特集

最新のIT技術情報や旬な話題をお届けいたします

Macnica Networks DAY 2013特別講演レポート Recent trends on Cyber Threats~サイバー攻撃に対抗するためIT部門に必要なこと~

Macnica Networks DAY 2013特別講演レポート

内外のITおよびセキュリティのスペシャリストたちが集まる一大イベント「Macnica Networks DAY 2013」において、McAfeeのシニア・セキュリティ・アーキテクトであるTanja Hofmann(ターニャ・ホフマン)氏による特別講演「Recent trends on Cyber Threats~サイバー攻撃に対抗するためにIT部門に必要なこと~」が行われた。この講演では最新の脅威を解説するとともに、現在のサイバーセキュリティの世界では何が重要なのか、将来の脅威はどうなるのか、どう対策をとるべきかについて紹介。非常に興味深い内容となった。

サイバー犯罪は金銭を得るために最も容易な方法

ホフマン氏

ホフマン氏は「現在はセキュリティの観点から非常に興味深い時期」であるという。彼女がサイバーセキュリティに関わるようになってから12年がたつが、その様相は大きく変わってきた。かつての攻撃はスクリプトキディ(インターネット上で公開されている操作が簡単なクラックツールを利用した不正アクセス)がネットワークをダウンさせるといったものが多く、目的は売名行為が中心であった。しかし、それが今では金銭目的が大半を占めているという。

「なぜなら、金銭を得るために最も容易な方法がサイバー犯罪であり、ROI(投資対効果)が非常にいいためです。たとえば、ある会社から1億円の価値のある知財を盗もうとした場合、2千万円を投資すれば、デスクに座ったままで対象の奪取から売却までが可能です。短期間のうちに利益を得ることができる時代になっています。それゆえ、セキュリティも重要性を増しているのです」とホフマン氏は語る。

ホフマン氏によれば、ここ数年、標的型攻撃などさまざまな脅威が登場しているという。防御する側はパッチを当ててセキュリティホールを塞いだり、新しい技術を開発したりして対処してきたが、攻撃する側もそれを突破しようと攻撃方法を絶えず改良している。たとえば10年前に流行したワーム「SQL Slammer」などは非常に継続的な脅威で、IPS(侵入防止システム)などで対策がとられているにも関わらず、今なお活動を続けているそうだ。

「継続的な脅威は長いスパンで攻撃を行うことに加えて、自らの存在を隠そうとするので、その検知は非常に困難です。また、以前はシステム上に何かあればPCの処理速度が遅くなり、ユーザも異変に気がつくことができた。ところが、現在においてはPCの性能が大幅に向上したため、裏で脅威が活動していても影響が出ず、結果として気がつくことが困難になってしまっています」とホフマン氏は語る。

モバイルデバイスを狙った攻撃が急増

続けてホフマン氏は「標的型攻撃において、攻撃者は標的とする企業がどのようなセキュリティ対策を行っているのか、どのベンダのセキュリティ対策製品を導入しているのかまで調べています。そして攻撃者は、標的とする企業がどの製品を使っていても侵入することは可能だと思っています」と述べ、さらに「セキュリティのトレンドは1年半ほど前から非常に大きな変化がみられます。かつてはスパムメールやワームが主流でしたが、ここにきてモバイルデバイスに注目が集まっています。McAfeeの調査では、2013年の第1四半期だけで過去3年間と同等の量の脅威が出現しています」と続けた。

昨今、数多くのモバイルデバイスやタブレットが企業のネットワークに接続されていることを考えると、大いに警戒すべき状況だとホフマン氏は指摘する。
「モバイルデバイスでは、iOS、Windows Phone、そしてAndroidと主に3つのOSが使われています。もし皆さんの会社で使われているモバイルデバイスのOSがiOSやWindows Phoneなら、とりあえず安心といえるでしょう。しかし、Androidだったら心配です。なぜなら既にたくさんのAndroid向けマルウェアが存在するからです。こうしたマルウェアに感染すると、バックグラウンドで悪質なアプリケーションがダウンロードされたり、クレジットカードが不正に使用されたりしますが、それが月に100円程度ですと、ユーザもなかなか気がつきません」

フィッシングメールの質も向上、ぱっと見ではわからない

最近ではセキュリティ教育が進んだおかげで、ユーザもメールへの添付ファイルを慎重に扱うようになった。しかし一方で攻撃者の使うフィッシングメールの質も向上している。「攻撃する対象を絞り込んだ上で、ビジネスメールとしての文章や体裁も整っており、パッと見では偽物と判断できません。こうしたメールにたとえば『XYZ社のCTOのアシスタントの方へ。添付の情報は先日あなたのマネージャから依頼されたものですので、渡していただけますでしょうか』と書いてあったら、そのファイルをクリックしない人がどれくらいいるでしょうか』とホフマン氏は問いかける。

フィッシングメールの質も向上

この種の標的型攻撃への対処方法としては、攻撃が発覚した場合、「何がどのように侵入してきたのか」を調査し、それを繰り返させないことが重要だとホフマン氏は語る。また、攻撃のカギとなる情報が1~2週間前にあるかもしれないので、情報の相関関係を見ていくということも大切と述べた。

不十分なインフラのセキュリティ対策

続いてホフマン氏は、インフラのセキュリティについて話を進めた。 「お客様と話をしていると、セキュリティの概念から『インフラ』が抜けてしまっている企業が多いのです。でもたとえば、工場にある製造機械にもOSが搭載されている。それは来年4月にサポートが終了するWindows XPかもしれない。この問題の深刻さをどれだけの人が認識しているでしょうか」

マイクロソフトによると、いま世界中にあるクライアントの約30%がWindows XPを使っているという。ただしこれはいわゆるPCに限った数字であり、機器組み込みのOSは入っていない。実際、Windows XPは非常に多くのインフラで使用されているとホフマン氏は指摘する。たとえば交通信号もWindows XPで制御されているし、チョコレートの製造機械、銀行のATMにも搭載されている。こうした「終わりの近いOS」は攻撃者に狙われやすい。

ここ5年ほどで、生産の即時性や他の会社との接続、データベースへのアクセスなどを目的に、各種インフラ機器にOSが搭載されることが増えた。しかし、こうしたインフラで使われているOSはウイルス対策どころか、ろくにパッチさえあてていないものが多いという。

パッチの適用は、OSだけでなくアプリケーションにも必要だが、セキュリティの観点から見ればOSの適用状況よりも悪い状況だとホフマン氏は指摘する。
「たとえばビジネスの世界でおなじみのPDFです。現在、Acrobatの脆弱性を突いた攻撃が非常に増えています。この種のマルウェアはメモリの使用量が小さいため、モニタリングデバイスがあっても、異常な通信がネットワークを走っているのを検知できなければ、攻撃への対応は困難です。多くのアーキテクトは『データを盗む』という言い方をしますが、実際は盗むのではなくコピーしています。つまり、攻撃を受けてもオリジナルのデータに変化は起こらず、痕跡は残りません」。

標的型攻撃を防ぐには「Webブラウザ」と「アクセス制限」から

重要なのは、全体的なアプローチをとって、何かおかしなことが起こっていないか検知できるようにすること。標的型攻撃を受けているのを検知できるようにすることだとホフマン氏は述べ、標準的な企業環境の図を示した。 「多くのユーザは、たくさんの種類のセキュリティ製品を使っています。そして、その大半がひとつのことに焦点を当てたポイント製品です。ファイアウォールやアンチウイルスはほとんどのユーザが持っていますね。次に多いのがWebゲートウェイソリューションによるコンテンツフィルタリングです」

そしてホフマン氏は、標的型攻撃がどのように行われるのか、その例を紹介した。
「いろいろなケースがありますが、保護されていないインフラにおいてはメールから侵入してくることが考えられます。メールは攻撃を成功させるため巧妙にカスタマイズされており、添付ファイルだけでなく興味深いリンクという形で罠が仕掛けてあります。こうしたリンクをクリックすると、悪意あるWebサイトへ誘導され、『何か』をダウンロードすることになります。この『何か』がデスクトップに侵入するのです。攻撃はWebゲートウェイで止められるかも知れませんが、それは既知の攻撃の場合に限られます」。

Webブラウザ

ホフマン氏は、ユーザから依頼を受けて企業のセキュリティ監査を行うことが多いという。今あるセキュリティ対策で何がわかるのか、どういった方向に進もうとしているのかを確認するわけだが、そこでよくする質問が「どのソフトウェアを企業のシステムの中で許可しているのか、その際は何を基準にきめているのか」というもの。「重要なのは、セキュリティ設定に基づき、使用するWebブラウザに制約をかけること」とホフマン氏は言う。脅威の多くはWebから入ってくる。企業の管理者がユーザに対しWebブラウザを自由にインストールできるようにしてしまうと、全種類のWebブラウザで定期的なパッチ適用が必要になり、ここをおろそかにしてしまうと、標的型攻撃に対して脆弱になってしまう。

そこでホフマン氏は、セキュリティ監査を行う際、まず「使用するWebブラウザは最大でも2つにする」、そして「インターネットへのアクセスを制限する」ことを提言するという。ブラウザの種類が多くなると標的型攻撃を受ける可能性が高くなってしまうという点は先に述べた。アクセス制限の目的は、攻撃の侵入ルートを減らすことにある。マルウェアは検出を避けるため、クライアントではないところから侵入を試み、データベースやサーバなど知財がある場所にアクセスしようとする。データベースのセキュリティはまったく異なるトピックになるが、しばしば安全性より可用性が重視されており、企業のセキュリティポリシーでカバーされていないことが多い。そして多くの場合、データは直接データベースから盗まれているのだ。

アクセス制限

「これはマルウェアが企業環境へ侵入するひとつの例に過ぎません。企業はセキュリティ製品にかなりの額を投資していますが、状況は刻一刻と変わっており、製品だけでなんとかなる時代ではなくなりました。セキュリティベンダの数もずいぶん増えたこともあり、現在のトレンドはいわゆるベストオブブリード型のセキュリティ製品を組み合わせる方向へ進もうとしています。IPS、Webゲートウェイ、ファイアウォール、データベースセキュリティ、それからアプリケーションのホワイトリスト方式。今後2~3年で、その傾向はさらに進むと思います」とホフマン氏は語る。

今後のセキュリティはどうあるべきか

ホフマン氏

ここでホフマン氏は、鉛筆で迷路を出口までなぞっていくゲームを引き合いに出した。攻撃者が標的の企業から情報を盗み出そうとするのは、ちょうどこの感覚に近いのではないかという。まずスタート(侵入路)があってゴール(情報)がある。企業側がひとつセキュリティ製品を入れれば、入れるたびにひとつ角が増える。すると曲がる場所が多くなるため、ゴールへたどり着きにくくなる。攻撃者がセキュリティ対策を突破しようとすることが「イベント」ということになる。ひとつひとつのイベントを単独で見ても、さほど危険性は感じられないかもしれない。しかし、何者かが何かをしようとしていることを検知し、「イベント」の相関関係を見ていくと危険性が分かる。これが重要なのだ。

「今後はセキュリティ製品同士が検出した情報をやり取りし、連携することで、見えにくい脅威に対応することが必要になると思います。つまり、ポイントベースの製品を中心としたセキュリティをソリューションベースに変えるということです。たとえばメールが届いたとき、メールゲートウェイがメールの送信元や添付ファイル、受信の頻度などを確認し、Webゲートウェイがリンク先を分析する。またエンドポイントでも同様のチェックを行っていくことで情報を蓄積。相関関係により疑わしいものを判別していくのです」とホフマン氏。

さらにホフマン氏は、サンドボックスを紹介した。サンドボックスとは、ダウンロードされたファイルを仮想環境に置き、どのような動作をするのか解析を行う技術だ。セキュリティの製品がお互いに連携しているような環境であれば、他に同様のファイルをダウンロードしたクライアントがあるかどうかをリアルタイムに認識でき、問題があればリアルタイムに遮断できる。ホフマン氏は「いずれ攻撃者がこのセキュリティを突破するときが来るでしょう。しかしその際も、セキュリティ業界は二歩、三歩、四歩、必ず攻撃者の先を行っていると思います」と述べた。

最後にホフマン氏は、「レイヤー8のセキュリティ」と呼んでいるものについて説明した。
「『レイヤー8のセキュリティ』とは、企業の人々、従業員を指します。まさにここが一番の弱点であることが多いのですが、それを認識している企業は意外に少ないです。たとえばある会社はユーザ教育を徹底しており、安易にメールの添付ファイルやリンクをクリックしないということはもちろん、社内で見知らぬ人が歩いていたらどうしたらいいのか、というところまで教育しています。こういう会社では、受付で訪問者のアポイント先に電話で確認することまで行います」

「しかし一方で、受付でバッジを渡されて『3階の会議室へ行ってください』と言われる会社もあります。この場合、私は他の階へ行くこともできるし、オフィスの隅に設置されているプリンタから過去のプリントジョブを参照することもできます。攻撃者はこういったところから侵入のきっかけとなる情報を集めていくのです。以前、私は『テキストファイル』と名前を付けたUSBメモリを10本ほど、訪問先の会社にこっそり撒いたことがあります。中のファイルに『見つけた人は連絡してください』と書いておいたのですが、親切にも3人の方から連絡がありました。その会社では『出所のわからないUSBメモリをPCに接続してはいけない』という通達をしていたにも関わらず、です。」とホフマン氏はセッションを締めくくった。

いつか見た景色 from Staff's Albums