ウイルス感染は防げない? 標的型攻撃対策での落とし穴:Maker's Voice
セキュリティ技術者でFFRI社長の鵜飼裕司氏は、ウイルス感染などの「事故前提の対策にとらわれるのは危険」と警鐘を鳴らす。
標的型攻撃などによるウイルス感染や情報漏えいなどの事故が相次ぐ状況に、「事故前提」の対策が盛んに提起されている。しかし、日本のセキュリティ研究者の草分け的な存在として知られるFFRIの鵜飼裕司社長は、「安易な取り組みは余分なコストや手間が増えかねない」と指摘する。
対策が分からない
日本年金機構での事故を契機に昨今注目される標的型攻撃は、攻撃者が狙いを定めた相手に合わせて用意したウイルスやメールなどの手法を幾つも組み合わせて実行する。このため、定義ファイルを使うウイルス対策ソフトやファイアウォールによる従来型の対策方法では防ぐのが難しい。
脆弱性研究や対策技術の開発など日本のセキュリティ業界を牽引してきた一人でもあるFFRIの鵜飼裕司氏標的型攻撃の脅威が顕在化したのは2005年頃とされ、国内では2011年に重工系数社に対する攻撃と情報流出事故の発生で注目されるようになった。鵜飼氏は「脅威の内容は大きく変わっていないものの、被害の増加が最近の特徴」と話す。
被害が増える背景には、複雑な手法を駆使する標的型攻撃を防ぐ仕組みが分かりにくいことや、よその被害を他人事ととらえる危機意識の欠如があるという。そのため、今なお多くの企業や組織が従来型の対策方法を採用し続けており、その対策が突破されて事故につながっている。
標的ごとに異なる手法の攻撃を防ぐには、「ウイルス対策ソフト+ファイアウォール」のような典型例ではなく、企業や組織が自分たちの環境に応じた仕組みを講じるしかない。「最近では攻撃を可視化するなどの新技術が数多くあり、そのために対策方法も複雑になっている。企業や組織は限られた予算の中で最も効果的な方法を工夫しないといけないだろう」(鵜飼氏)
従来型の対策で脅威を防げないなら、ウイルス感染や情報漏えいなどの事故を前提にした対応が必要になる。ところが、「事故前提」の対策も一歩間違えると、別の問題を引き起こしかねない同氏は指摘する。
事故対応は金がかかる
「事故前提」の対策は、例えばウイルスに感染しても拡散させない、情報が盗まれても悪用をさせないといったように、被害抑止を目的に原因究明や調査、再発防止、顧客など関係者への対応といった体制を準備して、有事に機能できるようにする。鵜飼氏が問題視するのは、「事故前提」の“前提”にあるべき「防御」の視点が抜けてしまうことだという。
「事故前提の考え方は当然必要だが、『守れないから仕方ない』という理由付けのために持ち上げられているような印象も受ける。防御できれば被害は起きない。本来は脅威を防ぎ、その上で万一の事態に備えておくべきではないか」(鵜飼氏)
セキュリティ事故の対応に要するコストや手間はケースバイケースだが、一般的に情報流出のような場合では原因究明の調査や応急措置、再発防止策、関係者のへのお詫びといった直接的な費用だけでも数千万から数億円規模になるとされる。そこでは膨大な時間と労力、資金が費やされる。
安易に「事故前提」を許容して防御が手薄になれば事故が増え、結果的に対応コストばかりが増えかねないと鵜飼氏。まず脅威を可能な限り防ぐことで事故発生リスクを減らし、その上で万一の場合でも被害やコストも最小に抑えられるよう「事故前提」の対策も準備しておくというアプローチを推奨している。
「ウイルス対策ソフトは死んだ」の後
脅威を防ぐウイルス対策ソフトが通用しなくなったのは、新種ウイルスが大量生成されるようになったからだといわれる。基本的なウイルス対策ソフトは、ソフト会社が個々のウイルスを特定してから検知できるようにする「定義ファイル」を用いる。つまり今は、新種ウイルスがあまりに多過ぎて「分かったウイルス」を見つける定義ファイルの作成が追い付かない状況だ。
2014年に米Symantecの幹部が「ウイルス対策ソフトは死んだ」と発言して話題になった。ここでいうウイルス対策ソフトとは、定義ファイルを使うタイプの製品。当然ながらソフトを開発するベンダー側は、定義ファイルに加えて新しい技術でウイルスを検知する「統合セキュリティソフト」という製品に軸足を移している。昨今の標的型攻撃で使われた“未知のウイルス”の検出できたというベンダーは多い。
ただ、新技術を採用するセキュリティ製品の導入にはコストが伴う。新たな使い方を習熟するといった手間も少なからず必要だ。定義ファイルを使うウイルス対策ソフトにもメリットはあり、新種ウイルスをすぐに検知できなくても、時間が経ってから検知できるようになる場合が多い。即効性はなくても確実性という部分では新しい検知技術に勝るケースもある。
鵜飼氏は、新旧の検出技術を併用して防御力を高める方法を推奨する。「例えば、Windowsに標準搭載されているWindows Defenderは非常に優秀で、しかも無料で利用できる。無料のウイルス対策ソフトでコストを抑えながら、新たな脅威を防ぐ仕組みを講じていただきたい」(同氏)
残念ながら標的型攻撃などの脅威は、コンピュータ利用者の意図に関係なく突然にやってくる。従来型の対策手法に固執して多大な実害を被っては元も子もない。脅威に立ち向かわざるを得ない状況は企業や組織にとって頭の痛い問題だが、対策方法を工夫できる余地は広がっている。
関連記事
【新連載】セキュリティインシデントが繰り返される理由
セキュリティ対策をしているにもかかわらず、標的型攻撃による情報漏えいなどのインシデントが後を絶たないのはなぜか――。業界通の筆者が、その理由を歴史からひも解く渾身の新連載。
法人PCはいまだにウイルス対策しかやっていない
標的型攻撃の被害がメディアをにぎわすようになって、ようやく「ウイルス対策ソフト」では攻撃が防げないことが理解され始めました。エンドポイントセキュリティを後回しにしていた情シスの怠慢かもしれません。
相次ぐサイバー攻撃被害 考え直したいセキュリティ対策
多くの組織がセキュリティ対策へ取り組んできた“はず”なのに、サイバー攻撃などの被害が止まないのは、なぜだろうか。セキュリティ対策の本質を考え直してみたい。
標的型攻撃は続いている――急ぐべき対応策は?
セキュリティ専門家による討論会で、日本年金機構に端を発した標的型攻撃での問題点や企業・組織で急がれる対策などが提起された。
未知のマルウェアに対抗する国産技術を展開へ、FFRの鵜飼氏
ヒューリスティック(振る舞い)技術を利用した国産マルウェア対策製品をフォティーンフォティ技術研究所が開発した。Winny研究家でも知られる鵜飼社長に特徴や展開を聞いた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 爆売れだった「ノートPC」が早くも旧世代の現実
ITmediaはアイティメディア株式会社の登録商標です。