標的型攻撃の事実が示すセキュリティ対策の“本当の誤解”とは?萩原栄幸の情報セキュリティ相談室(1/2 ページ)

「標的型攻撃に狙われるのは大企業」「多層防御だから心配ない」と考える企業が少なくない。だが対策を講じても、根底を誤ると失敗する。それは何か。

» 2014年12月05日 07時00分 公開
[萩原栄幸,ITmedia]

 前回から2014年の締めくくりとして今年のセキュリティを総括しているが、今回はまずこの記事をご覧いただきたい。

 筆者は企業や組織に対してコンサルティングを実施している。これほど詳しい数字は把握していなかったものの、実感として大きくうなずけるものであった。この記事では驚くべき内容が幾つか掲載されているので、これについて解説したい。

企業が感染に気が付くまで平均229日

 この数字を紹介した企業は、FireEyeという米国でも日本でも有名なセキュリティベンダーだ。あくまで同社が把握している範囲であり、申し訳ないが日本の大多数を占める零細企業は含まれていない。

 そのことを考慮しても、平均値として見ただけでこの数字だ。最長では2300日というから、6年以上も感染に気が付かなかった企業が存在するということになる。だが、これは公開の場のために明かされた数字だろう。実際は、もっと多くの企業が現在でも気が付いていないままの状態にあると思われる。なぜなら、感染を認知した企業の67%、つまり3分の2が「外部からの指摘」があるまで感染の事実を把握できなかったからだ。

 「外部から指摘」と聞いて、ある出来事を思い浮かべる読者の方も多いと思う。そう、ベネッセでの事件だ。日本最大級の情報漏えい事件となったが、これがきっかけで筆者に相談される企業が少なくない。11月22日に筆者が参加している「日本セキュリティ・マネジメント学会」で学術講演会(テーマ:内部犯罪・不正のリスクマネジメント)が開催されたが、この場で筆者は「もしかしたら(ベネッセは)現在も来年も、事態を認識できないままであった可能性があります」とお伝えした。

 つまり、平均229日で感染に気が付くというのは、まだ「運が良い」と思うべきだ。「発見」できたからだ。

 組織内部に起因する脅威でも、サイバー攻撃のような組織の外部に起因する脅威でも、企業が被る影響は基本的に同じである。いまだに「きちんと対策をしない会社が悪い」と考える人が少なくないが、では「あなたの会社は大丈夫?」と聞かれたら、いかがだろうか。そのことが理解できれば、いつ「うちは大丈夫か?」と調べるべきか――そう、「今でしょ!」ということになる。

 「うちの会社は大丈夫」と思うのは自由だが、最初に挙げた記事のタイトル――97%の企業が標的型攻撃でマルウェアに感染している――をもう一度みてほしい。これは事実に基づいている。それでも、この数字を無視するのだろうか。

 また、記事では攻撃対象になる業種が「あらゆる業種」に波及しているという。特に金融やメディア&エンターテインメント、そして、知的財産集約型(例えば製薬会社、シンクタンクなど)が狙われているとのことだが、業種業態によって濃淡はあるものの、やはりすべてに波及しているのである。

 さらに、何と3分の2が特注型のマルウェアやウイルスであるという。これもある程度は予想していたが、やはり驚くべき数字だ。攻撃者はたとえ小さな企業であろうと、ターゲットにした企業を調査・研究し、その企業専用にマルウェアやウイルスを製造してしまう。セキュリティ対策での検知、ましてや駆除はとても難しいということになる。

 特注型で注目すべき点は、(1)その企業専用なので汎用的な対策ソフトでは無力なケースが多い、(2)しかも目的ごとに作成される――だ。特に2つ目は、ほとんどのマルウェアやウイルスがピンポイントの目的だけを達成するとすぐに自己消滅してしまう。その段階で検知は不可能である。記事でもバックドアなどの作成を完了すると、85%が1時間後には消滅するようになっていたとある。ここまでされると防御側は、手の打ちようがほとんどない。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ