標的型攻撃に備える

出口戦略を見直しサイバーテロから防御するには

日本国内の多くの優良企業でサイバー攻撃によるウイルス感染が確認および発表されているのは記憶に新しいことと思います。それらの企業の中には、サイバー攻撃により機密情報を漏えいしたと発表した企業もニュースなどで報じられています。これらのサイバーテロは、特定の人物や企業組織を狙った標的型攻撃による被害であることが濃厚のようです。
はたして標的型攻撃とは一体何なのでしょうか?
そして、それらを防ぐ方法にはどのようなものがあるのかを具体的にご紹介していきます。

標的型攻撃とは

標的型攻撃を説明する前に、コンピュータウイルスが引き起こす脅威に関して理解をする必要があります。インターネットが普及し私たちの生活は便利になったのは言うまでもありません。こうした中でコンピュータウイルスと呼ばれる不正なプログラムが、私たちの利用しているPCにインターネット経由で感染するとPC内に保存した重要な情報を外部へ送信したり、外部のサーバーに接続して情報アップロードや外部から制御可能になったりということが可能になってしまいます。それらのウイルスは、日々増殖しておりウイルスの出現とワクチンの提供がイタチごっごになっているのも事実です。これらのウイルスは、貴重な情報を流出させるものも存在し、インターネットを通じて外部と接続するために利用するポートを利用していることを理解することも重要です。

このウィルスの感染ルートとして代表的なものは、Webサイトや電子メールによる感染です。

これらウイルスの感染ルートとして電子メールを利用するものを「ウイルスメール」と呼びます。ウイルスは一般的にメールの添付ファイルを開くことにより感染します。
しかし、今までウイルスメールの特長として不特定多数に大量にメールを郵送し感染させるものがほとんどでした。これらのメールは、私たちの仕事や生活とは全く関係ない内容で関係ないメールアドレスから、しかも関係ない言語(中国語や英語など)による怪しいものがほとんどだったのです。そして、これらはウイルス対策ソフトが検知したり、不審メールは開かないで削除という形で、ほとんどの人が被害にあうことはありませんでした。

その一方でこのウイルスメールも高度化してきており、「標的型攻撃」へと発展してきたのです。標的型攻撃とは、特定の人物や企業に対して送信者の詐称やメールタイトル、本文、添付ファイルなどを巧妙な記述内容により、添付ファイルを開かせウイルスを感染させる手口を言います。それ以外にも添付ファイルを使わないでHTMLメールによる特殊なリンクへのアクセスを誘発させるような手口も存在しています。また、Webサイトもその企業やその人に関係しそうな一見正しいサイトであるような作り方をされており、何のためらいもなくWebサイトでアクションを起こすと感染するという巧妙な手口なのです。

標的型攻撃の特長として、大量拡散を目指したマスメール型のウイルスメールや業務とは関係ないWebサイトと違い、特定の企業や組織を狙った情報搾取を目的としているため、感染数は少ないもののその被害は甚大なものになりがちです。
このような標的型攻撃が近年、企業でも新たな脅威として切実な問題になっているのです。

ウイルス対策ソフトでは防げない?

自分に関係ありそうな要件で、しかも日本語で書かれており送信者も自身に関係する機関からのメールであればウイルスメールであるとは疑わない場合が多いでしょう。中には企業内の業務連絡メールを加工したようなものまで存在します。しかも、添付ファイルは実行形式(exe形式)ではなく、pdf形式やMicrosoft Word形式など通常業務で利用している文書にウイルスが埋め込まれているため何ら疑いなく実行しがちです。しかも、その文書自体も公開されている正しい情報を加工しているため気づきにくく、感染後もPCの動作が遅くなったりすることはないのです。

このような巧妙な仕掛けでもウイルス対策ソフトが検知してくれたらと思うかもしれません。しかし、残念ながらこれまでの標的型攻撃によって侵入したウイルスの多くは、ウイルス対策ソフトでは検知してくれませんでした。ウイルス対策ソフトの多くは世界中で発生し報告されたウイルスを収集して、ワクチンを作成するために、情報取得までの期間が短ければ短いほど対応を迅速に行ってくれます。しかし、標的型攻撃の場合には、対象が狭いだけでなく気づくまでに時間がかかるため、ウイルス対策ソフトを開発している企業が検体を入手することが困難もしくは時間がかかるために企業が防御できない可能性が著しく高くなるのです。

標的型攻撃対策

それではどのように対策を講じればよいのでしょうか。

標的型攻撃への対策としては大きく分けて「入口対策」と「出口対策」が存在します。
入口対策とは、従来からの考え方に基づくものでハッカーに侵入されないように入口に鍵をかけるような対処方法を指します。前述したように標的型攻撃は、メールやWebブラウザといった誰もが使うビジネスツールを利用します。ファイアウォールやウイルス対策ソフトによってインターネットからの侵入を防ぐ入口対策では、新しいタイプの攻撃には効果がありません。たとえば企業が利用しているメールサーバーやHTTP
で利用するポート番号を塞ぐことはビジネスを停止するも同然の行為なので現実的ではありません。また、前述したようにウイルス対策ソフトも検知できない可能性があります。つまり、従来型の入り口で防御するやり方では標的型攻撃は防げないことを意味するのです。

それに対して出口対策が重要であるということが言われています。
出口対策とは、たとえ感染したとしても情報流出を防ぐような対策を指します。出口対策を実施することで、もしもウイルスに感染してもその活動を阻害、抑止することで情報を流出させないことが可能となるのです。

 

入口対策と出口対策

図1:入口対策と出口対策

もっとも確実な出口対策は、企業のネットワークを外部インターネットと通信できないように完全に遮断してしまうことです。しかしながらインターネット上のWebページの閲覧は、業務上の重要度が益々上がっており現実的に不可能と言ってよいでしょう。そこで一般的に行われている出口対策としては、(1)重要な情報の利用制限(アクセス制御)、(2)情報にアクセスされても保護するための暗号、(3)操作のログ証跡を監視・分析し不審な動作を早期発見などがあげられます。

しかし上記のような一般に行われている解決策は、企業としての高度なセキュリティ運用が必要であり、運用要員やスキルの向上に負担がかかるのは言うまでもありません。また、監査証跡の監視など事後の対応ということになり、「時すでに遅し」という状況を招く可能性もあるのです。そもそも、直近の事件を考察すると実は(1)〜(3)まですでに実施していたという企業も多いのも事実なのです。

シトリックス製品で標的型攻撃を防ぐ

シトリックスが提唱する対策とは、上で「現実的ではない」と書いた企業ネットワークと外部インターネットとの完全遮断を発展させたものです。下記の図は一般的な企業のWeb閲覧のためのイメージです。

標的型攻撃対策

図2:出口対策をしていないWeb閲覧のためのシステム

ウイルスに感染する可能性のあるユーザー端末からは直接外部インターネットと通信できないようにしたうえで、外部インターネットのWebページの閲覧はできるようにするのです。そのような都合の良いことができるのでしょうか?シトリックス製品を使えば可能です。

シトリックス社では、アプリケーションを仮想化するCitrix XenAppを提供しています。ユーザー端末と外部インターネットの通り道をネットワーク的に塞いだ上で、外部インターネットに接続可能な場所にあるXenApp上で動作するWebブラウザを、仮想化された形でユーザー端末で利用させれば良いのです。XenAppで仮想化されたWebブラウザを「外部Web閲覧専用」として利用することで内部機密情報からは完全に隔離させれば、自身の端末と外部との接続を隔離することが可能なため問題は発生しません。

標的型攻撃対策

図3:出口対策としてブラウザをアプリケーション配信

また、以下の画面イメージからもわかるように、XenAppの構成をとってもユーザーも普段と変わらないルック&フィールで作業を実現することが可能です。

標的型攻撃対策

図4:XenAppによるWebブラウザの配信イメージ

このようにXenAppで仮想化されたWebブラウザでインターネットアクセスすることにより標的型攻撃から企業の機密情報を守ることも可能であり、非常に有効な手段として注目を浴びているのです。是非、検討してみてはいかがでしょうか。