ITmedia NEWS > セキュリティ >
ニュース
2015年06月09日 18時32分 UPDATE

年金情報流出から得られる教訓は――ラックが文書公開 「標的型攻撃の対策は、従来のウイルス対策と全く逆」 (2/2)

[ITmedia]
前のページへ 1|2       

「標的型攻撃対策は、従来のウイルス対策とは全く逆」

 今回の事件では、5月8日に最初の感染が認知されて以降、機構は感染PCをネットワークから切り離し、ウイルス解析を行うなど対策を進めたが、情報流出を防げなかった。機構が採っていた対策が従来型ウイルスを前提にしていたことが背景にあるとみており、「標的型サイバー攻撃は、従来のウイルス対策とはまったく逆のアプローチをとるべき」と同社は指摘する。

 無差別に攻撃し、人の意志が深く入り込まない従来型ウイルスの場合は、感染したPCを隔離して分析し、その結果を部内のほかのPCに反映して感染駆除を行うが、標的型サイバー攻撃では、「1人への攻撃が成功した時点ですでに複数の人が感染し、複数のウイルスが入り込んでいると疑うべき」という。

画像 ウイルス感染対応と標的型サイバー攻撃への対応の違い

 標的型サイバー攻撃の場合、「攻撃者は、最初の1台への攻撃が成功したあと、他のコンピュータへの再感染を試み、これまでに使用していたウイルスとは異なるウイルスに変更し、同様の調査では発見されにくくする工夫をする」ためで、最初に発見されたウイルスを調べても、巧妙に姿を変えるウイルスが組織内に入り込んだことを探し出す参考にはできないという。

 標的型サイバー攻撃の対処としては、PCの感染や不正な通信が見つかった段階で、その組織からの外部通信をすべて遮断し、遠隔操作ウイルスをネットワーク内に封じ込めること、また、遠隔操作ウイルスが攻撃者に連絡を取ろうと試みる通信を発見することで、不正な動作をするPCをすべて発見し、確実に駆除してゆくことが必要としている。

 機構に百数十通送られたという標的型攻撃メールを開いたのは数人だけ。ほかの職員は攻撃を見抜き、添付ファイルを開かなかった。だが、その情報が共有されなかったことも問題だと同社は指摘。「攻撃を認知した場合にしかるべき部門と共有する仕組みがあれば、もしかすると被害が抑制できていたかもしれない」としている。

 標的型サイバー攻撃への対処法として、(1)社員や職員の意識改革と教育、(2)事件・事故を前提とした組織体制の構築、(3)事故対応チームの組織化、(4)セキュリティ監視と不正通信の洗い出し(4)標的型サイバー攻撃を受けた際の行動や報告の演習――などが有効としている。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.