標的型サイバー攻撃を効果的に対応するための4つの段階

2014年第3四半期の脅威動向への分析から、企業が扱う顧客情報を狙って、企業の規模や業種を問わずに標的型サイバー攻撃の攻撃手法が使用されている実態が明らかになっています。つまり多くの企業にとって、標的型サイバー攻撃の問題は、自社がその標的になるかどうかはわからない、ではなく、自社がその標的になるのはいつなのか、という問題になりました。標的型サイバー攻撃を受けた際に、深刻な事態に陥るか、速やかな対応で済むかは、企業の事前対策によるところとなります。

標的型サイバー攻撃に企業が対応するためには、企業の情報セキュリティ担当者の考え方を改める必要があります。これまでのセキュリティ対策技術や多くのベストプラクティスは、「攻撃者の侵入は防ぐことが可能」が前提となっていました。

しかし、もはやこの前提は通用しません。標的型サイバー攻撃で利用される不正プログラムは、標的とした企業向けに特別に作成されているため、パターンマッチングを前提とした一般的なウイルス対策技術では未対応であることが多々あります。また、巧妙なソーシャルエンジニアリングを利用した攻撃により、通常のビジネスメールに見せかけ、ユーザをだまして不正プログラムを実行させる手口も常套化しています。

つまり、企業がどのような防御をしたとしても、十分な資金を持った攻撃者であれば標的組織に侵入する経路を見つけることができます。企業は対策予算を増やすことはできても、完全に防御することはできません。

ITセキュリティ教育機関「SANS Institute」は、こうした攻撃に対して企業はどう対応すべきかについての指針を提供しています。トレンドマイクロでも、以下の 4段階に基づいた対策の考え方を推奨しています。

■準備段階
標的型サイバー攻撃への対策には、実際に攻撃が起きる前からの対応も含まれ、しかも非常に重要です。情報セキュリティ担当者は、ネットワーク上の標的型サイバー攻撃にどう対応するかの計画を立てなければなりません。例えば、システム管理者は、情報センターがオフラインになるなどの休止期間に起きうる事柄に対して常に計画しています。

また、自組織ネットワークの正常な状態を知り、企業が日常的にどのような脅威に遭遇するかを認識することも重要です。情報セキュリティ担当者は、攻撃が実行された時に対応するだけなく、正常時にどのような問題があるかを理解すべきでしょう。そうすることによって、標的型サイバー攻撃のような正常でない脅威にすぐに気付くことができます。情報セキュリティ担当者が現状を理解するため、スレットインテリジェンスや解析をこの段階で用いることは有益でしょう。

さらに、情報セキュリティ担当者は、標的型サイバー攻撃に効果的に対応できる適切な技術を身につけるための計画を立てるべきです。最も重要な技術の 1つは、「デジタルフォレンジック」と呼ばれる技術で、侵害を受けた機器から必要な情報を収集し分析を行います。

これらの技術の多くは、一般的な日常の IT業務とはかなりかけ離れていますが、こうした技術を身に付けることは、企業が実行中の攻撃に対処するための情報を入手し、より綿密な準備を行うのに役に立つでしょう。

■対応段階
実行中の標的型サイバー攻撃を確認したら、次は決断力を持って対処することです。標的型サイバー攻撃への対応はいくつかの手順があります。脅威の封じ込め、除去、被害の範囲の特定です。最初に、脅威を直ちに隔離するか、もしくは封じ込めます。ここで実行されうる手段は、感染したシステムを隔離もしくは侵害を受けたサービスをオフラインにすることです。最終的な目標は、攻撃にこれ以上の足がかりを与えないこととなります。

企業内で実行されている脅威を特定するために、標的型攻撃で一般的に利用されるツールグレイウェアに精通したセキュリティ企業と協力することは有益でしょう。また、現在のネットワークの活動を継続して監視することは、存在する脅威の規模や範囲を特定するのに役立ちます。

■回復段階
企業を正常な状態に回復させることは、攻撃に対応するのと同様に重要です。中断は標的型攻撃への対応に必要ですが、長期的には企業は正常な状態に戻るべきであり、正常な運用を回復させなければなりません。

企業を正常な状態に戻すということは、技術面に限ったことではありません。必要に応じて、企業は取引先や利害関係者、顧客に連絡し、標的型攻撃の被害の範囲や、被害を軽減するために取った手段を明確に伝えなければなりません。友好関係や信頼関係が、往々にして標的型攻撃の犠牲となることがあります。こうした点も考慮すべきでしょう。

■学習段階
攻撃がいったん終了した後は、企業は攻撃から何を学べるかを明らかにしなければなりません。すべての攻撃は企業に教訓を与えます。何が有効だったか?もっと他に良い方法はなかったか?セキュリティ対策として想定していたことや情報が誤っていたり、完璧でなかったことが判明するかもしれません。

しかし、1つ 1つの事例に過剰反応をしないことも重要です。反応し過ぎることは、反応しないことと同じぐらい好ましいものではありません。セキュリティ対策への予算が少ない企業にとっては負担になることもあります。攻撃の直後から企業が回復するためには、健全な論理に基づいた決定がなされるべきです。

■まとめ
標的型サイバー攻撃が頻繁に起こり、「もし発生したら」ではなく「いつ発生するか」が問題となっている現状では、標的型サイバー攻撃に対して慎重に練られた戦略は、より大規模なセキュリティ防御戦略に内包されるべきでしょう。これが、標的型サイバー攻撃を容易に対処できる脅威にするか、企業の継続に重大な被害を与える脅威となるかの分かれ目となります。

参考記事:

  • Four Steps To An Effective Targeted Attack Response
    by Trend Micro

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. IT管理者が持つ、標的型攻撃対策5つの誤解
    2. 標的型サイバー攻撃に見られる新旧の脆弱性
    3. 潜在する脅威の顕在化-2015年以降の脅威を予測
    4. 標的型サイバー攻撃集団「BRONZE BUTLER」によるバックドア型マルウェア「DASERF」、ステガノグラフィを利用