TOP>企業情報>コラム>技術情報>「感染してない」と本当に言い切れる?マルウエア侵入の実態と、サイバー攻撃対策「2つ」のポイント

「感染してない」と本当に言い切れる?
マルウエア侵入の実態と、サイバー攻撃対策「2つ」のポイント

サイバー攻撃の特徴の1つとして、目的の情報に辿り着くまで粘り強く長期間潜伏する点が挙げられる。被害が起きてないからと言って、侵入を否定するものではない。しかし、例えマルウェアに侵入されたとしても情報を持ち出されなければ良いのだ。今回は、サイバー攻撃対策の2つのポイントを紹介する。

ほとんどの企業がマルウエアの侵入に気付かない


サイバー攻撃が毎日のようにメディアをにぎわせている。なぜ、これだけ注目を集めているにもかかわらず、被害がやまないのか。その大きな理由の1つが、攻撃を受けた企業・団体自身がそのことに気付いていないという点にある。それぞれにセキュリティ対策は行っているものの、検知すらできていないのだ。だから被害が表面化した時だけ、ニュースになるというわけだ。

実際にこれを示唆する興味深いデータもある。日本情報システム・ユーザー協会の調査によれば、80%以上の企業が「自社では内部不正/標的型攻撃による被害は発生していない」と回答している(図1)。ところがあるITベンダーが数十社の企業を対象にログ分析を行ったところ、実にほぼ全ての企業で、マルウエアと思われる疑わしい動作が検出されたのである。

「内部不正や標的型攻撃によってセキュリティ事故が発生したことがあるか」に対する回答

図1. 「内部不正や標的型攻撃によってセキュリティ事故が発生したことがあるか」に対する回答

サイバー攻撃の特徴の1つとして、目的の情報に辿り着くまで粘り強く長期間潜伏する点が挙げられる。先の調査に回答した企業も、確かにその時点では被害は発生していなかったのかも知れない。しかしこのことは、決してマルウエアの侵入までを否定するものではない。社内に潜む脅威がいつ本格的な活動を開始し、目的の情報を盗み出していくか分からないのである。さらに言えば、「被害がない」と回答している企業でも気づいていないだけというケースもあるだろう。

これほど巧妙化が進んでいるのなら「もはやどんな対策も意味がないのでは」と感じる担当者もいるだろう。しかし、たとえマルウエアに侵入されたとしても、重要な情報を持ち出されなければよい。そのための手立ては存在する。しかも、その考え方は非常にシンプル。「たった2つのポイント」を押さえるだけで良い。

サイバー攻撃を防ぐ「2つのポイント」とは


サイバー攻撃を防ぐ際に、まず考えるべきはその本質である。マルウエアによる被害を、入口・出口対策だけで防ぎ切るのは不可能に近い。そのため、外側の対策ばかりに多くを投資しても、内部のセキュリティが脆弱だった場合、大きな被害につながる。それよりも発想を転換し、“既に侵入されているかも知れない”ということを前提に、自社が守るべきデータを中心とした内部対策を実施するべきだ。そのためのポイントが、「定期的なモニタリング(脅威の見える化)」と「多重対策」の2点となる。

まず1点目の「定期的なモニタリング」では、マルウエアによる攻撃の予兆や活動状況を監視することで、自社の現状をきちんと“見える化”することが目的となる。とにかくマルウエアの存在に気付けないことには、その後の対策の打ち様もない。ネットワーク内に怪しい振る舞いがないか定期的に監視し、異常があった場合には素早く察知できるようにしておくことが肝心だ。

これを実現するソリューションとしてアシストが提供しているのが、マルウエア検知製品「BlackDomainSensor」だ。この製品には高度なセキュリティログ分析エンジンを搭載しており、攻撃者が利用するC2サーバリストとインターネットアクセスログの突合を行う。もし、リスト掲載サイトへのアクセスが検出されれば、既にマルウエアが存在することの証となる。

BlackDomainSensorのイメージ

図2. BlackDomainSensorのイメージ
(クリックで拡大)

また、BlackDomainSensorには、もう1つユニークな機能が備わっている。ネットワーク内に侵入したマルウエアは、管理者権限などを持つユーザの特権IDを狙おうとする傾向がある。そこでこれを逆手に取り、「おとり」用のトラップアカウントを仕掛けてマルウエアをあぶりだすこともできるのだ。

こうした可視化作業を外部のコンサルなどに依頼すると、どうしても半期や四半期に一回といった具合に間隔が空きがちだ。その点、自社内に監視環境を用意すれば、毎日状況をチェックすることもできる。

端末遮断とネットワーク分離で持ち出しを防ぐ


2点目の多重対策についてはいくつかの方法が考えられるが、まず取り組みたいのが業務情報の外部持ち出し防止だ。ここでの具体的な対策としては、マルウエア感染端末の速やかな遮断が挙げられる。BlackDomainSensorのレポートでは各端末の通信内容が詳細に把握できるため、もし危険な兆候が発見された場合には、ネットワーク遮断機能を持つセキュリティ製品などを利用して、対象端末をネットワークから切り離すと良いだろう。

市場にはマルウエアの検知~遮断を自動で行う製品もあるが、この場合には少々注意が必要だ。脅威の内容をよく調べないまま機械的に通信を遮断すると、ユーザの業務に思わぬ影響が生じるおそれもある。BlackDomainSensorが可視化機能に特化しているのも、現状を正確に把握することが、全ての対策の出発点という思想で設計されているからだと言える。

また、自治体・金融機関など、特にセキュリティ要件の厳しい組織向けに提供しているのが、「ダブルブラウザ・ソリューション」だ。これは「インターネットと内部のネットワーク分離」を低コストで実現するソリューションで、社内/インターネットアクセスでWebブラウザを分け、インターネットアクセスにはEricomサーバ上で公開する仮想ブラウザを利用する。端末と仮想ブラウザ間の通信にはEricomの独自プロトコルを用いるため、マルウエアによるhttp/https通信を完全に無効化できる。

ダブルブラウザ・ソリューション

図3. ダブルブラウザ・ソリューション

  • Ericomサーバ:仮想ブラウザを実行するサーバ
  • Ericomクライアント:Ericomサーバで実行される仮想ブラウザ画面が表示されるクライアント
  • 社内アクセスにはhttp/https、インターネットアクセスには独自通信(Blaze)を利用することで、社内/インターネット通信の分離を実現。物理的なネットワーク改修が不要なため、導入コストも抑えられる。


同様の環境は他の仮想化製品でも構築できるが、仮想ブラウザの実行環境がWindowsの場合はRDS CALがユーザ数、または端末台数分必要になるのがネックになる。その点、このソリューションでは仮想ブラウザの実行環境としてLinuxも選べるため、RDS CALが不要になり、大規模環境でも費用が嵩む心配はない。ネットワークの再構築なども不要なため、インターネット/内部ネットワークの分離を最大約1/5のコストで実現可能だ。

特権ID管理のシステム化で不正アクセスを禁止


マルウエアによる被害を防止するには、重要な情報を取り扱えないようにしてしまう対策も有効だ。仮に端末が感染してしまっても、重要情報が保存されているサーバにログインできなければ情報漏洩は防げる。そこで現在力を入れているのが、「特権ID管理のシステム化&アクセス制御」だ。

このソリューションでは、いつ・どのシステムにアクセスするという申請を事前に申請者であるユーザが行い、承認者から承認が下りた場合のみ、申請・承認ワークフローによる特権IDの自動ログインが行われるようになっている。それ以外のローカルログインなどは一切拒否されるため、もしマルウエアが特権IDを奪取したとしても、サーバにアクセスすることはできない。

図4. 特権ID管理

図4. 特権ID管理

これだけでもかなり安全性を向上させることができるが、より高いセキュリティを望む場合にはファイルサーバの暗号化ソリューションだ。データそのものを暗号化しておけば、多重の防御を潜り抜けてデータを持ち出された場合も、内容を見られるリスクを格段に軽減できる。

このように、サイバー攻撃は2つのポイントにそって対策を実施すれば、大きな効果が望めるはずだ。

ただし注意しなければならない点もある。それは、セキュリティ対策はサイバー攻撃ばかりではないため、常に全体を俯瞰して見なければならないという点だ。

セキュリティ対策では、社会問題化したトピックにばかりフォーカスが当たりがちだ。しかし、その本質はあくまでも「企業の重要資産であるデータを守る」ことであり、個人情報や業務データなどの漏洩をいかに防ぐかという全体的な視点が必要だ。アシストがサーバ/データベース保護を中心に、ゲートウェイ対策、クライアント保護、ログ管理、ID管理、IT資産管理など、幅広いソリューションを用意しているのも、こうしたトータルな対策こそが情報漏洩防止のポイントになると考えているからである。もちろん、一度に全ての分野に取り組む必要はないので、まずはどこを守るべきなのか、そのためにどこが弱いのかを一緒に考えていきたい。

今後もセキュリティの重要性はさらに高まっていく。企業は自社のセキュリティ対策を俯瞰した上で、場当たり的な対策ではなく、網羅的に対処していくことが求められていくだろう。

執筆者紹介

アシスト:伊藤 雄介

伊藤 雄介(Yusuke Ito)

システムソフトウェア事業部技術統括部 技術支援3部 部長

株式会社アシスト システムソフトウェア事業部 メインフレーム時代から24年間、企業の基幹となるシステム運用管理を中心としたパッケージ・ソフトウェア導入業務に携わる。顧客の業務要件を広くヒアリングしてきた経験から、ソフトウェアの機能中心ではなく、顧客のスコープを明確化したうえでの最適な提案を得意とする。直近の10年間ではセキュリティ分野に特化した製品開発やセミナー講師を務める。


Facebookで情報をお届けしています

Facebookでは、アシストの「今」を週3回のペースでお届けしています。「めげない、逃げない、あまり儲けない」を合言葉に日々頑張っておりますので、応援よろしくお願いします。



ページの先頭へ戻る