97%の企業が標的型攻撃でマルウェアに感染している米FireEyeのCTOが講演

マクニカネットワークスのイベントで米FireEyeのCTO デーブ・マーケル氏が標的型攻撃の現状を語った。

» 2014年07月10日 06時00分 公開
[大津 心,ITmedia]

 マクニカネットワークスは7月8日、主催イベント「Macnica Networks DAY 2014」を開催。米FireEyeでCTOを務めるデーブ・マーケル(Dave Merkel)氏が「サイバー攻撃のグローバルトレンドと、国家による標的型攻撃事例」と題した講演を行った。同氏は調査結果を例示しながら、サイバー攻撃のいまを紹介していった。

229日間感染に気付かず、67%のマルウェアがワンオフ物

マーケル氏写真 米FireEye CTO デーブ・マーケル氏

 マーケル氏が示した最初の数字が「229日」だ。これは、エンタープライズ企業が最初の感染をしてから検知されるまでにかかった平均的な日数だ。最長では2300日気付かなかったという。また、感染企業の67%が、外部からの指摘があるまで把握できていなかった。

 攻撃対象となる企業の業種は、あらゆる業種がターゲットになっているものの、金融が最も多く前年比4%増の15%、続いてメディア&エンターテイメントが同7%増の13%に迫った。「全般的に狙われているが、特に知的財産集約型の企業が継続的に狙われる傾向がある」(マーケル氏)。

 さらに、企業が感染したマルウェアやウイルスを感染すると、その67%はその企業を攻撃/感染するためだけに作られたワンオフ(特注)物であり、感染してバックドアなどを作成した後には85%が1時間後に消滅するようになっている。このように、特注で世界に1つだけしか存在しない上に、表面的に存在する時間も平均2時間程度なため、一般的なマルウェアやウイルス対策のパターンファイルで見つけるのは非常に困難だと指摘した。

企業のセキュリティ対策はほとんどが“マジノ線”になっている

 また、マーケル氏は現在の企業セキュリティ対策が「マジノ線」化していると指摘。マジノ線とは、第一次大戦で苦戦したフランスが来るドイツ襲来に備えて巨費を投じた防衛線。しかし、第二次世界大戦が始まるとドイツはマジノ線を回避して侵攻したため、あまり意味をなさなかったものだ。

 同氏は企業のセキュリティ対策が、ほとんどマジノ線のように回避されており、実際に同社がレビューした1216組織の97%が何らかのマルウェアやウイルスに感染していたと指摘。平均して120以上のマルウェアが企業が施したセキュリティ対策を迂回して感染していたと説明した。「このように、せっかく投資したものの、実際には機能していないセキュリティ対策は多い。ツールが機能していないのに、導入した安心感から利用者に心の隙ができて感染しているケースが多々ある」とした。

1216組織を調べたところ。97%が何らかに感染済み

 「1216組織の97%が感染」しており、なおかつ「セキュリティツールが機能しない」状況で企業はどうしていけばいいのか。同氏はまず、「『平時のメンタリティ(心理状態)』と『有事のメンタリティ』をきちんと意識するべき」と指摘する。

 有事のメンタリティとは、まさに戦争中の状況を想定することで、戦時中のつもりでさまざまな対策を考えることを指す。一方、平時のメンタリティではいわゆる「平和ボケ」が起きやすい状況だ。マーケル氏はまずセキュリティ対策を考える上で隙を作らないためにも、有事のメンタリティで臨むことが第一歩だとした。

スライド写真 マーケル氏が問題を指摘する多層防御の例。同じモデルで構成されているため、1枚目が破られるとそのまま4枚とも破られる可能性が高い

 また、実際の防御においては、一般的に冗長性を担保した複数のセキュリティ防御レイヤが重要だと考えられている。同氏はこの案に同意するものの、「逆にこれが危険にしている一面もある」と指摘。例えば、FW→IDS→SIEM→AVと4層にわたって防御していても、同じモデル、同じ発想で作られた防御壁であるため、実質的には1層としてしか機能しておらず、FWが破られてしまうとあっという間に4層全て破られてしまう可能性が高いというのだ。

 そこで同氏はこれらに加えて、「『行動解析型のセキュリティ製品』や『ビッグデータ解析に基づいたセキュリティ』『人間の経験に基づいた対策』など、前述の4層とは全く異なった発想の防御も加えなければ、本当の冗長化はされていないも同じ。逆に心の隙を生みやすい危険な状態とも言える。予算を考える上では、まずきちんと機能する多層防御を作ること、そして何か起きた後の“復元力”を上げることが非常に重要」だとした。

 さらに、経営が意識する“コンプライアンス”にも罠があると言う。「経営はコンプライアンスが好きだが、コンプライアンスとはあくまで法律や条例上のものだ。これは弁護士が守るもので、セキュリティとは異なるものだ。予算の使い方を間違っている経営が多い」と警告した。

関連キーワード

FireEye | サイバー攻撃 | スピア型攻撃


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ