役立つ製品・サービス情報<PR>

2013年05月17日

サイバー攻撃の「プロ」にはセキュリティ専門の「プロ」を

確実に忍び寄るサイバー攻撃!「症状のない病」から日本企業の情報資産を守れ─後編─

サイバー攻撃の「プロ」にはセキュリティ専門の「プロ」を

 

【今、知っておくべき危機 第6回】


確実に忍び寄るサイバー攻撃!

「症状のない病」から日本企業の情報資産を守れ!

─後編─

 

サイバー攻撃の「プロ」にはセキュリティ専門の「プロ」を
■【今、知っておくべき危機 第6回】確実に忍び寄るサイバー攻撃!「症状のない病」から日本企業の情報資産を守れ!─後編─
韓国の大企業へのサイバー攻撃を忘れてはいないだろうか?もはやサイバー攻撃のニュースは日常的な出来事となっている。大手セキュリティ会社のトレンドマイクロでは、今回発生した韓国の大規模サイバー攻撃とその兆候についてレポートしている。
前編では、サイバー攻撃は「症状のない病」に似ていることを解説した。咳は出ないし熱も痛みもないけれど、極めて密かに悪化していき、被害者は被害にあっていることすら気づかない。明確な症状がないため、攻撃を受けているのかどうかもわからず、またどのような対策をする必要があるのかも判断できないのだ。
しかしサイバー攻撃対策のプロは、総合診療医が複数の検査結果の値を統合的に比較して「隠れた病」を発見するように、サイバー攻撃の「兆候」を見抜く。
では、実際にどのような「症状=兆候」がサイバー攻撃なのか、具体的に事例を3つ紹介しよう。自社に当てはまるかどうか、よく確認して欲しい。
ケース1:深夜にサーバアクセスをする社員、それは本当に社員だろうか?
A社のセキュリティ担当者が定期チェックでサーバのログを確認すると、半月ほど前に大量の“ログインエラー” のログが残っていた。念のため、過去のサーバログもチェックすると、○月×日、会社に誰もいないはずの深夜3 時に、営業部のBさんがサーバにログインしていた形跡があった。しかしタイムカードを確認すると、Bさんはこの日、定時で帰っている。一瞬「変だな」とは思ったが決算が近いこともあり、セキュリティ担当者は「また呼び戻されたのか?営業は大変だな」程度にしか思わなかった。
それから1ヶ月後、機密情報扱いの資料がWeb 上にアップされていると、外部のベンダーから教えられた。緊急事態だった。何が原因でどうやって情報が持ち出されたのか、全くわからなかった。最近変なことと言えば、1ヶ月ほど前から、身に覚えのないメールが届くようになったのを思い出した。そう言えば他の部署の社員からも、最近身に覚えのないメールが多くなったという話を聞いた。その原因はわからなかったが、他の業務に追われていることもあって特に気にも留めなかった。
解説:
このケースでは、何が「症状=兆候」だったのか。身に覚えのないメールが来たこと自体は、標的型攻撃(サイバー攻撃の一種)であるとは言い切れない。ただし「普段とは違う現象」に気づくことは、セキュリティにおいて非常に重要なポイントである。上記の場合、内部サーバに侵入するため、攻撃者が社員に不正プログラムをメールという形で何度も送り付けたことが、「身に覚えのないメール」の増加につながったとも考えられる。もし社員が「身に覚えのないメール」のURLをクリックしていた場合、その社員のPC 端末は不正プログラムに感染している可能性があるだろう。
さらに、深夜の誰も会社にいないはずの時間にログインが行われていたとしたら、すでに正規のログインID・パスワードがサイバー攻撃者の手に渡り、情報が盗まれている可能性がある。
ケース2:正体不明のプログラムが実行されていた、ということはなかったか?
社員が定期チェックでサーバメンテナンス作業をしていたところ、「サーバへの負荷が高い何かのプログラムファイル」が頻繁に実行されていることに気が付いた。念のため調べてみると、セキュリティ担当者がインストールした覚えが全くないファイルが実行されていた。
他の部署のメンバーがインストールしたものかもしれないが、普段からコミュニケーションを積極的に行っていなかったため、誰が、いつ、何のためにインストールしたのか、全く分からなかった。実行されているファイルをGoogleで検索してみると、リモートからコマンドを実行するためのフリーの運用管理ツールであることがわかった。自分の把握する業務の範囲では、必要のないツールのように思われるが分からない。勝手に削除してしまって業務に不具合が出ては、自分の責任になってしまう…。とりあえず来週の部会で報告だけ挙げておくことにした。
解説:
このケースで発見された「正体不明のファイル」は、既に攻撃が実行されている「兆候」の可能性がある。担当者は明らかに怪しいファイル実行の事実を発見できているため、非常に分かりやすい事例ではあるが、これも偶然、問題を認識できたにすぎない。定期チェックのタイミングや箇所によっては、そもそも怪しいファイルが実行されていた事実すら発見できなかった可能性が高い。
今回の場合、既に情報が盗まれていたり、システム内のファイルが改ざんされていたりする可能性もある。1人の担当者だけでファイルの素性が分からない場合、他のメンバーに聞こうと思っても、普段からコミュニケーションが無ければ聞きづらいかもしれない。また担当者が夏休みや年末年始休暇に入っている場合、出社するまでは「危険かもしれない状態を放置せざるを得ない」こともある。つまり「来週の報告」では手遅れになる可能性があるといえる。
ケース3:古いID とパスワードを使っているのは誰?
C社はサーバの保守管理のコスト削減により、これまで付き合いのあった下請との取引をやめ、新しい下請との取引を開始した。その際、下請け会社が作業するための管理用ログインIDとパスワードを新規登録することにした。念のために過去のIDをチェックしたところ、登録されているIDの一覧に何年も前に取引していた、別の下請けのIDがそのまま残っているのを発見した。「まさか誰も使っていないはず」と思いつつも、怖いもの見たさでアクセスログを調べたところ、3か月前のログに、ログインされた履歴が残っていた。ありえないことだが、昔の下請け会社がパスワードを使っていたのか? そういえば先週、同僚が「サーバの設定変更をしたのは誰か?」と聞いて回っていたのを思い出し、急激に不安が増してきた。
非常に深刻な問題であり、すぐに調査をして対策をすることになった。取り急ぎ該当のIDは削除をしたが、管理者権限を持ったIDであったため、すでに他の利用可能なIDを奪われている可能性もある。先週起きた予期せぬサーバの設定変更は、果たして外部からの侵入者の仕業だったのか?この後、一体どのように調査・対策を進めればいいのかわからない。
解説:
この場合のような、「古いID」は、サイバー攻撃者の格好の餌食となる。試しに貴社のサーバ管理用のIDを全て確認してみて欲しい。何年も前に発行した、管理者権限のあるID が残されたままになっていないだろうか。誰も使っていないにも関わらず、そのまま放置されているID/パスワードは、本来は定期的に棚卸を行うべきだ。しかし、意外と管理しきれていない企業も多いのが実情だろう。
上記の場合、「昨日、古いID でログインされていた事実」と「サーバ設定変更を確認する同僚」の出来事はつながっている可能性がある。攻撃者は、標的の周辺に存在する関係者や元関係者など、標的と何らかの接点がある可能性があれば、何でも利用する。この場合では、古いID が攻撃者に奪取され、サーバの設定が変更された可能性がある。既に攻撃が完了しているかもしれない。古いID や利用者不明のID を残しておくことは、攻撃者にスキを見せてしまうことになりかねない。わざわざ攻撃者に、攻撃の選択肢を増やしてあげているようなものだ。
以上が3つの事例である。事例の通り、サイバー攻撃者は、手に入れたい情報を持っている企業だけを攻撃するのではなく、周辺の下請け会社や取引先、関係のある企業など、外堀から攻撃を深化させていく。つまり、関係者や企業は全て狙われる可能性があるのだ。最終攻撃目標でない企業は踏み台にされ、結果的に取引先や顧客に迷惑をかけることになる。踏み台にされた企業も被害者であるのだが、他の被害者への攻撃に加担した形になるため、非常に後味が悪い。民事起訴されれば責任を問われるかもしれない。セキュリティ対策の甘さは、自社のみなら様々な企業に影響を及ぼすのだ。
サイバー犯罪者はプロであるから、情報収集や犯罪手法のアイデア、攻撃技術、どれも非常に高いレベルにあり、かつ攻撃の成功率を高めるために日々進化を遂げている。企業のIT担当者だけでは太刀打ちしづらいのが現状だ。
そこで頼るべきなのは、セキュリティの専門家である。犯罪のプロには対策のプロでなければ、もはや対抗できないレベルにまで来ていると言えるだろう。
幸い近年のセキュリティ専門会社は、製品導入による防御だけを売りにしているのではなく、最新の攻撃動向をキャッチアップし、それらに対抗するための様々な技術を持ち合わせ、サービスとして提供している。ここはプロに頼らない手はないだろう。
十分な対策が取れていない状態のまま放置することは、自らサイバー犯罪者の攻撃を受け入れることに等しい。少しでも不安な点がある担当者は、今すぐセキュリティ専門の会社に相談をし、自社のセキュリティ対策状況をきちんと理解して、必要な対策を継続し続けよう。
もちろん、セキュリティ対策の見直しにはそれなりのコストが必要となる。しかし、企業の資産である機密情報が流出した場合の被害額と、セキュリティ対策を見直すコスト、比べるまではないのはお察しの通りだ。サイバー犯罪は、決して対岸の火事ではないことを、改めて認識して欲しい。
あなたは、この内容でも騙されない自信がありますか?
(1) 高度に巧妙化した「メール」を起点としたサイバー攻撃の例
http://blog.trendmicro.co.jp/archives/6748?cm_mmc=Ent-_-Sakaami_9-_-Pronweb-_-001
あなたは、この内容でも騙されない自信がありますか?
(2)標的型攻撃への対策について興味を持ち、その詳細を知るためにファイルを開けてしまったユーザが、被害者の一人となった例
http://blog.trendmicro.co.jp/archives/6762?cm_mmc=Ent-_-Sakaami_9-_-Pronweb-_-002
その他トレンドマイクロの調査データ多数
http://inet.trendmicro.co.jp/doc_dl/select.asp?type=2&cid=38&cm_mmc=Ent-_-Sakaami_9-_-Pronweb-_-003
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-006
公式リリースを読む
http://www.pronweb.tv/release.php?code=8125

121220_tm_01.jpg

韓国の大企業へのサイバー攻撃を忘れてはいないだろうか?もはやサイバー攻撃のニュースは日常的な出来事となっている。大手セキュリティ会社のトレンドマイクロでは、今回発生した韓国の大規模サイバー攻撃とその兆候についてレポートしている。


前編では、サイバー攻撃は「症状のない病」に似ていることを解説した。咳は出ないし熱も痛みもないけれど、極めて密かに悪化していき、被害者は被害にあっていることすら気づかない。明確な症状がないため、攻撃を受けているのかどうかもわからず、またどのような対策をする必要があるのかも判断できないのだ。


しかしサイバー攻撃対策のプロは、総合診療医が複数の検査結果の値を統合的に比較して「隠れた病」を発見するように、サイバー攻撃の「兆候」を見抜く。


では、実際にどのような「症状=兆候」がサイバー攻撃なのか、具体的に事例を3つ紹介しよう。自社に当てはまるかどうか、よく確認して欲しい。


 

 

ケース1:深夜にサーバアクセスをする社員、それは本当に社員だろうか?


A社のセキュリティ担当者が定期チェックでサーバのログを確認すると、半月ほど前に大量の“ログインエラー” のログが残っていた。念のため、過去のサーバログもチェックすると、○月×日、会社に誰もいないはずの深夜3 時に、営業部のBさんがサーバにログインしていた形跡があった。しかしタイムカードを確認すると、Bさんはこの日、定時で帰っている。一瞬「変だな」とは思ったが決算が近いこともあり、セキュリティ担当者は「また呼び戻されたのか?営業は大変だな」程度にしか思わなかった。


それから1ヶ月後、機密情報扱いの資料がWeb 上にアップされていると、外部のベンダーから教えられた。緊急事態だった。何が原因でどうやって情報が持ち出されたのか、全くわからなかった。最近変なことと言えば、1ヶ月ほど前から、身に覚えのないメールが届くようになったのを思い出した。そう言えば他の部署の社員からも、最近身に覚えのないメールが多くなったという話を聞いた。その原因はわからなかったが、他の業務に追われていることもあって特に気にも留めなかった。


解説:

このケースでは、何が「症状=兆候」だったのか。身に覚えのないメールが来たこと自体は、標的型攻撃(サイバー攻撃の一種)であるとは言い切れない。ただし「普段とは違う現象」に気づくことは、セキュリティにおいて非常に重要なポイントである。上記の場合、内部サーバに侵入するため、攻撃者が社員に不正プログラムをメールという形で何度も送り付けたことが、「身に覚えのないメール」の増加につながったとも考えられる。もし社員が「身に覚えのないメール」のURLをクリックしていた場合、その社員のPC 端末は不正プログラムに感染している可能性があるだろう。


さらに、深夜の誰も会社にいないはずの時間にログインが行われていたとしたら、すでに正規のログインID・パスワードがサイバー攻撃者の手に渡り、情報が盗まれている可能性がある。

 

 

ケース2:正体不明のプログラムが実行されていた、ということはなかったか?


社員が定期チェックでサーバメンテナンス作業をしていたところ、「サーバへの負荷が高い何かのプログラムファイル」が頻繁に実行されていることに気が付いた。念のため調べてみると、セキュリティ担当者がインストールした覚えが全くないファイルが実行されていた。


他の部署のメンバーがインストールしたものかもしれないが、普段からコミュニケーションを積極的に行っていなかったため、誰が、いつ、何のためにインストールしたのか、全く分からなかった。実行されているファイルをGoogleで検索してみると、リモートからコマンドを実行するためのフリーの運用管理ツールであることがわかった。自分の把握する業務の範囲では、必要のないツールのように思われるが分からない。勝手に削除してしまって業務に不具合が出ては、自分の責任になってしまう…。とりあえず来週の部会で報告だけ挙げておくことにした。


解説:

このケースで発見された「正体不明のファイル」は、既に攻撃が実行されている「兆候」の可能性がある。担当者は明らかに怪しいファイル実行の事実を発見できているため、非常に分かりやすい事例ではあるが、これも偶然、問題を認識できたにすぎない。定期チェックのタイミングや箇所によっては、そもそも怪しいファイルが実行されていた事実すら発見できなかった可能性が高い。


今回の場合、既に情報が盗まれていたり、システム内のファイルが改ざんされていたりする可能性もある。1人の担当者だけでファイルの素性が分からない場合、他のメンバーに聞こうと思っても、普段からコミュニケーションが無ければ聞きづらいかもしれない。また担当者が夏休みや年末年始休暇に入っている場合、出社するまでは「危険かもしれない状態を放置せざるを得ない」こともある。つまり「来週の報告」では手遅れになる可能性があるといえる。


ケース3:古いID とパスワードを使っているのは誰?


C社はサーバの保守管理のコスト削減により、これまで付き合いのあった下請との取引をやめ、新しい下請との取引を開始した。その際、下請け会社が作業するための管理用ログインIDとパスワードを新規登録することにした。念のために過去のIDをチェックしたところ、登録されているIDの一覧に何年も前に取引していた、別の下請けのIDがそのまま残っているのを発見した。「まさか誰も使っていないはず」と思いつつも、怖いもの見たさでアクセスログを調べたところ、3か月前のログに、ログインされた履歴が残っていた。ありえないことだが、昔の下請け会社がパスワードを使っていたのか? そういえば先週、同僚が「サーバの設定変更をしたのは誰か?」と聞いて回っていたのを思い出し、急激に不安が増してきた。


非常に深刻な問題であり、すぐに調査をして対策をすることになった。取り急ぎ該当のIDは削除をしたが、管理者権限を持ったIDであったため、すでに他の利用可能なIDを奪われている可能性もある。先週起きた予期せぬサーバの設定変更は、果たして外部からの侵入者の仕業だったのか?この後、一体どのように調査・対策を進めればいいのかわからない。


解説:

この場合のような、「古いID」は、サイバー攻撃者の格好の餌食となる。試しに貴社のサーバ管理用のIDを全て確認してみて欲しい。何年も前に発行した、管理者権限のあるID が残されたままになっていないだろうか。誰も使っていないにも関わらず、そのまま放置されているID/パスワードは、本来は定期的に棚卸を行うべきだ。しかし、意外と管理しきれていない企業も多いのが実情だろう。


上記の場合、「昨日、古いID でログインされていた事実」と「サーバ設定変更を確認する同僚」の出来事はつながっている可能性がある。攻撃者は、標的の周辺に存在する関係者や元関係者など、標的と何らかの接点がある可能性があれば、何でも利用する。この場合では、古いID が攻撃者に奪取され、サーバの設定が変更された可能性がある。既に攻撃が完了しているかもしれない。古いID や利用者不明のID を残しておくことは、攻撃者にスキを見せてしまうことになりかねない。わざわざ攻撃者に、攻撃の選択肢を増やしてあげているようなものだ。


 

 

以上が3つの事例である。事例の通り、サイバー攻撃者は、手に入れたい情報を持っている企業だけを攻撃するのではなく、周辺の下請け会社や取引先、関係のある企業など、外堀から攻撃を深化させていく。つまり、関係者や企業は全て狙われる可能性があるのだ。最終攻撃目標でない企業は踏み台にされ、結果的に取引先や顧客に迷惑をかけることになる。踏み台にされた企業も被害者であるのだが、他の被害者への攻撃に加担した形になるため、非常に後味が悪い。民事起訴されれば責任を問われるかもしれない。セキュリティ対策の甘さは、自社のみなら様々な企業に影響を及ぼすのだ。


サイバー犯罪者はプロであるから、情報収集や犯罪手法のアイデア、攻撃技術、どれも非常に高いレベルにあり、かつ攻撃の成功率を高めるために日々進化を遂げている。企業のIT担当者だけでは太刀打ちしづらいのが現状だ。


そこで頼るべきなのは、セキュリティの専門家である。犯罪のプロには対策のプロでなければ、もはや対抗できないレベルにまで来ていると言えるだろう。


幸い近年のセキュリティ専門会社は、製品導入による防御だけを売りにしているのではなく、最新の攻撃動向をキャッチアップし、それらに対抗するための様々な技術を持ち合わせ、サービスとして提供している。ここはプロに頼らない手はないだろう。


十分な対策が取れていない状態のまま放置することは、自らサイバー犯罪者の攻撃を受け入れることに等しい。少しでも不安な点がある担当者は、今すぐセキュリティ専門の会社に相談をし、自社のセキュリティ対策状況をきちんと理解して、必要な対策を継続し続けよう。


もちろん、セキュリティ対策の見直しにはそれなりのコストが必要となる。しかし、企業の資産である機密情報が流出した場合の被害額と、セキュリティ対策を見直すコスト、比べるまではないのはお察しの通りだ。サイバー犯罪は、決して対岸の火事ではないことを、改めて認識して欲しい。

 


あなたは、この内容でも騙されない自信がありますか?

(1) 高度に巧妙化した「メール」を起点としたサイバー攻撃の例

http://blog.trendmicro.co.jp/archives/6748?cm_mmc=Ent-_-Sakaami_9-_-Pronweb-_-001


あなたは、この内容でも騙されない自信がありますか?

(2)標的型攻撃への対策について興味を持ち、その詳細を知るためにファイルを開けてしまったユーザが、被害者の一人となった例

http://blog.trendmicro.co.jp/archives/6762?cm_mmc=Ent-_-Sakaami_9-_-Pronweb-_-002


その他トレンドマイクロの調査データ多数

http://inet.trendmicro.co.jp/doc_dl/select.asp?type=2&cid=38&cm_mmc=Ent-_-Sakaami_9-_-Pronweb-_-003


トレンドマイクロ株式会社

http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-006


公式リリースを読む

http://www.pronweb.tv/release.php?code=8125


 

 

 

PAGE TOP