役立つ製品・サービス情報<PR>

2013年04月01日

韓国へのサイバー攻撃は対岸の火事などではない

【今、知っておくべき危機 第3回】これからの日本に求められるサイバー攻撃対策  前編

韓国へのサイバー攻撃は対岸の火事などではない

 

【今、知っておくべき危機 第3回】

これからの日本に求められるサイバー攻撃対策

 ─前編─


130401_tm_01.jpg

 

 

2013年3月、韓国の主要企業などを狙ったサイバー攻撃が確認された。今回の攻撃では、PCやUNIX OSで稼働するサーバなど、数多くのシステムの再起動ができなくなったと報告されている。インターネットで接続されている限り、この被害は決して対岸の火事ではない。いつ、自社が同じような攻撃を受けてもおかしくない世の中になっているのだ。
大手情報セキュリティ会社のトレンドマイクロでは、独自に情報を収集し分析を行っている。今回のサイバー攻撃を教訓とし、今後、日本に求められる「サイバー攻撃対策の新しい考え方」とは何か?をお伝えする。
これは相当に高度な技術で行われたサイバー攻撃だと言える。トレンドマイクロでは、この韓国へのサイバー攻撃事件は、日本の企業や自治体にとっても決して他人ごとではなく、明日は我が身であると、改めて警鐘を鳴らしている。
サイバー犯罪者は目的の企業だけを攻撃するのではない。周辺の下請け企業や取引先など、関係ある企業や人は全て狙われる可能性があるため、結果的に取引先や顧客に迷惑をかけることにもなる。
被害者でもあるが、結果的に他の被害者への攻撃に加担する形になるため、民事起訴されれば責任を問われる可能性もある。こうしたセキュリティ対策の甘さは、自社だけでなく様々な企業に影響を及ぼすリスクがあることを認識しなければならない。
サイバー攻撃は、目に見える被害が出て初めて攻撃を受けたことに気付くケースが多い。それは、サイバー攻撃は極めて密かに、且つ巧妙に行われることが理由だ。
ここで、あるサイバー攻撃の例を紹介しよう。あなたは、この手口を見抜く自信があるだろうか。
米国のセキュリティ会社「Mandiant」は、2013年2月19日(米国時間)、企業のサイバー攻撃に関するセキュリティ対策のレポートを公開した。サイバー攻撃者はこのレポートの名前を利用し、攻撃対象者たちにメールを送る手法を行っているが、もちろんこのPDFファイルは本物のレポートに偽装した不正なファイルだ。このファイルを開いたユーザーの端末は不正プログラムに感染し、サイバー攻撃のきっかけを攻撃者に与えてしまう。皮肉なことに、セキュリティ対策について興味を持ち、その詳細を知るためにファイルを開けたユーザーが、被害者の一人となるのだ。
おそらくサイバー攻撃者は、“この攻撃対象者たちは「サイバー攻撃のセキュリティ対策」に興味がある”と、事前調査の結果から判断したのだろう。サイバー攻撃者は、警戒心を与えないよう、攻撃対象の日常の行動に溶け込もうとしたり、ユーザーの興味を利用したりしようとする。
このようなセキュリティへの関心を悪用した同様の事例として、Javaのゼロデイ攻撃の事例も確認している。この不正プログラムは、脆弱性に対応するOracleが先日に公開した修正プログラムに偽装されていた。
また、トレンドマイクロの Forward-looking Threat Research チームのディレクターであるMartin Roesler は、過去のブログ記事にて「攻撃者は、優位な立場にあり、標的とするユーザーの情報を持っている。その情報によって攻撃方法を変える」と説明している。ユーザーは、常に「自社も標的にされる可能性がある」という意識を持ち続ける必要があるのだ。このような巧妙な攻撃をされても、「絶対に騙されない」と言い切れるだろうか。
トレンドマイクロの Forward-looking Threat Research チームのディレクターであるMartin Roesler は、過去のブログ記事にて「攻撃者は、優位な立場にあり、標的とするユーザーの情報を持っている。その情報によって攻撃方法を変える」と説明している。ユーザーは、常に「自社も標的にされる可能性がある」という意識を持ち続ける必要がある。
上記の事例からも分かる通り、攻撃者はターゲットのことを調べ上げた上で攻撃を行う。徹底的な調査し、ターゲット企業に最も有効な攻撃を実行する。さらには、攻撃ターゲット企業の「セキュリティ状況」まで調べ上げ、自身の攻撃の有効性を検証、つまり「攻撃テスト」まで行われている。
ターゲット企業のセキュリティ環境、導入しているセキュリティ対策などを調べ、その対策の弱点に対して有効であることを事前に確認して、攻撃を行う。攻撃に使用される不正プログラムは、「ターゲット企業のセキュリティ対策では検知されない」ことを事前に確認しているため、企業はこの攻撃を防ぐことができない。
サイバー攻撃は「人」が行う攻撃であり、「人が人をだます攻撃から始まる」のだ。いきなりサーバに不正アクセスを行うわけではなく、まずは関係者をだまし、関係者の端末やIDとパスワードを乗っ取る。その後、複数の不正プログラムのダウンロードを経たうえで、正規の管理者のID/パスワードを抜き取る。そうすれば、攻撃者は「関係者」として、不正ではない状態で不正アクセスが可能だ。「そんなことに騙されない」と思うかもしれないが、いつ発生するかわからない攻撃に対して常に疑いを持ち続けることは現実的ではない。
人間である以上「騙されない」ということは無い。高い技術を持つサイバー攻撃者の侵入そのものを、防ぐということは相当難しいことなのだ。
それでは、これから求められる「新しい考え方」の情報セキュリティ対策とは、どのようなものだろう。
過去の攻撃の情報をベースに開発された、既存のセキュリティツールだけでは、最新のサイバー攻撃に通用しないことがわかっている。しかし、セキュリティ対策側もサイバー攻撃を研究することで、対抗する手段を開発している。
ポイントは、「攻撃者も人間であること」。攻撃者は、対象に特化した、いわば「カスタマイズされた」攻撃を仕掛けてくる。そこには、画一的な攻撃ツールではなく、人的要素が深く絡んでいる。それならば、「カスタマイズ」された対策が必要だ。画一的な対策ではなく、人的要素を深く絡めた対策こそが、サイバー攻撃に有効になっていくようになる。トレンドマイクロでは、長年世界中のサイバー攻撃事例を研究し、その対策方法を進化させ続けてきた。
次回、これから求められるサイバー攻撃対策 ─後編─では、「サイバー攻撃に対抗するための最新の対抗策と考え方」を解説する。
韓国へのサイバー攻撃が明らかに (1)
マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは?
http://blog.trendmicro.co.jp/archives/6923?cm_mmc=Ent-_-Sakaami_6-_-Pronweb-_-001
韓国へのサイバー攻撃が明らかに (2)
韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認
http://blog.trendmicro.co.jp/archives/6911?cm_mmc=Ent-_-Sakaami_6-_-Pronweb-_-002
トレンドマイクロ セキュリティブログ
【サイバー攻撃研究】持続的標的型攻撃に利用されるツールを徹底解析
http://blog.trendmicro.co.jp/archives/6835?cm_mmc=Ent-_-Sakaami_6-_-Pronweb-_-003
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_6-_-Pronweb-_-004
公式リリースを読む
http://www.pronweb.tv/release.php?code=8054

2013年3月、韓国の主要企業などを狙ったサイバー攻撃が確認された。今回の攻撃では、PCやUNIX OSで稼働するサーバなど、数多くのシステムの再起動ができなくなったと報告されている。インターネットで接続されている限り、この被害は決して対岸の火事ではない。いつ、自社が同じような攻撃を受けてもおかしくない世の中になっているのだ。


大手情報セキュリティ会社のトレンドマイクロでは、独自に情報を収集し分析を行っている。今回のサイバー攻撃を教訓とし、今後、日本に求められる「サイバー攻撃対策の新しい考え方」とは何か?をお伝えする。


これは相当に高度な技術で行われたサイバー攻撃だと言える。トレンドマイクロでは、この韓国へのサイバー攻撃事件は、日本の企業や自治体にとっても決して他人ごとではなく、明日は我が身であると、改めて警鐘を鳴らしている。


サイバー犯罪者は目的の企業だけを攻撃するのではない。周辺の下請け企業や取引先など、関係ある企業や人は全て狙われる可能性があるため、結果的に取引先や顧客に迷惑をかけることにもなる。


被害者でもあるが、結果的に他の被害者への攻撃に加担する形になるため、民事起訴されれば責任を問われる可能性もある。こうしたセキュリティ対策の甘さは、自社だけでなく様々な企業に影響を及ぼすリスクがあることを認識しなければならない。


サイバー攻撃は、目に見える被害が出て初めて攻撃を受けたことに気付くケースが多い。それは、サイバー攻撃は極めて密かに、且つ巧妙に行われることが理由だ。

 ここで、あるサイバー攻撃の例を紹介しよう。あなたは、この手口を見抜く自信があるだろうか。


米国のセキュリティ会社「Mandiant」は、2013年2月19日(米国時間)、企業のサイバー攻撃に関するセキュリティ対策のレポートを公開した。サイバー攻撃者はこのレポートの名前を利用し、攻撃対象者たちにメールを送る手法を行っているが、もちろんこのPDFファイルは本物のレポートに偽装した不正なファイルだ。このファイルを開いたユーザーの端末は不正プログラムに感染し、サイバー攻撃のきっかけを攻撃者に与えてしまう。皮肉なことに、セキュリティ対策について興味を持ち、その詳細を知るためにファイルを開けたユーザーが、被害者の一人となるのだ。


おそらくサイバー攻撃者は、“この攻撃対象者たちは「サイバー攻撃のセキュリティ対策」に興味がある”と、事前調査の結果から判断したのだろう。サイバー攻撃者は、警戒心を与えないよう、攻撃対象の日常の行動に溶け込もうとしたり、ユーザーの興味を利用したりしようとする。


このようなセキュリティへの関心を悪用した同様の事例として、Javaのゼロデイ攻撃の事例も確認している。この不正プログラムは、脆弱性に対応するOracleが先日に公開した修正プログラムに偽装されていた。


また、トレンドマイクロの Forward-looking Threat Research チームのディレクターであるMartin Roesler は、過去のブログ記事にて「攻撃者は、優位な立場にあり、標的とするユーザーの情報を持っている。その情報によって攻撃方法を変える」と説明している。ユーザーは、常に「自社も標的にされる可能性がある」という意識を持ち続ける必要があるのだ。このような巧妙な攻撃をされても、「絶対に騙されない」と言い切れるだろうか。


トレンドマイクロの Forward-looking Threat Research チームのディレクターであるMartin Roesler は、過去のブログ記事にて「攻撃者は、優位な立場にあり、標的とするユーザーの情報を持っている。その情報によって攻撃方法を変える」と説明している。ユーザーは、常に「自社も標的にされる可能性がある」という意識を持ち続ける必要がある。


上記の事例からも分かる通り、攻撃者はターゲットのことを調べ上げた上で攻撃を行う。徹底的な調査し、ターゲット企業に最も有効な攻撃を実行する。さらには、攻撃ターゲット企業の「セキュリティ状況」まで調べ上げ、自身の攻撃の有効性を検証、つまり「攻撃テスト」まで行われている。


ターゲット企業のセキュリティ環境、導入しているセキュリティ対策などを調べ、その対策の弱点に対して有効であることを事前に確認して、攻撃を行う。攻撃に使用される不正プログラムは、「ターゲット企業のセキュリティ対策では検知されない」ことを事前に確認しているため、企業はこの攻撃を防ぐことができない。


サイバー攻撃は「人」が行う攻撃であり、「人が人をだます攻撃から始まる」のだ。いきなりサーバに不正アクセスを行うわけではなく、まずは関係者をだまし、関係者の端末やIDとパスワードを乗っ取る。その後、複数の不正プログラムのダウンロードを経たうえで、正規の管理者のID/パスワードを抜き取る。そうすれば、攻撃者は「関係者」として、不正ではない状態で不正アクセスが可能だ。「そんなことに騙されない」と思うかもしれないが、いつ発生するかわからない攻撃に対して常に疑いを持ち続けることは現実的ではない。

人間である以上「騙されない」ということは無い。高い技術を持つサイバー攻撃者の侵入そのものを、防ぐということは相当難しいことなのだ。


それでは、これから求められる「新しい考え方」の情報セキュリティ対策とは、どのようなものだろう。


過去の攻撃の情報をベースに開発された、既存のセキュリティツールだけでは、最新のサイバー攻撃に通用しないことがわかっている。しかし、セキュリティ対策側もサイバー攻撃を研究することで、対抗する手段を開発している。


ポイントは、「攻撃者も人間であること」。攻撃者は、対象に特化した、いわば「カスタマイズされた」攻撃を仕掛けてくる。そこには、画一的な攻撃ツールではなく、人的要素が深く絡んでいる。それならば、「カスタマイズ」された対策が必要だ。画一的な対策ではなく、人的要素を深く絡めた対策こそが、サイバー攻撃に有効になっていくようになる。トレンドマイクロでは、長年世界中のサイバー攻撃事例を研究し、その対策方法を進化させ続けてきた。


次回、これから求められるサイバー攻撃対策 ─後編─では、「サイバー攻撃に対抗するための最新の対抗策と考え方」を解説する。



韓国へのサイバー攻撃が明らかに (1)

マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは?

http://blog.trendmicro.co.jp/archives/6923?cm_mmc=Ent-_-Sakaami_6-_-Pronweb-_-001


韓国へのサイバー攻撃が明らかに (2)

韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認

http://blog.trendmicro.co.jp/archives/6911?cm_mmc=Ent-_-Sakaami_6-_-Pronweb-_-002


トレンドマイクロ セキュリティブログ

【サイバー攻撃研究】持続的標的型攻撃に利用されるツールを徹底解析

http://blog.trendmicro.co.jp/archives/6835?cm_mmc=Ent-_-Sakaami_6-_-Pronweb-_-003


トレンドマイクロ株式会社

http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_6-_-Pronweb-_-004


公式リリースを読む

http://www.pronweb.tv/release.php?code=8054

 

 

PAGE TOP