ニュース
» 2009年06月09日 10時55分 UPDATE

カスタムマルウェアが狙う企業情報:調査官に聞く、不正アクセス攻撃の今とは?(後編)

年々巧妙化する不正アクセス事件。既存の対策技術を回避する手法も登場する中で、企業はどのような策を講じたらいいか。米Verizon Businessの事件調査官にポイントを聞いた。

[國谷武史,ITmedia]
veribiz01.jpg サーティン氏

 企業の重要情報を狙った不正アクセス攻撃が年々巧妙化している。前回は、不正アクセスによる情報漏えいの原因や攻撃者が用いる手法を紹介した。米Verizon Businessで事件調査を担当するブライアン・サーティン氏は、攻撃者の行動や対策のポイントを解説してくれた。

 2000年ごろからの攻撃パターンをみると、2002年ごろまでは特定の企業だけ標的にする攻撃が目立ったが、2001年ごろからは無作為に攻撃する傾向が強まっている。また、2006年ごろからある程度対象を絞った攻撃も増えつつある。2008年は特定企業を狙う攻撃が復活し、3つのタイプの目的が混在する状況になった。

 ある程度対象を絞った攻撃では、一定期間に特定の業種にフォーカスして攻撃を仕掛けているという。2007年は飲食業界の企業が集中的に狙われ、その後は医療業界、リゾート業界と対象が移り変わっており、攻撃手法もそれぞれの業界で使われるシステム環境に合わせて変化している。

 「攻撃者は人間が介在するポイントを利用する。解雇や退職に追い込まれた従業員の弱みに付け込んだり、パートナー企業の脆弱なポイントを突いたりして、攻撃者自身に追及の手が届かないようにしている」(サーティン氏)

 攻撃者が直接攻撃を仕掛ければ必ず痕跡が残るため、現在では科学調査を行えば犯人をほぼ特定できる。このため、標的とする企業に何らかのつながりがある人間に金銭を渡して犯罪に引き込んだり、企業に恨みを持つ人間を扇動したりして、攻撃者が自ら手を出さないというのが今の常套手段だ。

 密かに悪意を持った人間の行為を止めるは、実際には難しい。サーティン氏は、「アクセス権限やシステムの接続環境が日ごろから適切管理されているかどうかが重要。攻撃を受けた企業では、権限の放置されたままだったり、データの存在を認知していなかったりしていたケースがほとんどだ」と話す。

 システムの運用・管理を外部に委託していたある企業では、2005年に契約が終了したにもかかわらず、その後も専用線契約も含めて接続状態がそのままになっており、回線使用料も払い続けていたという。この場合、契約の管理や内部の関連部署同士での情報共有が適切に行われておらず、その結果不正アクセスを許してしまったとみられる。

万能な対策はない

 不正アクセスを抜本的に防ぐ特効薬は存在しないと、サーティン氏。むしろ、企業のビジネスにおいてセキュリティ上の脆弱なポイントを正しく把握し、一つひとつの脆弱なポイントを確実に無くしていくしかないという。

 セキュリティ対策を進める指標として、ISMSやPCI DSS(クレジットカード業界のセキュリティ基準)を活用するのも、一つの方法になる。しかし、これらのセキュリティ基準に順守しさえすればいいというわけでない。RAMスクレーパーのように既存の対策のすき間を突く攻撃も出現したことから、対策を進める上では攻撃のトレンドを考慮しつつ、優先度のランク付けをし、コストに見合ったポイントから対処することが望ましい。

 「各種の基準を完全順守するというのは、資金的にも大きな負担になる。実際に攻撃を受けた企業でも、順守できているポイントはまちまちであり、その後の運用が適切になされていないケースも見受けられる」(サーティン氏)

 例えば、Webサーバの脆弱性が放置されたままになっている、IPS(不正侵入防止)システムを導入していない、データベースへのアクセスログを日ごろから適切に監視していないといった不備が挙げられるという。また、重要データの所在や存在そのものを把握していないケースも多い。

 「重要なデータの存在を確実に把握し、それらがどのように扱われ、外部に漏えいすることで企業にどのような損害を与えるのかを理解する必要がある。そのリスクを軽減するのに必要な対策を順次進めるべきだろう」(サーティン氏)

 近年の漏えい要因で高い割合を占めつつあるパートナー企業の場合、契約状態やセキュリティ対策が適切になされているかを日ごろから管理していくことが重要だという。関係によっては、自社の従業員と同様のセキュリティレベルを課すことも必要である。「相手に“委託元から監視されている”という意識を持たせれば、セキュリティの脆弱ポイントに警戒する」(同氏)。パートナー企業の側でも、日常から高いレベルの危機意識を持って業務にあたれば、委託元企業との信頼関係を高められる。

 最後にシステムを利用する個人レベルでの対策について、サーティン氏は「脆弱性を無くし、最新のウイルス対策を適用する。不審なサイトやメール、ファイルには決して近づかないといった基本中の基本を徹底する。わたし自身も心がけている」とアドバイスしている。

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

不正アクセス | 情報漏洩


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ