2016年3月3日から4日にかけて東京都千代田区にあるJPタワーで行われた『Security Days 2016』。ヴイエムウェアの楢原盛史氏は基調講演を行い、サイバー攻撃対策のゲームチェンジについて解説した。主な発言要旨は次の通りだ。【山下雄太郎】
--------------------------------------------------------------------
現在、ランサムウェアが非常に悪さをしている。ヴイエムウェア社は、システムを通常運用にもっていく際のセキュリティの構築、あるいは統合ログ分析、コンサルティングに携わっている。そこで様々なところから情報が入ってくる。
米国では今、病院がランサムウェアに感染して、システムが使えない状況が起きている。マルウェアに感染するとシステムが機能しなくなり、病院も機能しなくなるという深刻な事件に発展している。
ハッカーの技術は「軍事レベル」
ヴイエムウェア社は仮想環境からセキュリティを提供している。その際インシデントレスポンスの業務に関してとにかく相談が多い。犯罪者レベルの頭脳にどう追いつくことができるかどうか、というところだろう。
相手は9時から5時まではハッキングする集団だ。技術においては軍事レベルのツールを使ってくる。そのため圧倒的な差が出る場合もある。いたちごっこに対してどう立ち向かうのか・・。マインドチェンジが必要だ。
犯罪者側に正面からぶつかっても、正直かなわない。インシデントレスポンスをしても、振る舞い検知をしても、あらゆるものにウイルスが侵入する現状だ。
「パターンマッチは限界」
いたちごっこは終わらない。情報漏洩は脅威だ。情報が漏れたことにマスメディアが反応したり、それをベースに警察が介入したりして、目も当てられない状況となる。
外部犯行のケースとしては、不正プログラムが大前提となっている。ウイルスに感染することでコントロールが奪われる。情報窃取においては外部犯行と内部犯行の両方がある。
情報漏えい対策ツールというものに関して、限界があるという話がある。2、3年前に、シマンテックの社長が「ウイルス対策製品は死んだ」というコメントを出した。彼が言ったことの本意は「ツール、パターンマッチでは限界がある」ということだ。
しかし現状では様々な情報漏えい対策ツールが増えている。昨年、日本年金機構の事件があったときに、「この攻撃はこのツールなら防ぎます」という売り込みがセキュリティ企業で行われた。ただ、明日起こる攻撃は担保しないという内容となっていた。
情報対策ツールは増えれば増えるほど、運用負荷がかかる。結局未知のプログラム感染は防げないし、気づくことができない。そのため結果的に情報漏えいに至る。
メガバンクは業務後、強制クリーンアップ
最新のランサムウェアは感染すれば拡散する。そのため拡散さえ止められれば、不正プログラムがはびこることがない。そこで汚染されたものをクリーンアップする方法がある。新品のOSに戻すというやり方だ。OSのリフレッシュ――そこまでやらないと未知のマルウェアは防げない。
例えばメガバンクでは9時から5時で仕事をして、その後OSを新品にもどすというやり方をとるところもある。未知のウイルスが入ってようが、入っていなかろうが、クリーンアップする。そうすれば潜伏できないし、そのことで被害を最小化しようという考え方だ。
ウイルスが添付されているメールも不可避だろう。ユーザは添付ファイルを見ざるを得なくて、ダウンロードする。その際にウイルスに感染する。その後、マルウェアは拡散する。しかも汚染、拡散することに誰も気が付かないという状況だ。
ただ、これまでのセキュリティ対策は尊重するべきで、脅威を最小化する必要がある。そこで例えば仮想ファイアウォールを使い、完全に遮断する。マシンAに感染してもマシンBの感染を防ぐ。これによって利便性を損なわないことができる。
ウイルスは攻撃対象を確認して、端末の制御関係なしにサーバに到達し、情報を奪う。今は自治体型のファイアウォールやエンドポイントの振る舞い検知が注目されている状況だ。
マルウェアに一度感染された場合、感染拡散を最小化して汚染されたものは健全化する処理をする必要がある。さらにログを最低限活用すべきだ。そうすればインシデントレスポンスの対応も迅速に行い、障害報告書、感染報告書をいち早く書けるはずだ。(終)
クリックして、さらに記事を読む。 HH NEWS togetter 記事一覧
