中小中堅企業に対するサイバー脅威 - F

中小中堅企業に対するサイバー脅威
サイバー戦争、ハクティビズム、DDoS 攻撃(分散型サービス拒否攻撃)。ニュ
ースではよく見かけるこうした脅威で、影響を受けるのは多国籍企業や政府だ
けでしょうか?
データセキュリティの世界は複雑で、めまぐるしく動いています。ほとんどの企業は、実施すべきことが多す
ぎてすべてに対応しきれておらず、また、理解すべきこともあまりにも多様になりすぎているため、専門家レ
ベルのセキュリティの知識を維持することも困難になっています。一方で、Stuxnet や Flame などのマルウ
ェアは連日のようにニュースで取り上げられるため、さまざまな組織から、そのビジネスとデータが抱えて
いるリスクに関する質問が弊社のもとに寄せられています。
脅威は単一の「種類」ではなく全体像でとらえる必要があります
企業は、メディアに取り上げられやすい内容と、中小中堅企業にとって真に脅威となるものをはっきりと区
別する必要があります。では、どのような攻撃が中小中堅企業のビジネスに影響するのかを判別するには
どうすればよいのでしょうか?
実際に中小企業を脅かしているものは、単一の「種
類」の脅威ではなく、絶えず存在し変化し続ける、サイバー
犯罪による脅威です。
「ウイルス」や「スパム」のように個別の要素に特定することが難しく、メディアの報道だけではその全体像
は分かりません。サイバー犯罪のビジネスは複雑多様で、その点は一般の業界と変わりません。個別の
「脅威」は異なる人物や団体によって作成され、売買を経て他の多くの要素と組み合わされます。その結果、
多様な形態を持つ複雑なものとなりますが、目的は明確です。それは、データと金銭を詐取することです。
ゾンビコンピュータ、騙された人間、そして誰にも見えていない穴
攻撃者の手口には、はっきりとしたパターンがあります。ウイルス対策、スパムフィルタ、ブラウザ保護など
の、ますます進化するセキュリティ対策技術に撃退されている攻撃者は、データにアクセスするための異な
る手段を模索しています。その中には、ボットネット(ゾンビコンピュータ)、ソーシャルエンジニアリング(騙
しの技術)、脆弱性を悪用するエクスプロイト(未知のセキュリティホールを通じた攻撃)といった、中小中堅
企業に対して特に有効なものが含まれます。
ボットネット:会社の資源が別の「一団」のために悪用される可能性があります
中小中堅企業においてしばしば問題になるのがボットネットです。ボットとは遠隔操作できるように感染した
コンピュータのことで、これらの感染マシンにより構成されるネットワークがボットネットです。その様子は、
一人の人間に支配されているゾンビの大群に例えられます。この場合、正当な会社の資源が乗っ取られ、
スパムの送信やデータ盗用、他のサイトに対する攻撃といった悪意のある行為に使われてしまいます。そ
して、この事実に会社自体が気付くまでには、長い期間を要することがあるのです。
通常、ボットネットを作成する人間と使用する人間は異なります。作成した人間は、金儲けのために自作の
ボットネットを最も高く買い取ってくれる相手に売却します。時間単位、週単位で貸し出すことさえあります。
中小中堅企業はボットネットの踏み台にするには理想的な環境です。多くのマシンがネットワークで接続さ
れており、従業員は退出時にもコンピュータの電源を落とさないことが多いからです。
感染した企業ネットワークは、攻撃者にほぼ無尽蔵
とも言える資源プールを与えてしまいます。
すなわち会社の資源が、実際には攻撃者のために悪用されているという状況になってしまうのです。
ソーシャルエンジニアリング:私たちは所詮人間であり、攻撃者もそれを知って
います
セキュリティ技術の進化により、攻撃者はシステムへの新たな侵入手段を模索するようになりました。そし
て、対象システムのユーザを通じて侵入するのが最も簡単であることに気付きました。ソーシャルエンジニ
アリングとは、人の心理を利用して特定の行動をとらせたり、情報を入手したりすることを言います。たとえ
ば騙して特定のファイルをインストールするよう仕向けたり、パスワードやクレジットカード情報を聞き出し
たり、といったことです。以前であればその手口は誰にでもわかるような稚拙なもの(ナイジェリアの王子を
名乗って銀行口座の暗証番号を聞き出そうとする手口などです。)でしたが、今ではより工夫され、洗練さ
れたものになっており、多くの場合、正当な手続きと見分けがつかなくなっています。
また、ランサムウェアは攻撃の一形態として定着しつつあります。ランサムウェアによる攻撃では、攻撃者
はユーザのコンピュータをロックダウンし、ロック解除のために支払いを要求します。そのメッセージは通常、
警察を装ったもので、ユーザがいかがわしい違法コンテンツを所持しているとして、罰金の支払いを要求し
ます。被害者はヘルプデスクに相談するべきなのですが、そうすると彼ら自身が恥ずかしい思いをするよう
な状況をマルウェアが作っているため、彼らは相談をためらってしまいがちです。
脆弱性を悪用するエクスプロイト:信頼できるソースであっても惨事をもたらすこ
とがあります
攻撃者がコンピュータにアクセスする上で、最も好まれている侵入手段は脆弱性を利用するエクスプロイト
かもしれません。これは単純にソフトウェアのセキュリティホールを見つけて、それを悪用してマシンを感染
させるプログラムです。
最も侵入経路になりやすいものは何でしょうか?それはパッチを適用していない古いソフトウェアです。
ソフトウェアは PC にとって玄関のようなものです。
古くなったソフトウェアは、あらゆる種類の攻撃に対してドアを堂々と開けているようなものです。それが無
害と思われるソースのものであれば、なおさらです。新聞社のサイトなど、ほとんどの人が無条件に信用す
るサイト上にあるバナー広告などの例では、Java や Flash などのプラグインにつけ込むように設計されて
います。攻撃者はマシンを感染させるあらゆる方法を探し、データを詐取したり、マシンをボットに変えたり、
ロックして金銭を要求したりするマルウェアをインストールするのです。
将来、エクスプロイトはさらに加速します
弊社では、エクスプロイトのさらなる急速な進化と、「ゼロデイ」エクスプロイトと呼ばれる、パッチや修正プ
ログラムが提供される前に行われる攻撃の増加を予測しています。
セキュリティホールはあっという間に攻撃されてしまうため、ソフトウェアベンダーによる対応が追いついて
いけない状況になっており、さらにゼロデイの時代はまだ始まったばかりと言えます。2013 年上半期にエ
フセキュアが検出した上位 10 位までのマルウェアのうち、58%がエクスプロイトで、そのうちの 45%は
Java 関連のものでした。ユーザは、たとえ使用しているブラウザが IE7、IE8、もしくは IE9 の最新版であっ
ても、感染したウェブサイトを閲覧するだけで、攻撃者にマシンを制御されてしまうことになります。
これは広くメディアに取り上げられることのない脅威の一例です。技術系のブログが取り上げることはあり
ますが、その場合は非常にテクニカルな内容になりがちです。ほとんどの企業はこのような脅威について
何も知らないままでしょう。このような脅威に対しては、修正プログラムがリリースされるまで製品を使用し
ないことが、第一の防衛策となります。
サイバー戦争は巻き添え被害を生むのでしょうか?
前述したように、Flame のような大規模な攻撃に関するニュースはしばしば目にします。言い換えると、
Flame は国家間のサイバー戦争と思われるものの一要素ですが、Flame 自体は、私たちが知る形態では
一般のユーザには影響しません。しかし、そこで使用されたテクニックはその限りではありません。Flame
の作成者は個別のコンピュータを標的にするにあたって高度な方法を使用し、さらに OS にマイクロソフト
がアップデートを作成したと思わせることに成功しました。
現時点では、ほとんどのサイバー犯罪者はこれほどきめ細かく徹底的に仕込むことはないでしょう。しかし、
これらのテクニックにより投資利益率が改善する、もしくは競争に勝てる見込みがあるということがわかれ
ば、将来採用されるようになると考えられます。
通常のビジネスのようにサイバー犯罪者にとっても、「今日の研究開発は明日の実用」です。現在は必死
に研究が進められている段階であり、将来は Flame で使われていた手法が犯罪シンジケートに使用され
ることになるでしょう。私たちはそれに備えなければいけません。
落ち着いて、慎重に
このようなめまぐるしく変化する環境の中で、特に注意を払うべきものは何でしょうか?
当然のことながら、まずは組織のノート PC、デスクトップ、サーバ、モバイルデバイスといったすべての環
境で、ウイルス対策、スパム対策、ブラウザ保護がしっかり導入されていることが重要です。
中小中堅企業にとって特に重要なのは、すべてのソフトウェアを最新版に保つことです。セキュリティソフト
だけではありません。OS、Flash や Java などのプラグイン、Microsoft Office、使用しているブラウザなど、
すべてのソフトウェアを最新版に保たなくてはいけません。
最後に、常にセキュリティ専門家と連絡が取れるようにすることです。専門家はセキュリティ問題について
助言を提供し、待ち受ける危険について知悉しています。
使用しているソフトウェアをすべて最新版に保ち、セキュリティ製品が組織のすべてのレイヤーをカバーす
るようにすることで、時間と資源をビジネス上の優先課題に充てることができるようになります。
-
著者
-
エッサ・トルニコスキ : エフセキュアのプロダクトマネージャ。専門は中小企業の IT セキュリティニーズに
見合う製品やサービスの構築。
エフセキュアについて
エフセキュアは、IT 先進国フィンランドで 1988 年に設立されて以来、23 年にわたりセキュリティ製品に取り組
んでいる業界の先駆者で、世界規模でセキュリティサービスを提供しています。1999 年に OMX ヘルシンキ証
券取引所に上場し、以来、順調に成長を続けている株式公開企業のひとつです。
エフセキュア株式会社
Tel: 03-5545-8940 Fax: 03-5545-8945
Email: [email protected]
〒107-0052 東京都港区赤坂 2-11-7 ATT 新館 6F
URL: http://www.f-secure.co.jp/
Blog: http://blog.f-secure.jp/
Protecting the irreplaceable | f-secure.com