調査官に聞く、不正アクセス攻撃の今とは?(後編):カスタムマルウェアが狙う企業情報
年々巧妙化する不正アクセス事件。既存の対策技術を回避する手法も登場する中で、企業はどのような策を講じたらいいか。米Verizon Businessの事件調査官にポイントを聞いた。
サーティン氏企業の重要情報を狙った不正アクセス攻撃が年々巧妙化している。前回は、不正アクセスによる情報漏えいの原因や攻撃者が用いる手法を紹介した。米Verizon Businessで事件調査を担当するブライアン・サーティン氏は、攻撃者の行動や対策のポイントを解説してくれた。
2000年ごろからの攻撃パターンをみると、2002年ごろまでは特定の企業だけ標的にする攻撃が目立ったが、2001年ごろからは無作為に攻撃する傾向が強まっている。また、2006年ごろからある程度対象を絞った攻撃も増えつつある。2008年は特定企業を狙う攻撃が復活し、3つのタイプの目的が混在する状況になった。
ある程度対象を絞った攻撃では、一定期間に特定の業種にフォーカスして攻撃を仕掛けているという。2007年は飲食業界の企業が集中的に狙われ、その後は医療業界、リゾート業界と対象が移り変わっており、攻撃手法もそれぞれの業界で使われるシステム環境に合わせて変化している。
「攻撃者は人間が介在するポイントを利用する。解雇や退職に追い込まれた従業員の弱みに付け込んだり、パートナー企業の脆弱なポイントを突いたりして、攻撃者自身に追及の手が届かないようにしている」(サーティン氏)
攻撃者が直接攻撃を仕掛ければ必ず痕跡が残るため、現在では科学調査を行えば犯人をほぼ特定できる。このため、標的とする企業に何らかのつながりがある人間に金銭を渡して犯罪に引き込んだり、企業に恨みを持つ人間を扇動したりして、攻撃者が自ら手を出さないというのが今の常套手段だ。
密かに悪意を持った人間の行為を止めるは、実際には難しい。サーティン氏は、「アクセス権限やシステムの接続環境が日ごろから適切管理されているかどうかが重要。攻撃を受けた企業では、権限の放置されたままだったり、データの存在を認知していなかったりしていたケースがほとんどだ」と話す。
システムの運用・管理を外部に委託していたある企業では、2005年に契約が終了したにもかかわらず、その後も専用線契約も含めて接続状態がそのままになっており、回線使用料も払い続けていたという。この場合、契約の管理や内部の関連部署同士での情報共有が適切に行われておらず、その結果不正アクセスを許してしまったとみられる。
万能な対策はない
不正アクセスを抜本的に防ぐ特効薬は存在しないと、サーティン氏。むしろ、企業のビジネスにおいてセキュリティ上の脆弱なポイントを正しく把握し、一つひとつの脆弱なポイントを確実に無くしていくしかないという。
セキュリティ対策を進める指標として、ISMSやPCI DSS(クレジットカード業界のセキュリティ基準)を活用するのも、一つの方法になる。しかし、これらのセキュリティ基準に順守しさえすればいいというわけでない。RAMスクレーパーのように既存の対策のすき間を突く攻撃も出現したことから、対策を進める上では攻撃のトレンドを考慮しつつ、優先度のランク付けをし、コストに見合ったポイントから対処することが望ましい。
「各種の基準を完全順守するというのは、資金的にも大きな負担になる。実際に攻撃を受けた企業でも、順守できているポイントはまちまちであり、その後の運用が適切になされていないケースも見受けられる」(サーティン氏)
例えば、Webサーバの脆弱性が放置されたままになっている、IPS(不正侵入防止)システムを導入していない、データベースへのアクセスログを日ごろから適切に監視していないといった不備が挙げられるという。また、重要データの所在や存在そのものを把握していないケースも多い。
「重要なデータの存在を確実に把握し、それらがどのように扱われ、外部に漏えいすることで企業にどのような損害を与えるのかを理解する必要がある。そのリスクを軽減するのに必要な対策を順次進めるべきだろう」(サーティン氏)
近年の漏えい要因で高い割合を占めつつあるパートナー企業の場合、契約状態やセキュリティ対策が適切になされているかを日ごろから管理していくことが重要だという。関係によっては、自社の従業員と同様のセキュリティレベルを課すことも必要である。「相手に“委託元から監視されている”という意識を持たせれば、セキュリティの脆弱ポイントに警戒する」(同氏)。パートナー企業の側でも、日常から高いレベルの危機意識を持って業務にあたれば、委託元企業との信頼関係を高められる。
最後にシステムを利用する個人レベルでの対策について、サーティン氏は「脆弱性を無くし、最新のウイルス対策を適用する。不審なサイトやメール、ファイルには決して近づかないといった基本中の基本を徹底する。わたし自身も心がけている」とアドバイスしている。
関連記事
調査官に聞く、不正アクセス攻撃の今とは?(前編)
不正アクセス事件は年々巧妙化し、RAMスクレーパーという新手のマルウェアによる攻撃も登場した。近年の傾向と対策を米Verizon Businessで事件調査を担当するブライアン・サーティン氏らが紹介してくれた。
脆弱性の詮索とマルウェアで企業情報を狙う攻撃者
企業の重要情報を狙う攻撃者は、システムの脆弱性を徹底して狙う。仮に成功率が低いとしても、大金を獲得できる可能性があれば容赦なく攻撃しているという。
2008年のデータ漏えいは2億8500万件――Verizonが調査
2008年に漏えいしたデータの件数が2004〜2007年の総数を上回っていることが分かった。
セキュリティ会社のトップが見せた情報漏えい騒ぎでの対処と防止策
暗号化ベンダーPGPのフィリップ・ダンケルバーガーCEOは、自社で起きた情報漏えい騒ぎのエピソードから、企業が情報漏えい対策で考慮すべきポイントを紹介した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- ゼロトラストの最新トレンド5つをガートナーが発表
- OpenAI Japan設立 岸田首相への宣言から1年 日本語特化GPT提供へ 速度3倍コスト半減
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。