2015年5月に日本年金機構で発生した約125万件の年金情報漏洩事件は、そのサイバー攻撃手法が「標的型攻撃」であったことでも注目を集めた。決して他人ごとではない今回の事件を契機に、昨今のサイバー攻撃対策について考えてみた。
高度化する標的型攻撃
標的型攻撃とは、攻撃者が意図的に特定組織に狙いを定めて実施されるサイバー攻撃である。今回の事件で多くの人が知るようになったが、この攻撃手法は決して新しいものではない。例えば情報処理推進機構(IPA)では、2007年版の「10大脅威」の第2位に「表面化しづらい標的型(スピア型)攻撃」を挙げており、最新の2015年版でも第3位に「標的型攻撃による諜報活動」を挙げている。サイバー攻撃手法としては定番と言ってもよいだろう。
今回行われた標的型攻撃の手順は、すでに多くのメディアで取り上げられているが、非常に教科書的であることが特徴である。電子メールの添付ファイルからパソコンが感染し、そのパソコンから他のパソコンに感染が広がり、潜伏期間を経て情報漏洩が引き起こされている。
多くの組織の情報セキュリティ担当者は、当然、標的型攻撃がこのように行われることを知っている。そのためにセキュリティ対策製品の導入や、情報機器を保護するためのルール作り、社員への啓発活動などを実施している。しかしそれでも、標的型攻撃を含めた高度なサイバー攻撃を完全に防ぐことは困難である。
その理由は、サイバー攻撃手法が日々進化するからである。パソコンやアプリケーションソフトの脆弱性は、どれだけ最新のパッチを当てたとしても、新たな脆弱性はいずれ攻撃者に発見されてしまう。その新たな脆弱性への対策パッチが作成される前の、いわゆるゼロデイを狙われると、パソコン側で防ぐことはかなり難しくなる。パソコンの振る舞いからゼロデイ脆弱性に対抗する取り組みもあるが、未知のサイバー攻撃手法に対して万能というわけではない。
様々な侵入経路
今回の標的型攻撃は、電子メールを使って攻撃用ソフトウェアをパソコンに送り込む手法がとられたが、実際の侵入経路は実に様々である。最近は企業内での利用を制限するケースが多いが、UBSメモリを使って侵入する手法は、イランの核燃料施設を狙ったスタックスネット等の著名なケースでも使われている。
Webサイト経由で侵入を許すケースもある。怪しげなWebサイトの閲覧は当然そのリスクが高いが、企業等のまっとうな組織のWebサイトでも、そのサイトがサイバー攻撃を受けて悪意のあるコードが埋め込まれていると、同じように攻撃用ソフトウェアをパソコンに取り込んでしまう結果となる。
インターネット上のファイル共有サービス経由での侵入も考えられる。何らかの方法でIDとパスワードが攻撃者の手に渡ると、そこに置いておいたファイルをこっそり、攻撃用ソフトウェアに置き換えられてしまうリスクがある。
その他にも、人の心理や弱みにつけ込んだ、よりソーシャルな手法も数々ある。特定の侵入経路を防ぐ対策を行った上で、さらにその他の侵入経路からサイバー攻撃を受けてパソコンが感染してしまった場合を想定した「事後対策」が重要である。
エンドユーザ頼りの対策は禁物
サイバー攻撃の高度化により、従来使ってきたセキュリティ対策製品では防ぎきれなくなっている。技術的な対策を補完するためには、セキュリティインシデント対応体制の強化や利用ルールの厳格化などの運用による対策が必要になる。
ここで注意したいのは、こうした運用による対策がエンドユーザ頼りになっていないか、という点である。例えば「不審なメールの添付ファイルは開かない」というルールにしても、日常業務で頻繁に添付ファイルをやりとりしている中で、たった1通の不審なメールの添付ファイルを、必ず開かずに発見できるだろうか。あるいは「パスワードは定期的に新たな複雑なものに変更して手帳にも書かない」というルールが、実態としてどれだけ守られているだろうか。
ルールを決めて周知・教育したから、後はエンドユーザの責任と考えていると、高い確率でセキュリティ事故が起こるだろう。不審な電子メールを自動的に振り分けたり、ネットワーク上の不審な振る舞いを検知したりする技術的な対策に加えて、エンドユーザが無理なくルールを守れる体制作りが大切である。例えばルールを守るための具体的な手順を示したり、エンドユーザを支援するためのツールを用意するなど、組織の実態を十分に把握して適切な対策を取ることが重要である。