「ゼロから学ぶ」セキュリティ脅威(基礎編) #3 手口と対策を知る
多忙な日常業務を送る情シスの皆さん。範囲が広く技術の底が深いセキュリティについて「実は把握できていない」という本音も聞こえてきます。「手軽に、そして全体的に知識が得られる方法って無いの?」とコスパを求める情シスのための情報セキュリティ基礎知識をまとめました。
ある程度ご存じの方にはおさらいの意味を込めて、またこれから情シスを目指す方には基礎知識として、「セキュリティ脅威」に関する内容をシリーズでお届けします。
第3回は手口を知り、対策に活かす為のお話しです。
2020年に流行した脅威から学ぶ
近年、標的型攻撃やビジネスメール詐欺などの複雑な手口によるサイバー攻撃が増加しています。
ここで、その手口と対策についておさらいすることにしましょう。
1.標的型攻撃
標的型攻撃とは、特定の企業の内部情報に狙いを定めて行われる攻撃です。
過去には、スパムメールなど不特定多数のユーザーに送りつけられたり、誰でもアクセスできるサイト上にマルウェアを配置するといったような、標的が定まっていない攻撃が多かったのですが、最近では明確に特定の組織を狙って行われます。
攻撃者は、標的となる組織に関して入念に下調べを行い、その組織の一員や関連組織の一員にまずコンタクトを取ります。それも、まるで内部の人間であるかのごとく装ったり、業務上必要なファイルであるかのように偽装したOfficeファイルなどを送り、巧妙にマルウェアをインストールさせます。関連する人のアカウントを乗っ取るなどする場合もあります。
そして、マルウェアの侵入が成功したら、そこから社内システムに入り込み、情報を盗み出すのです。
更に不正侵入後、感染を横展開させ拡大する「ラテラルフィッシング(参考:使える!情シス三段用語辞典113「ラテラルフィッシング」)」と言われるものも増えています。
標的型攻撃に対しては、とにかく不正なファイルを開かないように気を付ける必要があります。たとえOfficeアプリケーション関連のファイルと認識していても、外部から送られてきたファイルに対しては検証をしてから開くような仕組み作りが必要でしょう。
また、なりすましのための情報を収集されてしまうのを防ぐため、組織図などの社内情報を安易に外部に出さないことも重要です。自社Webサイトなどで会社のことを知ってもらうことも大事ですが、バランスも考える必要があります。
そして、万が一、マルウェア侵入されてしまった場合でもデータを盗み出されないようにEDRなどで不審な挙動を検知したり、適切なアクセス権限を確認するなどの対策をとりましょう。
2.ランサムウェア
ランサムウェアとは、インストールされた端末をロックするなどして動作できないようにさせ、解除する代わりに金銭を要求するマルウェアです。(参考:使える! 情シス三段用語辞典21「マルウェア」)
標的型攻撃と組み合わせて行われるケースも確認されています。
攻撃者は、メール送信元の偽装を行うなどしてランサムウェアの潜んだファイルをユーザーにダウンロード(または実行)させるよう誘導します。もしユーザーがインストールしてしまったら、その端末内のファイルが暗号化され、動作しなくなってしまいます。
そして、端末が動かなくなった状態で、画面に警告が出て攻撃者への送金を促します。
端末や重要なファイルを人質に取られ、身代金を要求されるのです。解除するには送金するしかありません。
しかしながら、ランサムウェアの始末が悪いところは、仮に身代金を払ったとしても解除されるとは限らないのです。
しかも、データを暗号化されるだけでなく、転送までされていたりすると、データの公開などで再び脅しをかけ、更なる身代金の要求するケースもあります。
また、ランサムウェアはネットワークを通じて伝染するので、同じネットワーク内のサーバーなども危険にさらされます。
予防するには、添付ファイルをデコードし、アンチウィルスのスキャンを行った上で再びエンコードできるようなアプライアンス機器やサーバー上での機能追加を行うことが効果的ですが、コストも必要になります。
その意味では、ユーザーレベルでできることとしては、標的型攻撃と同様でメールで送られてきた添付ファイルを安易に開かないようにすることでしょう。
3.ビジネスメール詐欺(BEC)
ビジネスメール詐欺では、ある日取引先や経営層の人物から金銭の振り込みや重要情報の送信を要求するメールが送られてくるという詐欺です。(参考:【セキュリティ基礎知識】気をつけよう!ビジネスメール詐欺)
これも、標的型攻撃と同じく入念に準備され、実在の人物になりすましたり本物の取引のような巧妙なメールが送られてくることが特徴です。
しかも、「至急」「緊急」といった急かすような内容であったり、大きなトラブルをほのめかしたり、実在のドメインに近いもの(時として全く同じ物!)が使われていたりと冷静に見破ることを難しくさせるような工夫がなされています。
焦りから偽物と見抜くことができず、従業員が思わず重要データを送ってしまう、または送金してしまうという被害が実際に出ています。
こちらの詐欺は、他の脅威とは異なり、マルウェア等のツールを使わずに攻撃が行われます。
そのため、いくらシステム内にセキュリティ製品を配置して防御していても太刀打ちすることができません。
企業として送金する際には必ず稟議や上長承認を得ることが多いでしょうから、従業員レベルで対応することは少ないでしょうが、重要な情報の送信には注意が必要です。手順やルールを設けるなど、組織的な対策が必要となります。
まとめ
セキュリティと一口にいっても、実はさまざまな対象・製品・対策・関係者が関わり合っているものだということがわかって頂けたことと思います。
特に重要なのは、セキュリティは単品の製品だけではとうてい守り切れるものではないということです。
多層防御、そして組織内の教育や運用ルールも含めた、全社的な対策が必要ということです。
そして最も大事ことは「一人一人のセキュリティの意識」なのです。
「あれ?何か変だな?」と気が付くかどうかが最後の砦ともいえます。
情シスの役割は、ただ単純にセキュリティ製品を稟議にかけて導入するということだけではありません。
情報セキュリティへの理解と日々情報更新、経営層含む全従業員へ(そして関連企業もです)のセキュリティ意識の啓蒙も大事です。
情シスだけでは情報セキュリティを守れない世の中、他部署との連携をして、全社を挙げて企業の情報セキュリティを守りましょう!
【執筆:編集Gp 星野 美緒】