標的型サイバー攻撃にカスタム ディフェンスで立ち向かう！ 高度化する脅威から企業を守る手法とは？：百社あれば百通りの対策

不特定多数を狙う従来型のサイバー攻撃とは大きく異なり、犯罪組織が特定のターゲットにしつこく攻撃を仕掛ける「標的型サイバー攻撃」が増えている。標的になれば、気づかぬうちに情報が盗まれてしまう可能性も。この攻撃に企業はどう立ち向かうべきか。そこでトレンドマイクロが提唱するのが、幅広いセキュリティ製品群がそれぞれ連携し、さらに、最新の脅威情報を共有する「スマート プロテクション ネットワーク」とも連携した「カスタム ディフェンス」だ。

[PR／ITmedia]

PR

標的型攻撃が情報セキュリティの新たなリスクに

　近年になり、サイバー攻撃の脅威が深刻さを増している。そのことは、国内外でサイバー攻撃の被害が頻発していることからも容易に理解できるだろう。既に今年も韓国の主要メディアや銀行を標的にしたサイバー攻撃事件が発生したばかり。外部から社内システムへの不正侵入も多発している。

　情報セキュリティに対する理解が進んだことで、とりわけ大手企業ではファイアウォールやIPS（不正侵入防御システム）、ウイルス対策ソフトなどによるセキュリティ対策が講じられてきた。それにもかかわらず、今なお被害が多発するのはなぜなのか。その一番の理由に挙げられるのが、ここ数年における、いわゆる「標的型サイバー攻撃」の広がりである。

　従来型のサイバー攻撃は、ハッカーによる愉快犯的な性格が濃いものだった。標的型サイバー攻撃はこれとは大きく異なり、金銭獲得などの明確な目的の下、犯罪組織が特定のターゲットに対して攻撃を仕掛ける。その手口は極めて巧妙だ。攻撃に際しては、ターゲット企業やその従業員のセキュリティ環境を徹底的に調査し、周到に抜け穴を見つけ出す。そして、そこから密かにマルウェアを送り込むとともに、攻撃者はC＆C（コマンド＆コントロール）サーバを介して攻撃指示を出し、長期にわたって機密情報の探索と持ち出しを続けるのである。

トレンドマイクロ エンタープライズマーケティング部 マーケットデベロップメント課 担当課長代理 岡野健人氏

　従来型のセキュリティ対策では標的型サイバー攻撃の防御が困難とされる点も、まさにその手口の巧妙さゆえだ。トレンドマイクロ エンタープライズマーケティング部 マーケットデベロップメント課の岡野健人氏は、その理由を次のように解説する。

　「標的型サイバー攻撃ではターゲット企業が利用しているセキュリティツールまでも調べ上げます。そして、パターンファイルでは検知できないようマルウェアに手を加え、新たに攻撃用サイトを立ち上げつつ、それらを組み合わせて攻撃を仕掛けるわけです。そのため、個別の手口に対応する従来型の対策では、標的型サイバー攻撃の全てを防ぎ切るのは極めて難しいといえます。また、攻撃は巧妙に隠ぺいされているため、被害に気付いたときには、機密情報が根こそぎ盗まれていることも少なくありません」

　それでは、こうした標的サイバー型攻撃に対して、企業はどのような方法でもって挑むべきなのか。そのアプローチとしてトレンドマイクロが提唱するアプローチが、幅広いセキュリティ製品をそれぞれに連携させ、さらに、脅威情報を分析・共有するためのクラウド基盤「スマートプロテクションネットワーク」とも連携することによって攻撃の発見と迅速な防御を図っていく「カスタム ディフェンス」である。

4つのプロセスで攻撃を検出し対応する

　カスタム ディフェンスは、いわば“百社百様のディフェンス”を実現するための方法論と言える。その具体的な取り組みは「検知」「分析」「適応」「対処」という一連のライフサイクルから成る。

　最初の「検知」では、外部からの攻撃やC＆Cサーバからの攻撃指示を検知することが活動の柱となる。そして、次の「分析」において、発見した攻撃を基に攻撃者の特徴や攻撃のリスクを判定し、採るべき最善の対策を判断する。その上で、検知したC&CサーバのIPアドレスなどを基に自動的にシステムへ「適応」することで社内からのC＆Cサーバとの通信を遮断し攻撃活動を停止する。標的型サイバー攻撃は、しつこく継続した攻撃が特徴。そのため、脅威関連情報や専門家のアドバイスを元に今後の攻撃を予測して「対処」する。

ライフサイクルでの4つのステップ

　もっとも、この一連のプロセスの実践は非常に困難なものでもある。事実、　「最近では攻撃手法が巧妙化してC＆Cサーバの通信を検知することが困難になりつつあり、無差別に攻撃を繰り返すボットネットに比べて、攻撃やその痕跡を探し出すのは難しいものです。また、C＆CサーバのIPアドレスは頻繁に変わり、最近では社内ネットワーク内にC＆Cサーバが構築されてしまうケースも増えています。その場合、外部との通信がほとんど発生しません」（岡野氏）というのだ。

入口、出口、内部の3つの対策によって被害拡大を防止する

　そこでカスタム ディフェンスは、巧妙な攻撃を検知・防御するため、一連のライフサイクルを通じて3つの対策が実施される。まず1つ目が「入口対策」である。

　標的型サイバー攻撃で攻撃が本格化するのは、マルウェアが企業内に送り込まれた後だ。そこで、入口対策ではメッセージングセキュリティ製品やサーバへの不正アクセス防御製品、Webセキュリティ製品など、同社のあらゆるソフトウェア／ハードウェア製品^※1によって、あらゆるルートからのマルウェア侵入を検知し、隔離する。同時に、捕捉したマルウェアの情報をスマート プロテクション ネットワークにも転送し、パターンファイルの更新に活用する。

　2つ目は「出口対策」である。標的型攻撃ではターゲットを入念に研究して攻撃が行われるため、入口をいかに固めても、全ての攻撃をブロックすることは、現実的には極めて困難だ。そこで、スマート プロテクション ネットワークから提供されるC＆CサーバのIPアドレス情報を基に、セキュリティ製品が社内ネットワークからC＆Cサーバへの通信を遮断し、被害の発生と拡大を食い止める。

　「入口対策、出口対策だけでは標的型サイバー攻撃を防ぎ切れないのは明らかです。だからこそ、外部のC＆Cサーバ情報を収集するための仕組みが肝要となってきます」（岡野氏）

　3つめが「内部対策」である。社内の機密情報を探索するために、攻撃者はまずActiveDirectoryのようなシステムを狙う。これにより、ネットワークの管理者権限を手に入れることで、各種サーバへの“スパイ活動”を行いやすくするわけだ。このことを踏まえ、例えば、ブルートフォース（総当たり）攻撃や辞書攻撃のような活動を、内部対策を通じてネットワークレベルで検出／分析し、エンドポイントやサーバ、ゲートウェイへのアクセス遮断につなげるのである。

カスタム ディフェンスにおける対策

（※1）イード・アワード2013
法人向けセキュリティ顧客満足度調査
標的型攻撃対策製品の部 総合満足度 第1位

セキュリティ対策を支援する充実したサポート

　岡野氏によると、標的型サイバー攻撃による被害を防ぐためには、次の2つの取り組みが肝要になるという。攻撃の痕跡をできる限り早期に察知できる仕組みを整えること、そこで察知された異変を継続した攻撃の一部として捉え、今後の対策強化につなげることだ。とはいえ、その実践ではネットワークの可視化、標的型サイバー攻撃に対する深い理解や知識も必須となる。

　その支援のためにトレンドマイクロは、セキュリティ製品のライフサイクル全般をまたがる多様なサポートサービスを提供している。

　まず、最近のサイバー攻撃事件が報道される中、攻撃の特徴である密かに攻撃を受け被害に遭っているかが分からないことを心配する経営者や管理者が多いようだ。そういった悩みを解決するのが、セキュリティ専門家の視点でサイバー攻撃の有無などを事前調査しアセスメントを行う「プロフェッショナルサービス」のサイバー攻撃アセスメントサービスだ。このサービスでは第三者機関のガイドラインに基づき企業のセキュリティ対策の現状を多角的に分析するとともに、ネットワークの脅威も可視化する。併せて、メールシステムを対象に標的型メールによる攻撃の痕跡調査なども実施。これらを通じて、リスクを可視化することができる。

　また、運用フェーズでは標的型サイバー攻撃可視化ツールによるログの分析サービス「アドバンスト オプションサービス」がある。同サービスでは、トレンドマイクロの専門家が、長年の経験や豊富な知識を基に、ログ間の相関関係まで把握したうえで、膨大なログの中から不審なものを炙り出す。

　さらに、重大インシデント発生時には「プレミアムサポート」により、専任のアカウントマネジャーが24時間365日体制で対応を支援する。

　脅威情報の分析や捕捉された未知脅威のパターン化などを行うのは、同社がグローバルに拠点を展開する「TrendLabs」だ。TrendLabsは日本にも設置（リージョナルトレンドラボ）されており、日本独自の脅威に対しても迅速な対応が実現されている。

専門家が構築から運用、インシデント対応までをサポートする

　「ネットワークは企業ごとに構成が異なるため、どのような脅威レベルかを正確に判断することは極めて難しいでしょう。だからこそ、専門家の知見をどれだけ活用できるかが対策の鍵を握ります。当社では専門家の知見を各種サービスとして提供しており、それらを利用していただくことで、お客様は必要な知識や情報を迅速に入手できます。カスタム ディフェンスのアプローチにより、確実にセキュリティレベルを底上げしていけるでしょう」

　サイバー攻撃は年を追うごとに凶悪さを増している。その被害に遭わないためにも、カスタム ディフェンスにより現状のセキュリティ対策を、改めて見直してはいかがだろうか。