てウイルスに 感 染 させ 2 攻 撃 基 盤 構 築 段 階 浸 入 したPC 内 でバックドアを 作 成 し 外 部 の C&Cサーバ(バックドアをコントロールする 指 令 サーバ)と 通 信 を 行 い 新 たなウイルスをダウ ンロードす 3システム 調 査 段 階 ターゲットの 情 報 やシ

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "てウイルスに 感 染 させ 2 攻 撃 基 盤 構 築 段 階 浸 入 したPC 内 でバックドアを 作 成 し 外 部 の C&Cサーバ(バックドアをコントロールする 指 令 サーバ)と 通 信 を 行 い 新 たなウイルスをダウ ンロードす 3システム 調 査 段 階 ターゲットの 情 報 やシ"

Transcription

1 特 集 サイバー 攻 撃 の 脅 威 とセキュリティ 対 策 株 式 会 社 アイ ティ フロンティア 長 久 浩 三 30 はじめに 昨 年 は 政 府 機 関 や 防 衛 産 業 などの 企 業 がサイ バー 攻 撃 の 被 害 を 受 け 日 本 中 に 警 鐘 を 鳴 らした 年 になったと 言 えかつての パソコンにウイ ルスを 感 染 させて 驚 かせるようなイタズラや 技 術 自 慢 などの 愉 快 犯 とは 違 い 社 会 的 主 張 や 利 益 を 得 るために ターゲットを 定 めて 必 要 とする 情 報 を 盗 む あるいはシステムの 制 御 を 奪 い 被 害 を 与 えるなど 目 的 も 大 きく 変 わってきてい 急 速 に 進 化 する 情 報 技 術 に 合 わせてセキュリティの 脅 威 も 進 化 しているのだ この 脅 威 から 大 切 な 情 報 やシステムを 守 るためには サイバー 攻 撃 の 危 険 性 を 認 識 し 対 策 も 進 化 させて 行 かなくてはな らない こうした 状 況 で 私 は 自 社 の 情 報 セキュ リティを 担 当 する 立 場 から 既 存 の 対 策 を 改 めて 見 直 す 必 要 があった そのため 専 門 家 の 方 々の 意 見 やさまざまな 情 報 機 関 から 脅 威 と 攻 撃 の 手 口 に 関 する 情 報 を 収 集 し 具 体 的 な 対 策 について 研 究 を 行 った その 成 果 として サイバー 攻 撃 の 脅 威 とセキュリティ 対 策 について 以 下 の 通 りまと めてみた 1. サイバー 攻 撃 の 脅 威 と 危 険 性 サイバー 攻 撃 は 大 きく2 種 類 に 分 類 でき 一 つはターゲットを 特 定 せず 迷 惑 メールやセ キュリティホールを 悪 用 するウイルスなどを 無 差 別 に 送 りつけて 組 織 や 個 人 に 混 乱 をもたらす 古 典 的 なもの もう 一 つは 組 織 や 個 人 にターゲットを 絞 り あらゆる 手 段 を 用 いて 目 的 の 情 報 を 盗 む サービ ス 機 能 を 失 わせる(DDoS 攻 撃 ) システムの 制 御 を 奪 ったりするものであ 後 者 が 標 的 型 攻 撃 と 呼 ば れ 年 以 降 は APT(Advanced Persistent Threat) 攻 撃 と いう 言 葉 も 使 われていAPT 攻 撃 の 例 として 2009 年 12 月 にGoogleをはじめとする 複 数 の 企 業 に 被 害 を 及 ぼした オーロラ 攻 撃 があゼロデ イアタックの 手 法 によってIE(InternetExplorer) の 脆 弱 性 を 利 用 し 知 的 財 産 やGmailアカウントを 盗 むなどの 大 きな 被 害 を 発 生 させた APT 攻 撃 は 情 報 を 盗 むだけではなく スタック スネット(Stuxnet)と 呼 ばれる 制 御 系 システムを 攻 撃 した 例 もあ 手 口 はコンピュータに 接 続 す るUSBメモリによって 感 染 を 広 げ 目 的 のシステ ムの 制 御 を 奪 うというものだ 攻 撃 にはWindows のショートカットファイルに 存 在 する 脆 弱 性 を 悪 用 しており ショートカットファイルのアイコン を 表 示 するだけで 任 意 のプログラムが 実 行 され 2010 年 9 月 に イランの 核 燃 料 施 設 のウラン 濃 縮 用 遠 心 分 離 機 が 標 的 にされ この 攻 撃 で 約 8400 台 の 遠 心 分 離 機 の 全 てが 稼 働 不 能 に 陥 ったとの ニュースもあまた このような 攻 撃 に 使 われ たソフトウェアは ブラックマーケットで 流 通 し ていると 言 われ 一 般 企 業 や 個 人 を 対 象 にした 攻 撃 に 広 がる 恐 れもあり 警 戒 が 必 要 であ 制 御 系 システムを 狙 った 攻 撃 は 日 本 国 内 でも 起 きてい 自 動 車 や 化 学 工 場 の 製 造 ラインを 管 理 する 制 御 システムがウイルスに 感 染 し 操 業 停 止 に 追 い 込 まれるなどの 深 刻 な 被 害 が 昨 年 3 月 ま でに 少 なくとも10 件 発 生 していることが 経 済 産 業 省 の 調 査 で 分 かった 今 やソフトウェアは 自 動 車 航 空 機 列 車 などの 交 通 機 関 水 道 電 気 ガスなどのライフラインを 動 かす 殆 どのシステム に 使 われており 制 御 系 のシステムを 狙 った 攻 撃 は 我 々の 生 活 や 生 命 を 脅 かすほど 危 険 性 が 高 い ことを 認 識 する 必 要 があ 2. 標 的 型 攻 撃 の 手 口 被 害 に 遭 わない 為 にも 手 口 を 認 識 しておく 必 要 が あ 近 年 の 標 的 型 攻 撃 は 主 に 次 のような 手 法 が 使 われ (1) 攻 撃 手 法 1 初 期 潜 入 段 階 メールやUSBメモリ Webサイトの 閲 覧 を 通 じ

2 てウイルスに 感 染 させ 2 攻 撃 基 盤 構 築 段 階 浸 入 したPC 内 でバックドアを 作 成 し 外 部 の C&Cサーバ(バックドアをコントロールする 指 令 サーバ)と 通 信 を 行 い 新 たなウイルスをダウ ンロードす 3システム 調 査 段 階 ターゲットの 情 報 やシステムに 関 わる 情 報 を 調 査 取 得 す 4 攻 撃 最 終 目 的 の 遂 行 段 階 調 査 した 情 報 を 基 に 攻 撃 専 用 のウイルスをダウン ロードして 攻 撃 を 遂 行 し ターゲットの 情 報 を 盗 む またはシステムの 制 御 を 奪 う 応 が 必 要 であ ウェブ 等 で 公 表 されている 情 報 を 加 工 して 使 用 した 事 例 IPA( 独 立 行 政 法 人 情 報 処 理 推 進 機 構 )の 標 的 型 攻 撃 メールの 分 析 に 関 するレポート から メール 受 信 者 をだますテクニック の 一 部 を 紹 介 す 1 メールの 受 信 者 が 興 味 を 持 つと 思 われる 件 名 2 送 信 者 のメールアドレスが 信 頼 できそうな 組 織 のアドレス 3 件 名 に 関 わる 本 文 4 本 文 の 内 容 に 合 った 添 付 ファイル 名 5 添 付 ファイルがワード 文 書 やPDF ファイルなど 6 2に 対 応 した 組 織 名 や 個 人 名 などを 含 む 署 名 Special Column JNSA Press 図 1 標 的 型 攻 撃 の 手 法 (3) 人 の 心 理 の 弱 点 を 突 くメールなどの 手 口 これは 一 般 的 にソーシャルエンジニアリングと よばれ 人 の 心 の 隙 間 やミスにつけ 込 むもので 例 えば ゴミ 箱 の 紙 屑 などから 攻 撃 の 糸 口 を 見 つけ ありとあらゆる 手 段 を 使 い 情 報 を 盗 むなどの 方 法 であ メールは 知 人 の 名 前 を 名 乗 り 内 容 もごく 日 常 的 なもので 送 られてく 見 分 けるのは 難 しい が これまで 公 開 されているケースを 見 ると 内 容 はやや 唐 突 感 があり 添 付 ファイルやURLを 開 くよう 誘 導 する 文 章 が 書 かれてい 不 自 然 な 気 がしたら 安 易 に 添 付 ファイルやURLをリクック せずに 電 話 で 送 信 者 に 確 認 するなど 慎 重 な 対 6 図 2 IPA をかたって 政 府 関 係 組 織 に 送 られたメール 標 的 型 攻 撃 メールの 記 載 内 容 の 傾 向 メールの 内 容 は 受 信 者 が 興 味 を 持 ちそうな 仕 事 関 係 のテーマが 多 い 例 えば 研 修 会 会 議 資 料 情 報 セキュリティの 注 意 喚 起 など 標 的 に 合 わせて 使 い 分 けられてい

3 サイバー 攻 撃 の 脅 威 とセキュリティ 対 策 分 類 割 合 テーマ 事 例 ( 抽 象 化 済 ) イベント 38% 報 告 書 32% ニュース 注 意 喚 起 30% 国 際 会 議 シンポジウム 研 修 会 選 挙 法 令 改 正 VIP 会 合 日 程 役 員 人 事 異 動 来 訪 者 情 報 社 内 ウイルス 調 査 外 交 機 密 文 書 国 際 情 勢 海 外 資 源 政 府 部 局 報 告 書 情 報 セキュリティ 調 査 ウイ ルス 不 正 アクセス 届 出 状 況 会 議 資 料 東 日 本 大 震 災 金 融 情 勢 国 際 情 勢 外 交 情 報 政 府 予 算 製 品 事 故 情 報 セキュリ ティ 注 意 喚 起 新 型 インフルエンザ 表 1 テーマによる 分 類 アメリカ 国 防 総 省 は 昨 年 5 月 外 国 政 府 からの サイバー 攻 撃 を 戦 争 行 為 とみなし サイバー 攻 撃 を 受 けた 際 は 武 力 行 使 も 辞 さない と 発 表 し た サイバー 空 間 を 陸 海 空 宇 宙 空 間 に 次 ぐ 第 5の 新 たな 戦 場 と 宣 言 し サイバーコマンド と いう 部 隊 を 創 設 し 本 格 的 な 運 用 を 開 始 してい 台 湾 と 中 国 では 経 済 交 流 は 進 んでいるが 水 面 下 では 激 しい 攻 防 が 行 われており 台 湾 はサイバー 部 隊 老 虎 部 隊 を 設 立 し 中 国 をはじめとする 海 外 からの 攻 撃 に 備 えていサイバー 攻 撃 は 今 や 世 界 各 国 で 深 刻 な 問 題 として 取 り 上 げられて おり 多 くの 国 で 対 策 が 進 められてい 32 (4) 攻 撃 の 手 口 は 進 化 する 攻 撃 者 は 潜 入 手 口 を 進 化 させてい 新 たな 手 口 ではメールにファイルは 添 付 されておらず Webサイトを 案 内 するURLが 添 付 されており 正 規 のWebサイトだと 思 って 見 ているうちにマル ウェアに 感 染 させるような 高 度 な 隠 蔽 技 術 が 使 われ 裏 では 正 規 のWebサイトが 複 数 改 ざんさ れ 複 数 のサーバが 乗 っ 取 られて 踏 み 台 に 使 われ Webアプリの 開 発 担 当 者 やサーバの 構 築 担 当 者 運 用 担 当 者 は 脆 弱 性 対 策 を 徹 底 するだけで なく 対 策 を 進 化 させて 行 く 必 要 があ 3. 中 国 からの 攻 撃 に 国 際 社 会 では 警 戒 を 強 めている 中 国 では 複 数 のグループで 形 成 された 紅 客 連 盟 というハッカー 集 団 が 存 在 すまた 中 国 政 府 は 人 民 解 放 軍 所 属 のハッカー 部 隊 を 保 有 して おり アメリカと 中 国 近 隣 諸 国 ではサイバーテロ の 警 戒 を 強 めてい 図 3の 円 グラフは メールヘッダに 記 録 されたIP アドレスを 国 別 に 集 計 したものであ 約 1/3が 中 国 で 管 理 するIPアドレスからのものだ なお 不 明 の35%は メールヘッダを 入 手 できなかったもの であ 図 3 標 的 型 攻 撃 メール 発 信 IP アドレスの 国 別 内 訳 4. 日 本 のサイバー 攻 撃 への 取 り 組 み 政 府 は 三 菱 重 工 業 などへのサイバー 攻 撃 をきっ かけに 昨 年 10 月 に 情 報 セキュリティ 政 策 会 議 を 開 催 し 政 府 と 経 済 界 を 中 心 に 官 民 が 連 携 してサ イバー 攻 撃 の 被 害 防 止 に 取 り 組 むことを 決 めた 今 年 1 月 には 各 府 省 庁 にCSIRT( 情 報 セキュリ ティに 即 座 に 対 応 する 組 織 )の 保 有 を 求 めるとと もに 国 の 最 高 情 報 セキュリティ 責 任 者 (CISO) を 設 置 する 方 針 を 決 めてい

4 また 今 年 1 月 1 日 の 読 売 新 聞 で 防 衛 省 が 対 サ イバー 兵 器 を 開 発 という 記 事 が 一 面 を 飾 った 防 衛 省 がサイバー 攻 撃 を 受 けた 際 に 攻 撃 経 路 を 逆 探 知 して 攻 撃 元 を 突 き 止 め 攻 撃 者 のプログラ ムを 無 効 化 するというものだ しかし 日 本 では 有 事 法 制 でサイバー 攻 撃 が 想 定 されておらず サイバー 兵 器 を 対 外 的 に 使 用 で きないばかりか 使 用 すると 逆 に 刑 法 のウイルス 作 成 罪 などに 抵 触 する 可 能 性 もあまた こう いった 兵 器 や 活 動 は 防 衛 省 の 自 前 のシステムを 守 るためのものであり 国 民 の 生 命 と 財 産 を 守 る ことは 想 定 されていない 従 って 日 本 ではサイ バー 攻 撃 に 対 しては 自 ら 守 るしかないのが 実 情 だ 政 府 の 一 刻 も 早 い 法 的 整 備 と 対 策 が 望 まれ 5. サイバー 攻 撃 への 対 策 対 策 は 技 術 的 なものだけでなく 組 織 的 人 的 と いった 多 重 防 御 で 考 えることが 効 果 的 であこれ までのセキュリティ 対 策 の 経 験 や 専 門 家 の 意 見 IPAなどの 情 報 を 基 に 取 り 組 むべき 対 策 を 以 下 の 7 点 に 纏 めた (1) 従 来 の 入 口 対 策 を 見 直 す 既 存 の 対 策 を 見 直 し 入 口 で 何 を 防 ぎ 出 口 で 何 を 防 ぐかを 考 えて ネットワークを 設 計 するこ とが 重 要 であそのため メールゲートウェイ やフィルタリング 機 能 を 見 直 す Webアプリケー ションの 運 用 があれば WAFを 適 用 するなどを 検 討 すまた 以 下 のようなフィルタリングや スパムメール マルウェア 対 策 機 能 を 搭 載 したソ リューションを 利 用 するのも 有 効 であ a. 送 られてきたメールの 中 身 を 分 析 し 送 信 元 サーバのIPアドレスや 送 信 者 のドメインが 悪 意 のあるものでないか 評 価 す b. メールに 添 付 されたファイル 名 の 偽 造 を チェックしたり ファイルの 中 身 を 解 析 して 実 行 ファイルが 含 まれていないか 調 べ c. メールに 記 載 されたURLが 安 全 なサイトかを 調 べ スパムメールかを 判 断 し 一 定 の 安 全 性 をクリアーしたものだけを 中 に 入 れ (2) 出 口 対 策 を 加 える ウイルスがLAN 内 に 入 り 込 んだ 際 の 動 きに 注 目 し その 活 動 を 最 小 限 に 抑 え 万 一 浸 入 されて も 情 報 を 外 に 持 ち 出 させないことがポイントで あ a. 内 部 プロキシ 経 由 の 外 向 け 通 信 のみ 許 可 し プロキシを 使 わない 端 末 からの 直 接 通 信 を 遮 断 す b. システムプロキシにJAVAスクリプトやMETA タグを 利 用 したリダイレクト 機 能 を 実 装 し リダイレクトに 対 する 応 答 でウイルス 通 信 を 遮 断 す c. ネットワークをVLANなどで 細 分 化 し ウイ ルスの 感 染 範 囲 を 狭 め d. LAN 内 の 通 信 を 監 視 し 普 段 使 われていな いサービスの 通 信 が 発 生 したときはその 原 因 を 追 究 す (3) 監 視 の 強 化 と 発 見 時 の 対 応 手 順 を 整 備 する 攻 撃 者 がネットワークに 侵 入 するためには ターゲットに 対 して 何 度 もアタックを 繰 り 返 す そのため 普 段 からファイヤーウォールのログな どを 監 視 し 不 審 な 動 きを 捉 えるようにすま た 不 正 アクセスやウイルス 感 染 が 発 覚 した 際 に 何 をどうするのか 手 順 を 整 備 し 定 期 的 に 訓 練 を 行 っておく (4) 脆 弱 性 対 策 を 徹 底 する 攻 撃 の 手 口 はさまざまだが 脆 弱 性 対 策 の 遅 れ や 放 置 によって 被 害 を 受 けた 例 をよく 聞 く 従 っ て いかに 脆 弱 対 策 を 徹 底 できるかが 対 策 のカギ を 握 a. OSの 適 正 なバッチ 適 用 やウイルス 対 策 ソフ トを 最 新 版 にす b. AdobeやJava Microsoftなどのアプリケー ションソフトの 脆 弱 性 対 策 を 徹 底 す Special Column JNSA Press 33

5 サイバー 攻 撃 の 脅 威 とセキュリティ 対 策 34 c. 徹 底 するには 利 用 者 から 状 況 報 告 させ 責 任 者 がチェックするといった 人 間 系 の 人 的 な 対 策 も 有 効 であ d. パスワードの 脆 弱 性 対 策 として パスワード は3 種 類 の 文 字 で8 桁 以 上 で 類 推 しにくいもの にし 定 期 的 に 変 更 するなどの 運 用 を 行 う e. Webアプリケーションは 設 計 開 発 テス トの 各 フェーズで 脆 弱 性 のチェックを 行 う また ツールなどで 脆 弱 性 診 断 を 行 うことも 有 効 であ f. Webサーバに 対 しては セキュリティベン ダーの 脆 弱 性 診 断 などを 活 用 すると 効 果 的 で あ g. オープンソースを 使 用 する 場 合 は サポート を 受 けられないケースが 多 いため 積 極 的 に 脆 弱 性 情 報 を 収 集 し 必 要 な 対 策 を 取 ま た ソースは 初 期 設 定 のままで 使 用 しないこ とも 重 要 であ h. プログラムを 台 帳 で 管 理 し 脆 弱 なプログラ ムが 見 つかったら ただちに 影 響 範 囲 を 特 定 し 対 応 できるようにす (5)サーバを 集 約 する サーバの 設 置 場 所 やシステム 環 境 が 異 なるとセ キュリティ 対 策 のバラツキが 起 き 攻 撃 を 受 けた 際 の 影 響 範 囲 の 特 定 や 対 策 を 取 ることが 難 しくな る 場 合 があそのため 出 来 る 限 りサーバを 集 約 したほうが 監 視 や 対 策 が 容 易 になただし 集 約 したことによるリスクもあるのでアセスメン トを 行 うことが 重 要 であ (6) 重 要 情 報 を 峻 別 する 自 社 にとって 価 値 の 高 い 情 報 資 産 は 何 か 守 る べき 情 報 は 何 処 に 有 るのかを 明 確 にす 重 要 な 情 報 資 産 は 単 純 にWindowsのフォルダーに 保 管 するのではなく 認 証 機 能 のある 文 書 管 理 ツー ルなどを 使 って 管 理 するとよい また インター ネットからの 接 続 が 無 い 場 所 に 置 くことも 効 果 的 であさらに 利 用 者 を 限 定 するなどアクセス 権 限 の 管 理 も 必 要 であ (7)セキュリティ 教 育 意 識 啓 発 攻 撃 者 は 人 の 心 の 隙 間 や 心 理 的 な 弱 さを 突 い てく 怪 しいメールが 届 いたら 添 付 ファイルや URLを 簡 単 にクリックしない 業 務 に 関 係 ない Webサイトを 閲 覧 しないよう 行 動 を 正 すなど 普 段 から 意 識 を 高 めておくことが 重 要 であその ためにサイバー 攻 撃 による 危 険 性 の 理 解 基 本 動 作 が 出 来 るよう 定 期 的 な 教 育 や 確 認 テスト 掲 示 板 などによる 注 意 喚 起 視 覚 に 訴 えるポスター 掲 示 自 律 的 なセキュリティ 活 動 に 対 する 経 営 の 評 価 など 意 識 が 向 上 する 活 動 を 取 り 入 れることが 効 果 的 であ おわりに 今 後 も サイバー 空 間 を 舞 台 にした 不 正 行 為 は さらに 激 しくなると 予 想 され 特 にモバイ ル 端 末 への 攻 撃 は Androidの 脆 弱 性 を 狙 う 攻 撃 が 増 える 可 能 性 が 高 い モバイル 端 末 のドライブ バイ 攻 撃 やモバイルボットネットが 出 現 する 可 能 性 もあさらに 水 道 電 気 ガスなど 日 常 生 活 に 欠 かせない 産 業 システムへの 脅 威 にも 警 戒 が 必 要 だ また 世 界 的 な 経 済 不 安 から 標 的 は 情 報 だけでなく 金 銭 を 目 当 てにする 攻 撃 も 増 えて くると 思 われ 人 の 心 理 的 な 部 分 を 突 くよう 攻 撃 の 手 口 はますます 巧 みになるだろう 脆 弱 性 対 策 を 怠 ったり 安 易 な 行 動 は 自 分 だけでなく 多 くの 人 に 被 害 を 及 ぼすことになサイバー 攻 撃 を 対 岸 の 火 事 だと 考 えず 誰 もが 目 の 前 にある 脅 威 として 認 識 することが 重 要 であそのために も 日 々の 基 本 動 作 を 確 実 にして 危 機 回 避 でき るよう 感 度 を 高 めて 対 策 に 取 り 組 むべきであ