サービスやシステムが踏み台に 凶悪化するサイバー攻撃への備え

オンラインサービスへの不正ログインやWebサイトの改ざんによるマルウェアの拡散など、2014年上半期に起きたセキュリティ事件では企業のシステムやサービスが悪用されてしまうケースが目立っている。企業や組織が取り組むべき対応は。

» 2014年08月26日 07時00分 公開
[國谷武史,ITmedia]

 オンラインサービスに対する不正ログイン攻撃やWebサイトの改ざんによるマルウェアの拡散など、2014年上半期に発生したインターネット関連のセキュリティ事件では企業のシステムやサービスが悪用され、利用者が深刻な被害に見舞われるケースが相次いでいる。サイバー空間の脅威が変質しつつある今、企業や組織はどう対応すべきだろうか。

被害の深刻化が顕著に

 トレンドマイクロの岡本勝之シニアスペシャリストは、2014年上半期のセキュリティ脅威動向について「企業が持つ情報や金銭そのものを狙う攻撃やシステムの悪用を狙う攻撃が増えている」と指摘する。

 オンラインサービスに対する不正ログイン攻撃では、侵害されたアカウントが2014年1〜3月期の6万1119件から、同4〜6月期には約10倍の61万5567件に急増(公表事案をトレンドマイクロが集計)。攻撃者は正規ユーザーのIDやパスワードなどの情報を盗み取るだけでなく、正規ユーザーになりすましてポイントを不正に換金したり、正規ユーザーの知人などへ不正なメッセージが送り付けたりするようになった。

不正ログインによる侵害アカウント数の推移と内訳(出典:トレンドマイクロ)。直近の4〜6月期ではSNSでの侵害が多数を占める

 システムが狙われた事件ではDDoS(分散型サービス妨害)攻撃によって企業のサービス提供が中断に追い込まれるだけでなく、コンテンツ配信ネットワークやソフトウェアの更新サービスが乗っ取られ、Webサイトの閲覧者やソフトウェアのユーザーがマルウェアに感染してしまうケースが相次いだ。

 海外ではマルウェアに感染したPOS(Point of Sales)システムから個人情報やクレジットカード情報などが大量に流出する事件も多発し、攻撃者が企業に「DDoS攻撃を仕掛ける」と恐喝して金銭を要求する事件も発生している。

 これまでのサイバー攻撃は、攻撃者が相手に知られないよう密かに実行する傾向にあった。特に「APT(Advanced Persistent Threat)」と呼ばれるタイプの攻撃では高度なテクニックを使って企業や組織のシステムやネットワークに長期間潜伏し、機密情報を盗み出す。しかし岡本氏によると、2014年上半期の脅威動向ではAPTのような高度な手口を応用して大胆にサイバー攻撃を実行する傾向がみられるようになった。

 こうした傾向がさらに進めば、企業や組織に対する信頼や事業継続性が脅かされかねないという。しかし、企業や組織では抜本的な対策を打ちづらいのが実情だ

 例えば、不正ログイン攻撃の背景にはユーザーによるパスワードの使い回しがあるとされ、攻撃者は何らかの方法で入手した正規のIDとパスワードの組み合わせリストを使ってログインを試みる。サービス提供者側からすると、原則的に正規のIDとパスワードによるログインの要求を拒否することは難しい。通常とは異なるログインの特徴(試行回数が多い、アクセスする端末がいつもと違う、など)を検知して不審な場合はアカウントをロックし、ユーザーにパスワード変更などの対応を依頼せざるを得ない。

 情報処理推進機構(IPA)が行った実態調査の結果によれば、不正ログイン対策のための認証手段の強化が必要と考えるサービス提供者は多いものの、認証手段の強化によってユーザーの利用率低下や事業への影響を懸念する声が目立つ。

 また、Webサイトを通じたマルウェアの感染攻撃では企業や組織が保有するコンテンツの改ざんだけなく、外部の広告配信ネットワークなどに不正サイトへ誘導するリンクや不正プログラムのダウンロードリンクが埋め込まれることもある。自社のコンテンツに対して改ざん防止策などを講じることができても、連携する外部の仕組みついては、その提供事業者に対応を委ねるしかない。

今以上にセキュリティ意識と対策のレベルアップを

 変質するセキュリティの脅威に対して、個人などのユーザー側は「可能な限り脆弱性を解消する」「セキュリティ対策ソフトなどを適切に利用する」「パスワードの使い回しをやめる」といった基本的な自衛策を徹底するしかない。

 岡本氏は、「正しく利用していても被害に遭う。まずはやるべき対策をきちんと実践し、最新の脅威情報を把握して身を守るべき」とアドバイスする。中には「ウイルス対策は高いから使わない」「被害に遭っていないから大丈夫」というネット利用者もいるが、最低限の対策として、せめて無償のウイルス対策ソフトを利用するようにはしたい。

 企業や組織ではセキュリティ対策を経営課題に位置付け、可能な限りの対応を取ることが求められるという。セキュリティ対策の強化によって既存のビジネスにマイナスの影響が出る可能性よりも、実際にサイバー攻撃に遭って顧客も巻き添えに損害を被る方が影響ははるかに深刻だろう。

 不正ログイン対策としてIPAは、「パスワードを最低8文字数以上にする」「パスワードに使用可能な文字の種類を増やす」ことで、ユーザーにあまり負担をかけることなく認証レベルを高められるとしている。

 Webサイトの改ざん対策では、サーバで利用しているソフトウェアの更新を適切に行うほかにも、岡本氏はコンテンツが変更されたことを検知したり、変更自体を防止したりする仕組みを推奨する。外部のクラウド環境などでWebサイトを運営している場合は、改ざん対策を利用できる事業者のサービスの利用を検討したい。

 ソフトウェア更新を悪用して更新プログラムにマルウェアを混入させるような攻撃に対しては、更新プログラムのデジタル署名が正しいものかをチェックする仕組みが有効であり、ソフトウェアベンダーには積極的な対応が望まれるとのこと。ただ、「ソフトウェア更新に関する脆弱性情報を公表することで、攻撃者がこの情報を逆手に取ることも予想される。情報公開については細心の注意が必要」(岡本氏)という。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ