標的型攻撃は続いている――急ぐべき対応策は？（3/4 ページ）

[國谷武史，ITmedia]

攻撃は“継続中”

カスペルスキーの前田典彦氏

　「Emdivi」関連の攻撃を調査しているカスペルスキーの前田典彦チーフセキュリティエヴァンゲリストは、「一連の攻撃はまだ続いている」と警鐘を鳴らす。

　前田氏によれば、「Emdivi」に感染したコンピュータからの通信の73％が国内から発生している。また、「Emdivi」と通信する攻撃者に乗っ取られたコンピュータ（ボット化して攻撃者の命令などを仲介するC2サーバ）の93％が国内に存在し、攻撃者は日本を集中的に狙っていると予想される。

　「攻撃者は手作業で攻撃を実行している様子がうかがえる。しかも、これだけの規模の攻撃を実行できるということ、それなりのリソース（資金や技術力、人材など）を持つ人物（たち）だと思われる」（前田氏）

　「Emdivi」による通信は、2014年10月から11月と2015年4月から5月に多数観測されたといい、事態の発端となった年金機構での想定感染時期とも一致する。感染事実は政府系機関を中心に公表されているが、前田氏は製造や防衛、航空、マスコミなどの組織でも感染が多いと指摘する。

　特にマスコミではメールのアカウント情報だけ盗まれているという。目的は不明だが、「テレビや新聞の記者になりすまして取材依頼メールを送れば、政治家でも企業のトップでも、メールを開いてしまうだろう」（前田氏）

「連絡窓口」を用意して

ラックの西本逸郎氏

　これまでのセキュリティ対策は、主に企業や組織のネットワークやシステムへ侵入する脅威を事前に食い止める「境界防衛」のアプローチがとられてきた。しかし冒頭で高橋氏が言及したように、サイバー空間にはウイルスがまん延し、標的型攻撃では相手を巧妙にだます幾つも手口が使われる状況にある。

　ラック最高技術責任者の西本逸郎氏は、「水際で止めるのは非常に難しい」と指摘する。企業や組織には、「境界防衛」で脅威を防げなかった事態にも対応できる準備が急務と言え、西本氏は有事の対応で考慮すべきという5項目を挙げている。

考えること	観点
遮断方法	だれがどのように判断するのか。どの範囲を遮断し、どうやって連絡するのか――など
対応時の連絡方法	メールは読めるのか否か――など
ITリテラシーの前提	例えば「実行ファイルとは何？」という人がいること――など
調査方法	誰に依頼するのか、記録や証拠は保全しているのか――など
インシデント連絡窓口	外部からの連絡先が明確か。問い合わせをしかるべき部署につなげられのか――など

　この中で各氏が、必要性を挙げているものが「インシデント連絡窓口」だ。企業や組織が自ら攻撃などに気付けない場合は、外部からの連絡でしか分からない。攻撃を発見した外部機関が連絡できるようにしておくことがまず求められる。