どう防ぐ? 標的型攻撃:「メールの添付ファイルを開いたあと、PCが重い気がする」 という記事を見つけました
2016年も中盤に差し掛かっていますが、依然としてサイバー攻撃による被害や、内部からの情報漏えいなどの被害は後を絶たず、連日のようにニュースで流れてきます。標的型攻撃による情報漏えい、インターネットバンキングの不正送金被害、身代金ウイルス(ランサムウェア)によるデータの喪失、Webサイト改ざんや脆弱(ぜいじゃく)性を突いた攻撃による個人情報漏えい、内部からの情報持ち出しによる被害……。
これらのサイバー被害情報に対して、中堅・中小企業の経営者が敏感に反応し「これはまずいぞ、うちの会社は大丈夫かな」と心配になり、トップダウンで具体的な対策を指示する……というケースがどれだけあるでしょうか。ほとんど(と言っては失礼ですが)サイバー被害にまつわるニュースや記事情報を対岸の火事のように捉えてしまい、トップ率先で自社のセキュリティ対策強化に取り組むケースはまれです。そのため、少ない人数でセキュリティ対策を一任されている情報システム管理者から「どうやったら社長にセキュリティの重要性を分かってもらえるでしょうか……」と筆者が相談を受けたケースは一度や二度ではありません。
中堅・中小企業へのサイバー攻撃被害が急増している理由とは
「セキュリティ対策なんて分からないものに金を掛けるのはもったいない。それよりもウチの売り上げを上げる取り組み(販促施策など)にお金を掛けた方がいいでしょ」――、中小企業の経営者からよく耳にする言葉です。確かに、セキュリティ対策を施したからといって、売り上げがすぐに向上したり、コスト削減に貢献でき利益が拡大したりするような、業績に直結するケースはまれです。そのため経営者の関心事になりにくいのもうなずけます。
しかし中堅・中小企業がターゲットになるサイバー攻撃は年々増加しており、実被害に遭遇するケースも増えているため注意が必要なのです。
ではなぜ、攻撃者は中堅・中小企業への攻撃を拡大しているのでしょうか。それには次の3つの理由があります。
•穴だらけで簡単に侵入できる
•サプライチェーンの上流に攻撃の幅を拡大する足掛かりにできる
•カネになる
中堅・中小企業は、大手企業ほどにセキュリティ対策にお金や時間、設備などのコストをかけていなかったり、従業員に対するセキュリティ教育を実施していなかったりするので、攻撃側にとっては比較的簡単に侵入することができます。中堅・中小企業の脆弱なエンドポイントを不正に乗っ取った後、サプライチェーンの上流(本当に狙いたい大手取引先企業など)に攻撃の幅を広げていくことも可能です。
大手の取引先から重要な機密情報を預かっており(その情報が重要情報である、という認識があるなしにかかわらず)、パスワードもかけていないクライアントPCやNAS(ネットワークのファイルサーバ)に保存しているケースも見受けられます。PCを1台乗っ取ってしまえば、遠隔操作でネットワークに転がっている重要情報を探すのは簡単です。
最近では、攻撃者は中堅・中小企業を攻撃することが「カネになる」ということを理解しています。アンダーグラウンドのWebサイトでは、機密情報や個人情報といった重要情報が売買されています。インターネットバンキングの不正送金は中堅・中小企業の被害が激増していますが、こちらも直接的にカネになります。さらにランサムウェア被害を受けた中堅・中小企業が、特に重要なデータが破壊されていた場合、いちかばちかでデータの復元を試みるために、攻撃者側にカネを支払うケースもあるでしょう(復元のための鍵が入手できるかどうかは不明なので、いちかばちかなのです)。
一昔前のサイバー攻撃は「愉快的犯行」が主流でした。しかし、現在は「金銭搾取」に攻撃の目的が変わっているのです。「カネになる」ということが分かれば、サイバー攻撃がビジネス化するのは当然でしょう。このような世の中の変化をしっかりと見定めた上で、中堅・中小企業でもリスク対策に備えなくてはいけません。
参考事例:中堅・中小企業を狙う標的型攻撃「スピアフィッシング」
中堅・中小企業をターゲットとした「標的型攻撃」が増えているのをご存じでしょうか。
標的型攻撃とは、特定の企業や法人、団体などの組織をターゲットとし、ターゲットとなる組織内の情報を狙う攻撃の総称です。その組織の業務習慣など、内部の情報について事前に入念な調査をしたうえで、さまざまな攻撃手法を組み合わせて内部侵入を試みます。侵入後は侵入範囲を拡大し、重要情報や機密情報を抜き取ったり、データを削除したりします。
事実、標的型攻撃の1つである「スピアフィッシング」(特定ユーザーを狙ったフィッシング詐欺)による企業を狙った攻撃では、攻撃のターゲットの65%は中堅・中小企業であることがシマンテックの調査で明らかになっています(シマンテックの「2016年インターネットセキュリティ脅威レポート」より)。特に、従業員数が1~250人までの企業に対する攻撃が過去5年間で増加傾向にあり、2015年は攻撃全体の43%が1~250人までの企業を標的にしていました。攻撃者が攻撃対象を中堅・中小企業に向けていることがよく分かります。筆者はこれを「攻撃のダウンサイジング化」と呼んでいます。
スピアフィッシングは、メールを使った標的型攻撃です。攻撃者は取引先を装い、業務に関連しそうなメールタイトルで、業務に関係するようなメール本文を構成します。メールに添付したMicrosoftのワープロソフト「Microsoft Word」やAdobe SystemsのPDFビュワー「Adobe Acrobat Reader」などを偽装したウイルスファイルを開封させようとしたり、「Dropbox」「Box」などのオンラインストレージのURLを添付し、ウイルスファイルをダウンロードさせようとしたりします。対象企業に応じた個別具体的な情報を付加した内容でメールを送付してくる点が厄介です。
例えば、あなたが以下のようなスピアフィッシングを受けた場合、回避できる自信はあるでしょうか。
事例
従業員40人の製造業。大手企業から製造業務の仕事を請けている。
取引先である購買部の佐藤さんからメールが届いた。佐藤さんという人は知らないが、いつもの取引先からのメールだと思い、疑問を抱くことなく受信フォルダに入ってきたメールのタイトルを見た。
疑問に思うことなく添付ファイルを開封した。 実はこの添付ファイルは、Wordファイルに偽装した遠隔操作プログラムだった。
こうして、PCには遠隔操作プログラムが埋め込まれ、攻撃者に乗っ取られてしまった。だが当の本人は「PCが少し重たくなったかな……」くらいにしか思わず、通常通り業務を遂行した。攻撃者にはPCの中にある情報を閲覧されているものの、本人は重要情報を持ち出されているとはいまだに気付いていない。
これが典型的なスピアフィッシングの攻撃例ですが、いかがでしょうか。業務に関係する内容で、しかも取引先を詐称した偽装メールの場合、それと気付かずにメールを開封し、偽装ファイルをクリックしてしまう可能性は十分にあり得ることです。
標的型攻撃への対策は多岐にわたります。IPA(情報処理推進機構)も推奨している通り複数のセキュリティ対策を組み合わせる「多層防御」で社内の環境を守らなくてはいけません。社員教育の充実や組織としてのルール決めなど、人に対しての対策はもちろんですが、物理的対策として推奨するのはインターネットとLANの間に安全策を施すことです。具体的にはUTM(Unified Threat Management:統合脅威管理)や次世代ファイアウォール(NGFW: Next Gereration Firewall)などを導入することです。UTMや次世代ファイアウォールはアプライアンスとして販売されていることが多く、インターネットとLANの間に設置するルーターを置き換えて利用します。
UTMや次世代ファイアウォールの特徴
UTMや次世代ファイアウォールは、以下のような機能を持っています。
•フィッシングメールや迷惑メールからPCを守る(アンチスパム) ◦迷惑メールやフィッシングメールなどの邪魔なメールを迷惑メールフォルダに振り分ける、ブロックするといった機能を利用することで、不必要なメールを閲覧する手間を省くことができる
•ウイルスの侵入や拡散を防ぐ(アンチウイルス) ◦添付メールにウイルスが付着していたり、ウイルスが仕掛けられているWebサイトに知らずに訪問したりした場合でも、インターネットの入り口でウイルスをブロックする。今回のケースでは、遠隔操作プログラムが既知のウイルスである場合、ウイルス感染する可能性が低くなる
•業務上不必要なサイトの閲覧や不正サイトへの誘導を防ぐ(URLフィルタリング、レピュテーション) ◦業務時間中に閲覧すべきではないWebサイト(アダルト、ギャンブル、ドラッグ、暴力など)や、危険性が高いと判断されたWebサイト情報をまとめ、データベース化する。カテゴリごとにWebサイトへのアクセスを制御して、閲覧不可にすることができる
•インターネットを経由した物理的な攻撃を防ぐ(ファイアウォール、不正侵入防止システム: IPS) ◦連続してパケットを送りつけてくるDDoS(分散型サービス妨害)攻撃のような、インターネット外部からの物理的攻撃や不正侵入などから社内の環境を保護する
•Webアプリケーションの利用を制御できる(アプリケーションコントロール) ◦ソーシャルネットワーキングサービス(SNS)の「Facebook」や「Twitter」、通話アプリの「Skype」、Webメールサービスの「Yahoo!メール」、オンラインストレージのDropboxなどといったWebアプリの利用を許可/拒否することができる。Facebookに社内の機密情報を添付して送付するような情報漏えいリスクを減らすことも可能
•インターネットと社内の通信状況、外部からの攻撃状況を可視化できる(レポーティング) ◦攻撃を「見える化」するので、どれだけの攻撃を受けていたのかが視覚的に理解できるようになる。導入直後にレポートを閲覧して「これほどまでに攻撃にさらされていたのか……」と驚く企業も多い
インターネットの出入り口対策の強化は「必須事項」
最近では、遠隔操作プログラム(ボット)の検出や対処を可能にするアンチボットを有したUTMが登場してきました。アンチボットは、遠隔操作プログラムが仕掛けられた端末が、攻撃用のコントロールサーバ(C&Cサーバ)に接続しようとするような、不審な通信を遮断します。
管理側の人的リソースが限られている中堅・中小企業の場合、インターネットとLANの間に情報セキュリティ装置を設置し、システムで自動的に攻撃をブロックしたり、通信制御したりすることは、もはや必須事項です。
インターネットとLAN間の通信は1本の回線で結ばれているのがほとんどですから、インターネットの出入り口に門番を立てるがごとく、UTMや次世代ファイアウォールで出入り口対策を強化することで、安全性は飛躍的に高まることを覚えておきましょう。
アンチポット個人でも検討しなければ
2016年も中盤に差し掛かっていますが、依然としてサイバー攻撃による被害や、内部からの情報漏えいなどの被害は後を絶たず、連日のようにニュースで流れてきます。標的型攻撃による情報漏えい、インターネットバンキングの不正送金被害、身代金ウイルス(ランサムウェア)によるデータの喪失、Webサイト改ざんや脆弱(ぜいじゃく)性を突いた攻撃による個人情報漏えい、内部からの情報持ち出しによる被害……。
これらのサイバー被害情報に対して、中堅・中小企業の経営者が敏感に反応し「これはまずいぞ、うちの会社は大丈夫かな」と心配になり、トップダウンで具体的な対策を指示する……というケースがどれだけあるでしょうか。ほとんど(と言っては失礼ですが)サイバー被害にまつわるニュースや記事情報を対岸の火事のように捉えてしまい、トップ率先で自社のセキュリティ対策強化に取り組むケースはまれです。そのため、少ない人数でセキュリティ対策を一任されている情報システム管理者から「どうやったら社長にセキュリティの重要性を分かってもらえるでしょうか……」と筆者が相談を受けたケースは一度や二度ではありません。
中堅・中小企業へのサイバー攻撃被害が急増している理由とは
「セキュリティ対策なんて分からないものに金を掛けるのはもったいない。それよりもウチの売り上げを上げる取り組み(販促施策など)にお金を掛けた方がいいでしょ」――、中小企業の経営者からよく耳にする言葉です。確かに、セキュリティ対策を施したからといって、売り上げがすぐに向上したり、コスト削減に貢献でき利益が拡大したりするような、業績に直結するケースはまれです。そのため経営者の関心事になりにくいのもうなずけます。
しかし中堅・中小企業がターゲットになるサイバー攻撃は年々増加しており、実被害に遭遇するケースも増えているため注意が必要なのです。
ではなぜ、攻撃者は中堅・中小企業への攻撃を拡大しているのでしょうか。それには次の3つの理由があります。
•穴だらけで簡単に侵入できる
•サプライチェーンの上流に攻撃の幅を拡大する足掛かりにできる
•カネになる
中堅・中小企業は、大手企業ほどにセキュリティ対策にお金や時間、設備などのコストをかけていなかったり、従業員に対するセキュリティ教育を実施していなかったりするので、攻撃側にとっては比較的簡単に侵入することができます。中堅・中小企業の脆弱なエンドポイントを不正に乗っ取った後、サプライチェーンの上流(本当に狙いたい大手取引先企業など)に攻撃の幅を広げていくことも可能です。
大手の取引先から重要な機密情報を預かっており(その情報が重要情報である、という認識があるなしにかかわらず)、パスワードもかけていないクライアントPCやNAS(ネットワークのファイルサーバ)に保存しているケースも見受けられます。PCを1台乗っ取ってしまえば、遠隔操作でネットワークに転がっている重要情報を探すのは簡単です。
最近では、攻撃者は中堅・中小企業を攻撃することが「カネになる」ということを理解しています。アンダーグラウンドのWebサイトでは、機密情報や個人情報といった重要情報が売買されています。インターネットバンキングの不正送金は中堅・中小企業の被害が激増していますが、こちらも直接的にカネになります。さらにランサムウェア被害を受けた中堅・中小企業が、特に重要なデータが破壊されていた場合、いちかばちかでデータの復元を試みるために、攻撃者側にカネを支払うケースもあるでしょう(復元のための鍵が入手できるかどうかは不明なので、いちかばちかなのです)。
一昔前のサイバー攻撃は「愉快的犯行」が主流でした。しかし、現在は「金銭搾取」に攻撃の目的が変わっているのです。「カネになる」ということが分かれば、サイバー攻撃がビジネス化するのは当然でしょう。このような世の中の変化をしっかりと見定めた上で、中堅・中小企業でもリスク対策に備えなくてはいけません。
参考事例:中堅・中小企業を狙う標的型攻撃「スピアフィッシング」
中堅・中小企業をターゲットとした「標的型攻撃」が増えているのをご存じでしょうか。
標的型攻撃とは、特定の企業や法人、団体などの組織をターゲットとし、ターゲットとなる組織内の情報を狙う攻撃の総称です。その組織の業務習慣など、内部の情報について事前に入念な調査をしたうえで、さまざまな攻撃手法を組み合わせて内部侵入を試みます。侵入後は侵入範囲を拡大し、重要情報や機密情報を抜き取ったり、データを削除したりします。
事実、標的型攻撃の1つである「スピアフィッシング」(特定ユーザーを狙ったフィッシング詐欺)による企業を狙った攻撃では、攻撃のターゲットの65%は中堅・中小企業であることがシマンテックの調査で明らかになっています(シマンテックの「2016年インターネットセキュリティ脅威レポート」より)。特に、従業員数が1~250人までの企業に対する攻撃が過去5年間で増加傾向にあり、2015年は攻撃全体の43%が1~250人までの企業を標的にしていました。攻撃者が攻撃対象を中堅・中小企業に向けていることがよく分かります。筆者はこれを「攻撃のダウンサイジング化」と呼んでいます。
スピアフィッシングは、メールを使った標的型攻撃です。攻撃者は取引先を装い、業務に関連しそうなメールタイトルで、業務に関係するようなメール本文を構成します。メールに添付したMicrosoftのワープロソフト「Microsoft Word」やAdobe SystemsのPDFビュワー「Adobe Acrobat Reader」などを偽装したウイルスファイルを開封させようとしたり、「Dropbox」「Box」などのオンラインストレージのURLを添付し、ウイルスファイルをダウンロードさせようとしたりします。対象企業に応じた個別具体的な情報を付加した内容でメールを送付してくる点が厄介です。
例えば、あなたが以下のようなスピアフィッシングを受けた場合、回避できる自信はあるでしょうか。
事例
従業員40人の製造業。大手企業から製造業務の仕事を請けている。
取引先である購買部の佐藤さんからメールが届いた。佐藤さんという人は知らないが、いつもの取引先からのメールだと思い、疑問を抱くことなく受信フォルダに入ってきたメールのタイトルを見た。
疑問に思うことなく添付ファイルを開封した。 実はこの添付ファイルは、Wordファイルに偽装した遠隔操作プログラムだった。
こうして、PCには遠隔操作プログラムが埋め込まれ、攻撃者に乗っ取られてしまった。だが当の本人は「PCが少し重たくなったかな……」くらいにしか思わず、通常通り業務を遂行した。攻撃者にはPCの中にある情報を閲覧されているものの、本人は重要情報を持ち出されているとはいまだに気付いていない。
これが典型的なスピアフィッシングの攻撃例ですが、いかがでしょうか。業務に関係する内容で、しかも取引先を詐称した偽装メールの場合、それと気付かずにメールを開封し、偽装ファイルをクリックしてしまう可能性は十分にあり得ることです。
標的型攻撃への対策は多岐にわたります。IPA(情報処理推進機構)も推奨している通り複数のセキュリティ対策を組み合わせる「多層防御」で社内の環境を守らなくてはいけません。社員教育の充実や組織としてのルール決めなど、人に対しての対策はもちろんですが、物理的対策として推奨するのはインターネットとLANの間に安全策を施すことです。具体的にはUTM(Unified Threat Management:統合脅威管理)や次世代ファイアウォール(NGFW: Next Gereration Firewall)などを導入することです。UTMや次世代ファイアウォールはアプライアンスとして販売されていることが多く、インターネットとLANの間に設置するルーターを置き換えて利用します。
UTMや次世代ファイアウォールの特徴
UTMや次世代ファイアウォールは、以下のような機能を持っています。
•フィッシングメールや迷惑メールからPCを守る(アンチスパム) ◦迷惑メールやフィッシングメールなどの邪魔なメールを迷惑メールフォルダに振り分ける、ブロックするといった機能を利用することで、不必要なメールを閲覧する手間を省くことができる
•ウイルスの侵入や拡散を防ぐ(アンチウイルス) ◦添付メールにウイルスが付着していたり、ウイルスが仕掛けられているWebサイトに知らずに訪問したりした場合でも、インターネットの入り口でウイルスをブロックする。今回のケースでは、遠隔操作プログラムが既知のウイルスである場合、ウイルス感染する可能性が低くなる
•業務上不必要なサイトの閲覧や不正サイトへの誘導を防ぐ(URLフィルタリング、レピュテーション) ◦業務時間中に閲覧すべきではないWebサイト(アダルト、ギャンブル、ドラッグ、暴力など)や、危険性が高いと判断されたWebサイト情報をまとめ、データベース化する。カテゴリごとにWebサイトへのアクセスを制御して、閲覧不可にすることができる
•インターネットを経由した物理的な攻撃を防ぐ(ファイアウォール、不正侵入防止システム: IPS) ◦連続してパケットを送りつけてくるDDoS(分散型サービス妨害)攻撃のような、インターネット外部からの物理的攻撃や不正侵入などから社内の環境を保護する
•Webアプリケーションの利用を制御できる(アプリケーションコントロール) ◦ソーシャルネットワーキングサービス(SNS)の「Facebook」や「Twitter」、通話アプリの「Skype」、Webメールサービスの「Yahoo!メール」、オンラインストレージのDropboxなどといったWebアプリの利用を許可/拒否することができる。Facebookに社内の機密情報を添付して送付するような情報漏えいリスクを減らすことも可能
•インターネットと社内の通信状況、外部からの攻撃状況を可視化できる(レポーティング) ◦攻撃を「見える化」するので、どれだけの攻撃を受けていたのかが視覚的に理解できるようになる。導入直後にレポートを閲覧して「これほどまでに攻撃にさらされていたのか……」と驚く企業も多い
インターネットの出入り口対策の強化は「必須事項」
最近では、遠隔操作プログラム(ボット)の検出や対処を可能にするアンチボットを有したUTMが登場してきました。アンチボットは、遠隔操作プログラムが仕掛けられた端末が、攻撃用のコントロールサーバ(C&Cサーバ)に接続しようとするような、不審な通信を遮断します。
管理側の人的リソースが限られている中堅・中小企業の場合、インターネットとLANの間に情報セキュリティ装置を設置し、システムで自動的に攻撃をブロックしたり、通信制御したりすることは、もはや必須事項です。
インターネットとLAN間の通信は1本の回線で結ばれているのがほとんどですから、インターネットの出入り口に門番を立てるがごとく、UTMや次世代ファイアウォールで出入り口対策を強化することで、安全性は飛躍的に高まることを覚えておきましょう。
アンチポット個人でも検討しなければ