OSに対して不正な行為があるとその動き遮断するという、防御に特化したシンプルな考え方の製品です。
OSに想定されていない動作をすべてブロックするので、マルウェアに中枢部のプログラムを書き換えられてしまい、情報流出・再侵入などの被害が発生することを防げます。この仕組みであれば、従来は防ぎきれなかった「ゼロデイ攻撃」「標的型攻撃」などなど、未知の脅威からコンピュータや大切な情報を守ることができるのです。
このOSプロテクト型セキュリティは、もともとアメリカの政府機関で開発され、20年以上破られていない実績を持ちます。
アメリカの陸軍や国防省において、高いセキュリティ水準を持つと認められた証である「CoN認証」を取得しており、日本の内閣サイバーセキュリティセンター(NISC)が示すガイドライン基準にも準拠しています。OSプロテクト型セキュリティは、セキュリティ統制・NISC対応を検討している方にもおすすめです。
OSプロテクト型セキュリティの仕組み、実績、効果など、詳しい内容は以下特設ページで紹介しています。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
