ナレッジ

サイバー攻撃動向とその対策への考え方

 サイバーギャングに気をつけろ!

「サイバー攻撃動向とその対策への考え方〜サイバーギャングに気をつけろ!」のテーマは、マニュアルやルールの話から一転し、金融業界を狙うサイバー犯罪の手口を解説する内容だ。デロイト トーマツ リスクサービスのマネジャー、岩井博樹が、ウイルス動作のデモンストレーションなどを交えながら最新の攻撃動向を説明した。

最新のサイバー攻撃の手口を踏まえ、金融業界が取り組むべき対策は?

 昨今メディアで話題となっているのは、「高度標的型攻撃」と呼ばれる手法だ。ただ、「脆弱性を悪用したり、ファイルを偽装したりするといった手口自体はそれほど変わっていない。むしろ、過去に使われた手口が再び流用されている。正確には、手口の組み合わせが変わって複雑化しているというべきだろう」と岩井は言う。

 一方、本題の金融業界を狙った攻撃は、大きく2つのカテゴリに分けられるという。「1つは、DDoS攻撃による一種のテロ行為で、韓国で発生した事例が記憶に新しい。もう一つは、金銭目的のサイバー犯罪で、これが最近増えている。標的型攻撃に似通った手法を用い、業務システムの不正操作を行う『CARBANAK APT』、ATMの不正操作を行う『Tyupkin』、DDoS攻撃を仕掛けると予告して金銭を要求する『DD4BC』などがある」(岩井)。

 こうした金銭目的のサイバー犯罪の特徴は、「要はお金が欲しいので、システムは破壊しない。長期間にわたって侵入し、システムに痕跡を残さないようにしている」ことだ。気付かれないように侵入するその手口を見ると、おそらく、サイバー犯罪者の中には「プロ」も含まれると見られ、その多くは「いわゆる『ダークウェブ』と呼ばれるところで活動し、クレジットカード情報や個人情報、攻撃用ツールなどを売買している」(岩井)という。

いきなり全てを実施するのではなく、優先順位を付けて取り組みを

 ではこうした攻撃への対策は何だろうか? 岩井は最初の注意点として「対象範囲や優先順位を考慮することなく、いきなり全てのセキュリティ対策を網羅的に実施しようとすると、コストがかかりすぎてまず難しい。想定される仮想敵とインパクトを定義し、優先順位を付けることが重要だ。そうすれば、やるべきことが決まるし、極論であるが実施しなくてもいいこと、後回しにしてもいいことも決まる」と述べた。

 その上で、高度標的型攻撃への対策が参考になるという。高度標的型攻撃を意識した対策を積み重ねることで、一定の効果が得られるというわけだ。

 高度標的型攻撃では、人をだましてメールの添付ファイルを開かせ、ウイルス対策ソフトをすり抜ける RATと呼ばれるマルウェアがインストールされる。そして侵入後はWindowsのファイル共有の仕組みを使って横に広がり、管理者権限を奪取して最終的な目的を達成しようとする。その過程では、動作を隠蔽するため、過去流行したマクロウイルスが再びブームとなったり、スケジューラを利用したり、システム管理者の操作に見せかけた操作を行う。

 このように高度標的型攻撃は、軍事行動のように複数のステップを踏んで実施される。これを「サイバーキルチェーン」と呼ぶが、岩井は「このサイバーキルチェーンをベースに、攻撃ステップのいずれかで脅威を断ち切り対処する『多層防御』の考え方が重要だ」とした。

 特に着目してほしいのが、侵入された後の被害拡大を防ぐ「出口対策」や「内部対策」だという。「予防策をがっちりやっておいて、マルウェアに侵入されるはずがないという設計をするクライアントを多くみかける。しかし今後は、侵入後の対策のレベルを上げていくことが鍵になる。サーバ設定の堅牢化やファイル共有の監視など、アンチウイルス以外の対策も検討してほしい」(岩井)。

 ただ、繰り返しになるが、いきなり全ての対策を実施しようとするといくら予算があっても足りない。仮想敵を絞り、費用対効果を考えた上で検討することが重要だと岩井は強調した。しかも、それぞれの対策には課題や限界もある。そうしたマイナス点も含めて経営層に説明し、少しずつ対策レベルを上げていくことが大切だ。

 そういった意味で、「中期計画を立てるにあたっては、モデルや対策レベルを設定し、今何を実施するか、5年後に何に取り組むかを検討していくことをお勧めしたい。その中で、ソリューションを導入した後の運用や訓練にも取り組んでほしい」(岩井)。

 しかも継続的に取り組んでいくことが重要だ。「時代や環境の変化とともに脅威も変わっていくため、運用を成熟させていかなければならない。同じことをやっていては対応しきれない」(岩井)。

中期計画立案時のポイント

 この運用という観点で注目を集めているのが、組織内CSIRT(Computer Security Incident Response Team)だ。CSIRTとは、異常がないか監視し、セキュリティインシデントが発生すれば内外のさまざまな部署と連携しながら対応に当たる、いわば「火消し役」のような役割を指す。

 かつて、ウイルスというものが登場したころは、感染すると画面に救急車やら花火やらが表示され、すぐに感染に気付くことができた。その後、2001年頃から、脆弱性を悪用してネットワークにつながっているだけで感染する「ワーム」が大流行し、「感染したらすぐにケーブルを抜く」ことが対策として広がった。そして今は、標的型攻撃が盛んに行われているが、「何が感染のきっかけとなり、何が起こっているのか」を把握するのが困難になっている。

 「不正プログラムや脅威の変化、環境の変化にともなって、インシデントレスポンスや組織体制の変更も求められている。標的型攻撃のように見えても、外部からの攻撃を装った内部不正である可能性もあり、必ずしもケーブルを抜くことが最善の対処とは限らない。『気付かないものにどう対応するか』という前提で、CSIRTに注目が集まっている」(岩井)。

 CSIRT構築に当たっては、いくつかのポイントがあるという。「まず、情報システム部門や、できればセキュリティ部門とも分離し、責任分界点を明確にすること。これは主に予算確保のためで、組織によってはCFO直属とし、いざというときの緊急対応の予算を出せるようにしているところもある。加えて、社内政治に巻き込まれないようにしておきたい」(岩井)。その上で、セクターに対する窓口、政府・監督省庁に対する窓口、インターナショナルな情報に対する窓口を設置し、情報収集や報告に取り組むことになる。

 岩井は最後に、サイバー攻撃が複雑化しているとはいえ、「基本的対策はぜひ実施してほしい」と呼び掛けた。同時に「一度に全てを実施するのはやはり無理なので、『必須』と『任意』の項目を分け、まず必須のところから進めていくことで、一定の効果が期待できる」とし、少しずつ、しかし確実に取り組みを進めていくことが重要だと強調した。

サイバーリスクサービスについて、詳しくは以下のメニューからお進みください

サイバーリスクサービスTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

お役に立ちましたか?