水際対策では間に合わない。サイバー攻撃者の行動を想定した対策を

INDEX

インターネットの登場で世界は大きく変わり、豊かになった。いまや社会のインフラになり、インターネットのない状況は考えられない。しかし、ネット空間は必ずしも「安心安全」ではない。
本連載では、サイバーセキュリティ企業のスプラウト代表取締役社長高野聖玄氏の著書『フェイクウェブ』から、その一部を紹介する。
リアル社会よりも巧妙で狡猾な罠が数多く仕掛けられているインターネットの世界に、私たちはどう立ち向かえばいいのだろうか。

#1 「その取引、本物？」企業を狙うビジネスメール詐欺
 #2 被害額は50億円。CFOが騙されるその手口とは
 #3 一度侵入されれば最後。隅々まで知られていると覚悟せよ

標的型と無差別型。サイバー攻撃の種類とは

綿密に練られたサイバー攻撃から、企業はどうやって身を守ればよいのだろうか。ここでは少し視点を変え、ビジネスメール詐欺をはじめとする標的型のサイバー攻撃に企業がどう対策していくのが望ましいかについて述べていきたい。

改めて整理しておくと、サイバー攻撃の種類は二つに大別することができる。ひとつはターゲットを明確にした標的型攻撃で、日本航空やLEONI社へのビジネスメール詐欺事件、コインチェックから大量の仮想通貨が盗まれた事件などはこちら側に当たる。

標的型攻撃の中には、国家的な背景を持つものも決して少なくなく、そういったケースではターゲット国の政府や金融機関といった国家の重要インフラを担う組織や、大手企業が狙われる傾向が強い。

もう一方は無差別型攻撃で、先述したアマゾンの偽メールや2‌0‌1‌7年に世界中で大流行した身代金型マルウェア（悪質なコードやウイルス）である「ワナクライ（WannaCry）」などのばら撒き型がその典型だ。メールを使ったばら撒き以外にも、あらゆるIPアドレスに対して脆弱性を探し出すための自動スキャンを仕掛け、それに引っ掛かった相手に侵入して見つかったものを盗んでいくといった、空き巣のような手口もよく見られる。

ただし、標的型攻撃の一連の流れの中で、無差別型で利用されるマルウェアが使われるケースもあるため、攻撃の一片からどちらかを断定することが難しい場合もある。

継ぎ足し続けた修正が弱点となることも

企業にとってはどちらのサイバー攻撃も脅威には違いないが、誤解を恐れずに言えば、標的型攻撃の方がより甚大な被害を企業に及ぼす可能性が高いと筆者は考える。

その理由は、無差別型攻撃の多くが水際対策で止めることができる場合が多いのに対し、様々な手法を使って連続性を持って行われる標的型攻撃を阻止することのハードルが高いこと。なおかつ標的とされた側にどういった情報資産があるかまで把握されている場合、攻撃者側が得られる成果を最大化しようと行動することが推測されるからだ。

多くの企業には、長年に渡って組み上げられてきたシステムがあり、それを少しずつメンテナンスし、維持してきた歴史があるだろう。社員が使うためのイントラネットにしても、顧客向けのウェブサービスにしても、何度も建て増しを重ねた老舗旅館のような構造になっているケースは少なくない。

加えて近年では、社員がスマートフォンやクラウドサービスを通じて、外部ネットワークから企業内にアクセスすることも増えてきている。そのような古いものと新しいものが混在するシステムには多くの脆弱性が内在している可能性が高いのだが、残念ながら誰の病にも効く万能薬がないように、どんな企業に対しても効くサイバーセキュリティ対策の極めの一手があるわけではない。

サイバー攻撃者の優位性

そこで、企業の持つネットワークが複雑化し、情報資産が様々な箇所に点在している状況下においては、サイバー攻撃によるインシデントが発生することを前提に、被害を最小限に抑えるための施策を多層で用意しておくというのが現実的な解になる。

言い換えれば、完全になくすことが難しいサイバーリスクをいかにコントロールしていくかが、経営者やセキュリティ担当者に求められているということである。

一方で、サイバー攻撃を行う側にとってみれば、複雑に絡み合ったシステムの中からひとつでも脆弱な箇所を見つけ出し、内部に侵入することができれば、そこを起点に様々な情報資産を盗み出せる可能性がある「有利な状況」だと言える。企業内部への侵入の糸口は、先述したような経営層や社員に対する偽メールであったり、社内ネットワークへの不正侵入であったりと、攻撃者側が取れる選択肢は非常に多い。

サイバー攻撃者がどういうステップを経て攻撃を行ってくるかを想定し、各段階でどう対処していくかを考えることが、対策を行う上で非常に重要になってくるのだ。

※本連載は今回が最終回です。

（バナーデザイン：大橋智子、写真：matejmo/iStock）

本記事は『フェイクウェブ』（高野聖玄、セキュリティ集団スプラウト〔著〕、文藝春秋）の転載である。

高野聖玄（たかの・せいげん）株式会社スプラウト代表取締役社長。1980年生まれ、フリーのウェブエンジニア、ビジネス誌のオンライン事業立ち上げなどを経て、2012年にサイバーセキュリティ企業スプラウトを創業。共著にサイバー闇市場に迫った『闇（ダーク）ウェブ』（セキュリティ集団スプラウト著、文春新書）。

注目のコメント

杉本政也
元移住・交流推進機構
・2019年07月29日
なぜサイバー攻撃を仕掛けるのか、このあたりの目的を問題視すべきであって、「とにかくサイバー攻撃をいかに防ぐか」みたいなテーマだと、オレオレ詐欺から結婚詐欺まであらゆる詐欺を防ぐには？みたいな感じにしかならないように思えてしまう。

標的型と無差別型には中間的なものもある（ひょっとしたら標的型にカウントされるのかもしれないが）。
例えばマルウェアに感染した自治体職員のPCが「台風」や「豪雨」と言う単語を含むメールを受信すると、アドレス帳の宛先に「被害状況の報告」等のマルウェア付きメールを無差別に送付してしまう。
それなりに多くの自治体職員のPCが感染していたと思うが、セキュリティソフトウェアが導入されている事もあり、本人は全く気付いていなかっただろうし、検知できる方法も無いだろう。
※2017年の全面的なセキュリティ対策により無くなったと思いたい。

一方で、（本当の）標的型攻撃で最も気をつける必要があるのは、やはりソーシャルエンジニアリングだろう。
標的型の目的は、あくまて「標的」に対する特定の目的を持ったものなのだから、セキュリティソフトウェア云々の話とはまた異なると思う。
百田幸司
しがないシステムエンジニア
・2019年07月29日
現場の肌感覚と乖離している話なんですよね、経営者層にセキュリティは大事です…みたいな話をしている感じに近いでしょうか？

リーマンショックの少し前くらいから、攻撃がビジネスになったことで、攻撃側のプロ化が急激に進んだ実態が抜けています
プロによる攻撃手段の多彩化で、セキュリティの考えが変化し、今までセキュリティ設計を担った基盤SEでは、防御の設計が難しくなった…つまり事前に設計して基盤に施すセキュリティは最低限になり、セキュリティ対策は専門化した訳です

それに、攻撃側はソーシャルハックも含めて、我々の知らない手札を何枚も持っています。そのため、侵入自体に気がつかない可能も高くなりました。

にも関わらず、経営者やPMは今でもシステムでセキュリティ対策ができると信じています
水際対策では間に合わないではなく、未知の攻撃を受けた前提でセキュリティポリシーから作らないと、リスクコントロールできない…が正解です。前提条件が弱いから、記事の内容が薄く感じられるのではないでしょうか？
日野空斗
BOBG PTE.LTD. PM
・2019年07月28日
たしかに、サイバー世界は攻撃側に有利です。完全になくすことができないリスクですが、この記事でいう「現実的な対処法」は最低限必要なものですね。

配信メディア

NewsPicks Brand Designセレクション