標的型攻撃やランサムウェアなどの脅威が巧妙化、複雑化し、企業の事業継続を脅かすようになっています。そのため従来の入口を固めるセキュリティ対策から、マルウェアの侵入を前提とした出口対策、内部対策も必要とされています。そして最近では、多くの脅威がインターネットを介して侵入することに着目した「インターネット分離」という対策手法が注目を集めています。
ここでは4回にわたり、インターネット分離とその具体的な手法について紹介していきます。第1回目となる今回は、インターネット分離の概要と現在の脅威と対策方法について紹介します。
Contents
注目される「インターネット分離」とは
最近、セキュリティ対策において「インターネット分離」という言葉を耳にするようになりました。これは、総務省や金融庁などがガイドラインを公開したことを受けたもので、現在の脅威のほとんどがインターネットを介して企業などを狙ってくるため、文字通りに企業内のネットワークとインターネットを分離するというものです。
総務省のガイドラインは主に自治体を対象としています。多くの自治体はこれまで、LGWAN(統合行政ネットワーク)接続系ネットワークと、インターネット接続系ネットワークを同一ネットワーク内に設置していました。しかし、この構成ではインターネットから入ってきたマルウェアがLGWANに侵入するリスクがありますので、LGWANとインターネットを分離しようというわけです。
とはいえ、物理的にネットワークを分離することはコストがかかりすぎますし、管理や運用の手間も倍になってしまうので現実的ではありません。そこで総務省では、VDI(仮想デスクトップ)やSBC(サーバベースコンピューティング)、仮想ブラウザなどを推奨しています。そして、このモデルが企業や組織のセキュリティ対策においても有効であるとして、さまざまなソリューションが登場し、注目を集めているわけです。
「標的型攻撃」、「ランサムウェア攻撃」、「DDoS攻撃」・・・企業や組織を狙う現在の脅威
IT化が進んだことで、ビジネスの多くがIT上で行われるようになりました。また、インターネットの普及と高速化によって、世界中とのビジネスがリアルタイムに行えるようになっています。この環境の変化は、企業にとってビジネスを広げるチャンスである一方、多くの脅威にさらされる状況にもなっています。サイバー犯罪者にとっても、世界中にサイバー攻撃を仕掛けられる環境が整っているわけです。
サイバー犯罪者の目的や手法も変化しています。以前は個人のハッカーが自らの技術をアピールすることを目的としたサイバー攻撃が多かったのですが、徐々に組織化が進み、金銭を目的とするようになっています。そのため攻撃も複雑化、巧妙化し、企業が持つ重要な情報やクレジットカード情報、個人情報などを狙います。組織として重要な情報の入手を請け負うケースも増えているとみられ、その依頼主は国家が絡んでいることもあり、資金は潤沢です。
こうした背景から現在、多く確認されているサイバー攻撃に「標的型攻撃」と「ランサムウェア攻撃」、そして「DDoS攻撃」が挙げられます。標的型攻撃は、文字通りに特定の企業や組織を狙った攻撃のことで、非常に高度な攻撃です。標的型攻撃は、ターゲットとなる企業や組織の従業員の構成などを調査し、さらにSNSなどで交友関係などを調べ上げます。その上で、上司や知り合いなどを装ったメールを送り、マルウェアに感染させます。
標的型攻撃で使用されるマルウェアは、従来から存在するマルウェアの亜種などではなく、その攻撃のために作成された新種が使われます。このため、過去に確認された既知のマルウェアをベースに亜種などを検出する、従来型のウイルス対策ソフトでは検出できないことが特徴です。感染に成功すると、マルウェアは別のマルウェアを次々にダウンロードし、外部からの指令を受けられるようにします。
こうしてマルウェアは、場合によっては数年間にわたり企業などに潜伏し、機密情報へのアクセスを試みます。機密情報を入手すると、それをサイバー犯罪者に送信します。この際の通信も、httpなど一般的なプロトコルを使用することで、セキュリティ製品などから検出されにくくしています。必要な情報を入手すると、ログを改ざんするなどして侵入や行動の痕跡を消去するので、被害に遭ったことに気づいても調査のしようがないケースが多いのです。
ランサムウェアはマルウェアの一種で、PCのファイルを暗号化して使用不能にし、元に戻すために“身代金”を要求するというものです。サイバー犯罪者にとっては容易に金銭を得ることができるため、特に2016年に急増しており、個人、企業の区別なくランサムウェア攻撃が行われています。ランサムウェアもスパムやフィッシングといったメールによって攻撃が行われます。最近では共有フォルダにあるファイルも暗号化するものもあり、業務が停止してしまうケースもあります。
DDoS攻撃は、分散型サービス不能攻撃と呼ばれるもので、大量のデバイスから標的となるサイトにリクエストを送りつけることでサーバを応答不能にし、サービスを行えなくします。最近では、IoTデバイスをマルウェアに感染させてボット化し、DNSやNTPのリクエストを送る「リフレクションDDoS攻撃」が増加しています。
事業継続を脅かす、サイバー攻撃の影響範囲
高度化されたサイバー攻撃は、企業に大きなダメージを与えます。標的型攻撃では、企業が気づかないうちに重要な情報を根こそぎ盗まれてしまう可能性があり、たとえば製造業のライバル企業がサイバー犯罪者を雇い、標的型攻撃によって新製品の開発情報や特許準備情報を盗み出す可能性もあります。ライバル企業がこれらを利用して、先に新製品を出したり、特許を取得した場合、情報を盗まれた企業は甚大な損害を受けることになります。
こうした被害が発覚した場合、被害を受けた企業は警察や経済産業省などに届けを出すことになりますが、その場合、サーバやITシステムを証拠として保全することになります。つまり、業務が停止してしまうわけです。これはマルウェアや不正アクセスなどによって個人情報が流出してしまった場合も同様です。特に、オンラインショップを経営していたり、Webサービスを提供している企業では、第三者機関などの調査により安全が確認されるまで、事業が停止してしまうのです。
さらに、個人情報の流出など利用者にも影響が及ぶ場合には、当然ながらその事実を公表する必要があり、そうなるとニュースなどで大々的に取り上げられてしまうことも避けられません。そこで対応に落ち度があると、企業のブランドイメージの失墜や機会損失、銀行やステークホルダーなどの信用の低下といった自体にも発展しかねません。以前に個人情報を流出させてしまった教育・出版企業の損害総額は約200億円といわれています。サイバー攻撃は、企業の存続さえ脅かすものとなっているのです。
サイバー攻撃対策のポイントは、3つの観点で考える
企業が事業停止に追い込まれてしまうようなサイバー攻撃に対し、どのような対策が有効なのでしょう。ここでは、標的型攻撃やランサムウェアといった攻撃への対策を考えてみます。最近では、入口対策、出口対策、内部対策の3つの観点でセキュリティ対策を行うべきとされています。
入口対策は、企業内に入ってこようとする脅威を入口で食い止めるものです。前述の攻撃は現在、ほぼすべてがメールを起点としています。標的型攻撃では、上司や知り合いといった実在の人物のふりをしてメールを送り、添付ファイルを開かせたり、メールの本文にあるリンクをクリックさせようとします。
そのため入口対策は、添付ファイルがマルウェアかどうか、メール本文中のリンク先がマルウェアをダウンロードさせるようなサイトかどうかを検出することになります。そのためウイルス対策ソフトが中心となりますが、従来の定義ファイル式では限界があります。そこで、ファイルのふるまいを分析するエンジンを搭載したり、疑わしいファイルを仮想環境で実行させるサンドボックスを使用したりしています。
出口対策は、企業から出て行く通信を監視することでマルウェア感染や情報の流出を検知し、対処するものです。サイバー攻撃者は、感染させたマルウェアを外部から操作しますが、この際にコマンド&コントロール(C&C)サーバを利用します。機密情報を盗み出すときも、データをC&Cサーバに送信するため、この通信を検出することで阻止するわけです。
内部対策は、内部のネットワークトラフィックを監視することで、すでに侵入しているマルウェアを検知するものです。標的型攻撃では、感染したマルウェアがC&Cサーバから次々にマルウェアをダウンロードして、企業の内部ネットワークで悪事を働きます。そうした動きを監視によって検出するわけです。たとえば、あるPCから隣にあるPCに通信を行うことは、まずありません。こうした不審な通信を検出していきます。
つまり、インターネット脅威に対する対策手法としての「インターネット分離」は、この3つの観点のうち、入口と出口を遮断することでまず感染しないこと、次に感染してしまっても重要な情報を漏えいさせないことを目指した方法だといえます。次回から、「インターネット分離」を実現するための具体的な方法論について紹介していきます。
>第2回 [インタビュー] インターネット分離の有効策、日本マイクロソフトの「RDS(リモートデスクトップサービス) on Azure」とは を読む
