サイバー攻撃から身を守るための
情報セキュリティ対策

HOME > ソリューション > サイバー攻撃から身を守るための情報セキュリティ対策

  • お問い合わせ
  • ダウンロード

サイバー攻撃から身を守るための情報セキュリティ対策

昨今のビジネスにインパクトを与えるネットワーク犯罪

早期に検討しなければならない情報セキュリティポリシー

昨今、世界各国において、企業・機関がネットワークへの不正侵入・ワーム・DDoS攻撃などにより、サービスの停止や大切な情報資産の漏えいなど、事業継続性を脅かすような情報セキュリティ管理に関する問題が日々多発しています。日本は世界の中では比較的安全と言われていますが、ネットワーク上の脅威は急増傾向にあり、特に昨今では、セキュリティとリスク・マネジメント分野に対する企業IT部門の意識が変わってきています。より具体的な事件や事故を目の当たりにするにつれ、リスクに関して「他人事でない」という切迫感が高まってきています。

また、3月11日の震災や2009年のパンデミックなどの影響を受け、具体的な在宅勤務のシミュレーションを検討している企業や組織が増えています。主な対応としては、ITを駆使した自宅PCから社内LANへのリモートアクセスやモバイル端末(ラップトップ型PCやタブレット型端末)を利用して行い、社内業務を自宅で実施する新しいワークスタイルが多くの企業で検討されています。IT部門が早急に事業継続性の観点より在宅勤務を実施する際のセキュリティ上の問題を解決する必要性がでてきています。

さらに2010年頃より本格的な普及が見られるクラウドサービスにおいては、仮想化技術が多く使われている事より同一の物理サーバ内のゲストマシンがハイパーバイザーを経由するだけで通信が行なえ、IPSやファイアウォールの導入により適切なセキュリティが確保できない懸念がでています。また、リソースを共有する観点より様々な企業や組織が同一の物理マシンを使用する事になっていますが、その際のセキュリティポリシーについて統一されたパッチインストールのタイミングルールなどが適用する事ができない懸念も存在します。そして、Web経由で簡単にID、パスワードの組み合わせのみで企業や組織の重要な情報へのアクセスが可能になってしまうことなど、新サービスを導入する際の懸念事項として情報セキュリティが大きな検討課題になっています。

情報セキュリティの必要性に対する認知は、広く社会に浸透しつつありますが、Web2.0の進展やクラウドコンピューティングの普及に伴い、ITの活用の態様とそれを支えるIT産業の構造に大きな変化が生じています。一方、インターネット上の攻撃や犯罪は、個人の単独犯や愉快犯的レベルから、経済的・政治的目的を持った組織的なものへと変化を見せ、技術的高度化とも相俟って一層深刻の度を強めています。

ページのTOPへ

情報セキュリティに対する意識

悪意ある攻撃への危機感

インターネット、企業LAN等を利用する上での問題点(企業)(複数回答)(平成22年末)総務省の発表による「平成22年通信利用動向調査の結果」では、企業に対してインターネット、企業内LAN等を利用する上での問題点を調査しています。調査結果によれば、問題点として挙げられたのは「セキュリティ対策の確立が困難」が60.8%と最も多く、次いで「ウィルス感染に不安」(56.7%)、「従業員のセキュリティ意識が低い」(41.6%)となり、セキュリティに関連するものが上位を占める結果となっています。

顧客、仕入先、グループ企業間で国境さえもまたいだ情報共有が求められるようになったことで、情報漏えいのリスクが増大していることや、SaaSやクラウドコンピューティングなどの利用が本格的に進んできていることで情報の分散化が起こり、管理が難しくなってきていることが背景にあると考えられます。また、人材の流動化による内部の脅威も背景として考えられます。

そして最も大きな懸念として、サイバー攻撃などの犯罪が一段と巧妙化していることで実際に多くの企業がその被害に遭い、事業継続や社会的信頼において大きなダメージを被っている事例が多く報告されていることがあります。

総務省の発表資料より引用
参照:平成22年通信利用動向調査の結果 概要(615KB)

ページのTOPへ

多様化し目的を持つようになったサイバー攻撃

標的型サイバー攻撃とは?

従来までの悪意を持ったプログラムを利用したサイバー攻撃は、自身のテクニックやノウハウを試す事やニュースなどで被害を見ることを楽しむ愉快犯が多く存在していました。しかしながら2007年ころから報告されている「特定」の企業や組織に狙いを定め、機密情報を盗み出すサイバー攻撃のように明らかな「目的」を持つ犯罪は今年に入り急激に被害報告が増えています。従来の攻撃の手法と異なるのは、対象の組織に気づかれないように侵入し、侵入後の情報詐取に至るまでの行動も気づかれないように実行し、目的を達成する為に複数の手法を組み合わせるところにあります。この悪意を持ったサイバー攻撃を「標的型サイバー攻撃」といいます。

標的型サイバー攻撃の流れ

標的型サイバー攻撃の流れ

経済産業省の発表資料より引用
参考:平成23年5月27日 経済産業省 商務情報政策局
標的型サイバー攻撃対策について 〜政策の方向性〜 (2.3MB)

標的型サイバー攻撃は不正プログラムを大量に配布する従来形式のサイバー攻撃と異なる方法で行われていますが、特定の組織・個人を確実に感染させることを目的としていることから、一人当たりの感染確率を向上させるための工夫がされているためです。そのような工夫の主要な例としては、以下のような手法を複合的に用いるものがあります。

  1. ソーシャル・エンジニアリングの利用
  2. 不正プログラムの利用
  3. 脆弱性の利用

しかし、「標的型サイバー攻撃」で用いられる手法は既存のサイバー攻撃を組み合わせたもので、それぞれの攻撃手法に対し根本的な対策をうつことで、効果的にリスクを軽減させることができると考えられます。
2009年にも複合的なサイバー攻撃としてGumblarやConfickeの被害が多くでましたが、いずれも不正アクセス、ウェブサイト改ざん、不正プログラムの利用、脆弱性の利用を組み合わせたものでした。

ページのTOPへ

過去5年間で企業が検討してきたセキュリティリスク

年代 企業・組織の主な情報セキュリティ被害 考えられる企業リスク
2006年
  • Winny等のP2Pソフトによる個人情報流出。
  • クラッカーによるサーバへの不正アクセス。
  • Webサイトに不正侵入した上で、トロイの木馬をインストールさせ、そのページへアクセスしたPCへの感染拡大。
  • P2Pソフト(ファイル交換ソフト)』が企業内PCで使用された場合、P2Pを標的とした「Antiny」に代表されるウィルス感染により、PCに保存された全てのファイルが、不特定多数に流出する危険が発生する。
  • 「Zeus」や「Clampi」などのトロイの木馬の場合、オンライン・バンキングのアカウント情報を盗む手口によって、コンシューマサイドで多くの被害報告があった。
2007年
  • P2P経由で暴露型ウィルス感染による情報漏えい。
  • 第三者のアドレス列挙による電子メールアドレスの漏えい。
  • SQLを使用してデータベースにアクセスするWebアプリケーションの脆弱性を攻略。
  • Webページの内容を改ざんし、アクセスしたユーザのパソコンのブラウザの脆弱性などを利用して悪意のあるプログラムをダウンロード。
  • データベースを利用するWebアプリケーションを設置しているWebサイトにおいては、保存された非公開情報の漏えい、消去、改ざんの恐れがあり、またWebページそのものの改ざんなども発生し得る。
  • データベースシステムが動いている環境であれば、SQLによる攻撃の対象になり得る。本来、適切なデータベースの構築がされていれば脆弱性は解消されるが、セキュリティ意識の低さからか当時は脆弱性を残したままのサーバが多数存在し、被害が多発した。
2008年
  • USBメモリ等外部記憶媒体を介して感染を広げるタイプのソーシャル・エンジニアリング。
  • 偽セキュリティソフトによる不正なサイトへのユーザ誘導(ソフトの購入を促され、クレジットカード番号などを盗み取られる)
  • SQLインジェクションによりそこから派生したWebサイト閲覧による攻撃コードの実行・不正プログラムへの感染行為
  • DNSキャッシュポイズニング
  • ARPスプーフィング
  • USBによる被害は、ネットワーク的に独立したオフライン環境でも感染リスクがあり、またそういった環境ではセキュリティパッチのアップデートが不十分なことがあり、その場合は被害が拡大し易い。
  • DNSやARPを含め、古くから利用されている基幹プロトコルの脆弱性を利用された攻撃が発生している。アプリケーションなどの脆弱性に比べて影響範囲が広く、OS・アプリケーションだけではなく、ネットワーク機器、組み込み機器、さらにはセキュリティ機器(IDS、IPS、Firewall 等)にも及ぶ。
2009年
  • ConfickerとGumblar
  • 「W32/Autorun」などのUSBメモリなどを介して感染するマルウェアも流行
  • Webベースマルウェアへの感染も
  • DDoS攻撃による企業への恐喝
  • サイバー攻撃によるサーバの停止
  • Flash PlayerやPDFを閲覧するReaderなど一般的なアプリケーションに不正コードの実行が可能な脆弱性があり、多くの端末が攻撃対象となった。
  • SQLインジェクション対策が完了していた場合でも、Gumblarに感染するとFTPのアカウント情報やWebの管理者情報を盗まれ、結果的に脆弱性がないWebサイトでも、改ざんされて更なるGumblarの感染源になってしまう恐れがある。
2010年
  • Stuxnetのような、未知の脆弱性を悪用し、複数の既知の攻撃手法を組み合わせ、ソーシャル・エンジニアリングにより特定企業や個人をねらった攻撃が発生。
  • Conficker、やMonkif対応が難しい手法による継続的な攻撃
  • クラウドのセキュリティ対策問題
  • 「ソーシャル・エンジニアリング」や「マルウェア」などの脅威
  • 新しく見られた攻撃手法では、情報システムへの潜入等の「共通攻撃手法」と、特定システムへの攻撃や情報の窃取等の目標に応じた「個別攻撃手法」の組み合わせで構成される。
  • 「共通攻撃手法」への対策としては、一般的な脆弱性対策、ユーザ教育、アンチウィルス対策などがある。しかし、ユーザの行動を完全にコントロールすることは困難であるだけでなく、Stuxnet でも使用されたゼロデイの脆弱性を突かれた攻撃に対しては確実な効果を期待できない。
  • 「個別攻撃手法」に対する対策は、個別の制御システムや情報システムなど幅広い各種システムが攻撃対象となるため、個別のシステムごとに固有で検討し、制御システムを含む幅広い技術者の連携で対応していく必要がある。
2011年
  • 狡猾なメールなどを使用し、長期にわたり高度で執拗な標的型攻撃で潜入を試みるもので、従来のウィルス対策ソフトやファイアウォールなどの対策では対応できない『新しいタイプの脅威』の発生
  • 『新しいタイプの脅威』では、標的の周辺情報を調べ上げ、ピンポイントでその組織のセキュリティ対策をすり抜けられることを事前に検証で確認した手口を用いるなどして、成功率の高い攻撃を仕掛けてくるのが大きな特徴である。
  • 特定企業への情報収集を目的とした攻撃は報告件数が少なく、ウィルスソフトのベンダーが検体を入手し辛いため、ウィルス対策ソフトでなどで検知されにくい。
  • 情報収集だけが目的の場合、感染しても目立った被害が起こりにくいため、長期間に渡って潜伏され、情報を閲覧されてしまう可能性がある。

ページのTOPへ

手法に対する防御

ソーシャル・エンジニアリング

ソーシャル・エンジニアリングの利用とは、 人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のことを言いますが、最もかかりやすい手法はメールアドレス等の差出人情報を詐称した上で、業務に関連するような文面のメールを送付することにより、攻撃対象者にあたかも自分宛の業務上のメールであるかのように思わせ、添付ファイルの実行を誘導する手法です。その他SNSや電話を介して情報を入手する手法も存在しますが、一般的にメールを介した手法にかかるケースが殆どです。

対処方法:
詐欺的なメールの送信行為を「スピア・フィッシング」又は「ターゲッテッド・フィッシング」と呼ばれていますが、その対処法としては、該当する件名、文章、IPアドレス、ヘッダなどの特徴を分析し、怪しいと思われるメールに対し、【注意】などのヘッダを件名の前につけ配信させる仕組みが有効と考えられます。この手法では、受信者はメールを開封する前に件名を見ることで、注意を喚起されますので開封後不正なプログラムをインストールされるなどの事故を未然に防ぐ事ができ、リスクを軽減させることができます。

不正プログラム

不正プログラムを検知するために一般的に企業の9割以上がアンチウィルスソリューションを導入していますが、「定義ファイル」検索だけに着目した場合、これまでに使用されたことがない不正プログラムの場合、定義ファイルで検知できない場合が多くあります。標的型サイバー攻撃においては、ターゲットが限られているため、一般的に認知されていないプログラムを使用する事でアンチウィルスの検知を回避するケースが殆どです。

対処方法:
不正プログラムの活動を検知・防止するための方法としては、不正侵入検知装置(IDS)や不正侵入防止装置(IPS)をアンチウィルスソリューションと併用することが効果的であると考えられます。これらのソリューションには振る舞いを検知する機能を有するものもあり、定義ファイルがまだリリースされていない「ゼロデイ・アタック」への対策機能をもつソリューションを活用することがさらにリスクを軽減させることができます。実際に、Stuxnetでは多くの「ゼロデイ」の脆弱性が使用されました。

ソリューション:
TippingPoint 不正侵入防御システム(IPS)、PaloAlto

脆弱性の利用

「標的型サイバー攻撃」では、ユーザに感染に気付かれないよう、ソフトウェアの脆弱性を利用して不正プログラムに感染させることが多くあります。これは実行プログラムを利用した攻撃(脆弱性を利用せず、不正プログラムのインストールを誘発する攻撃)と比較して、脆弱性を利用した感染の方が、添付ファイルを開封させるだけであったり、ウェブにアクセスさせるだけであったりと、ユーザに認識されにくい特徴があります。

対処方法:
組織ネットワーク内で最新の脆弱性に迅速に対応できるように、新しい脆弱性保護フィルターが継続的に 提供されるIPSの活用が有効的であると考えられます。各フィルターはIPSで保護されたネットワークを、攻撃から保護するためにネットワークに張り巡らされる仮想ソフトウェアパッチと考えることができます。特定の脆弱性を標的とした悪意のあるトラフィックが即座に検出されてブロックされます。このソリューションは拡張性に優れ、侵入防止システムにより、パッチが適用されていない何千ものシステムを1つの仮想パッチで保護することができます。

ソリューション:
TippingPoint 不正侵入防御システム(IPS)

ID・パスワードの盗用

「標的型サイバー攻撃」は、機密情報のある企業を始めとする組織のサーバにある機密情報の不正な取得を目的として特定の標的に対して行われる犯罪です。前に記載されているように対象の組織に気づかれないように侵入し、侵入後の情報詐取に至るまでの行動も気づかれないように実行し、目的を達成する為に複数の手法を組み合わせるような悪意を持ったサイバー攻撃であり、DDoS攻撃や愉快犯的なWebページ改ざんとは大きく異なり、明らかな犯罪のプロフェッショナルによるものであり、サーバのIDやパスワードを詐取した場合、対象となるサーバに保管される機密情報が抜き取られるケースが多くあります。

対処方法:
前述のセキュリティ対策ソリューションを導入した際でも、そのリスクは軽減されるとはいえ完全にはなくなったわけではありません。万一犯罪者がIDやパスワードを入手し、目的とする情報ソースにアクセスしようとした場合でも強力な認証力を持たせることで阻止することができます。強力な認証力とは認証時に複数の要素を組み合わせることでユーザアイデンティティを強力に検証できます。例えば、「正規のユーザが知っていること」=パスワードと「正規のユーザが持っているもの」=ワンタイムパスワードを組み合わせることで万一前者の情報が詐取された際でも機密情報を含むリソースにアクセスされるリスクが軽減されます。

ページのTOPへ

テリロジーが提案するセキュリティソリューション

企業は常に新しい攻撃への脅威にさらされています。
従来のアプローチでは防ぎ切れない攻撃に対して、組織はどのように備えれば良いのでしょうか?

前述のような多様化した攻撃に対し、企業が対策を考えるに当たっては、まず単一のセキュリティ対策では「外部からの攻撃は完全には防げない」という認識を持つ必要があります。その上で、ウィルスやボットが侵入してもサーバやPCへの感染拡大を防ぐ、外部への情報漏えいを阻止する、という二重三重の防御を考えることが重要です。

テリロジーでは、ネットワーク上の様々な場所に、防御の用途、目的に応じた最適なセキュリティソリューションをご用意しております。

目的に応じたセキュリティソリューション

TippingPoint TippingPoint vasco
Botネット/スパイウェア/フィッシング/ワーム/ウィルス/トロイの木馬などの脅威に対して精度の高いフィルターを構築し、ネットワーク内への攻撃を未然に防ぎます。 アプリケーションの脆弱性をついた攻撃や不正トラフィックの振る舞いを検知/防御し、端末やサーバ、ネットワーク機器への内部被害の拡大を防ぎます。 ワンタイムパスワード=使い捨てのパスワードを使うことにより、ID・パスワード漏えいによる被害の発生リスクを軽減し、簡単かつ強固な認証を実現します。
imatrix    
短時間に大量かつ変化を繰り返すスパムやウィルスメールにリアルタイムで対応し、ユーザ端末への到達、感染を防止します。    

製品の詳細はこちら

お問い合わせ

ページのTOPへ