企業システムのIT化・オープン化を背景に、特定の企業・団体を標的としたサイバー攻撃はすでに現実のものとなっています。本ブログでは複数の事例を紐解きつつ、改めて企業に対するサイバー攻撃について注意喚起します。 |
企業にとって IT を活用した情報システムはすでに必要不可欠であり、インターネットはビジネスインフラとして揺るぎないものとなっています。情報システムの普及とともにセキュリティ対策としてまず着目されたのはコンピュータウイルスを中心とした不正プログラムへの対策であり、企業内で使用されるクライアントPC やサーバの多くにはウイルス対策製品を導入することはもはや必須となっています。また、従来は感染そのものを目的としていたサイバー犯罪者は、攻撃を通じて情報や金銭を入手することにその目的を変化させ、その変化の過程で単純な不正プログラム(ウイルス)だけでなく、脆弱性の悪用やソーシャルエンジニアリングなどの複数の攻撃手法を組み合わせて巧妙な攻撃を仕掛けています。
昨今、著名企業を標的にサイバー攻撃が行われ、個人情報の流出など顕著な被害が相次いでいることから、本ブログにて企業に対するサイバー攻撃として3つの具体的な攻撃例を紹介します。
■事例1)企業システム/ネットワークへの不正侵入
攻撃として非常に高度かつ危険度が高く、大きな被害を引き起こしている攻撃が外部から社内システムへの不正侵入です。事例3)で紹介する Webサイト改ざんもこの「不正侵入」の一種と言えますが、攻撃の影響範囲が Webサイトにとどまらず、非常に大きくなる点が特徴です。社員から不正にリモートアクセス用の ID やパスワードを入手しアクセスを行ったり、企業の退職者が在職中に使用していたアカウントを使用してアクセスするという、どちらかというと情報管理の甘さやソーシャルエンジニアリングへの対処が問題になるケースのほか、システム内に存在する未修正の脆弱性を悪用して侵入するケースが考えられます。
2009年12月に米国の大企業を標的に行われた「HYDRAQ」ファミリによるゼロデイ攻撃(通称「オーロラ攻撃:Operation Aurora」)では、Microsoft製品の脆弱性を悪用した攻撃により、中国の人権活動家の Gmailアカウントへ不正アクセスがあった事実を Google が明らかにしています。
このほか、イランの原子力施設を標的に開発したと考えられる通称「スタクスネット(WORM_STUXNET)」による攻撃も、Microsoft から修正パッチが提供されていない脆弱性を利用して攻撃(ゼロデイ攻撃)が行われました。
このほか、企業システムに用いられるネットワーク機器やサーバに存在する脆弱性によって、外部からの不正侵入が行われた事例が複数確認されています。これらの攻撃の多くは企業・団体の所有する機密情報の入手やシステムそのものの乗っ取りを目的としていると考えられます。個人情報の流出が発生した場合は企業側から公表されますが、その企業が持つ固有の機密情報、たとえば開発中の製品の情報などが流出した場合は、開発そのものを明るみにしたくない、攻撃を受けた事実を隠したいなどの理由で公表されないケースも多くあるとされ、実際の被害件数は報じられているものの数倍あると言われています。
関連記事:
- セキュリティデータベース:Internet Explorer の脆弱性を悪用したゼロデイ攻撃、「HYDRAQ」ファミリをダウンロードする
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Zero-Day+Internet+Explorer+Exploit+Downloads+HYDRAQ - トレンドマイクロ セキュリティブログ:サイバー攻撃に利用!? USB悪用の新たな脅威「スタクスネット」
/archives/3711
■事例2)Webサイトへの大量アクセスによる閲覧不可
わかりやすい事例としては、企業の Webサイトへ一時的な大量アクセスがあります。企業の運営する Webサイトは短期間に企業側が想定する以上のアクセスがあると処理をしきれなくなってしまいます。このように企業側が提供したいサービスを継続できなくする攻撃を「DoS(Denial of Service:サービス拒否)攻撃」と総称します。
特定の Webサイトへの大量アクセスの場合、ボット型の不正プログラムに感染したいわゆるゾンビPC を遠隔から操作して、複数のロケーションから同時に大量にアクセスを仕掛ける、「DDoS(Distributed Denial of Service:分散型サービス拒否)攻撃」が一般的です。これは、アクセス元が限定的であると、サイト側がアクセス元を特定しそこからの接続のみ遮断するという対策が比較的簡単に行えるためです。DDoS攻撃の場合は、アクセス元が分散しているため遮断が追いつかず、結果的に Webサイト上でのサービス提供ができなくなります。
「TrendLabs(トレンドラボ)」では、このような DDoS攻撃を1時間あたり 7~10米ドル、1日あたり 20~70米ドルの価格で請け負う業者の存在を確認しています。これらの業者は数百台から数千台のゾンビPC を配下に持つボットネットを運営しており、サーバレンタルの要領で、時間貸しサービスを行っているのです。
記憶に新しいのは、2010年9月に尖閣諸島沖で発生した漁船衝突事件に端を発し日中間の外交関係が緊迫した際、複数の日本国内の Webサイトがアクセス不能になった事例ですが、これは DDoS攻撃による被害と見られています。また、海外ではセールを控えていた ECサイトに対する DDoS攻撃が競合の ECサイトによって行われるなど営業妨害とも言える事例が現実のものとなっています。
関連記事:
- TrendLabs Global Threat Trends, 1H 2010(英語情報)
http://us.trendmicro.com/imperia/md/content/us/trendwatch/
researchandanalysis/tm101hthreat_report.pdf
■事例3)Webサーバの乗っ取り、改ざん
Webサイトへの攻撃としてはもう一例、外部からの不正な乗っ取りやサイトの改ざん(不正な書き換え)が挙げられます。2008年12月に靖国神社の Webサイトのトップページが中国国旗の画像に置き換えられてしまった事例など、Webサイトの一部に目に見える形で改ざんの痕跡を残す攻撃手法は、自らの技術力を魅せつける愉快犯的なケースや、Webサイト運営元の企業への脅迫を目的としているケースなどが考えられます。外部から改ざんできることを材料に、「御社の Webサーバはこちらの管理下にある」などと、いわば身代金目的の誘拐事件のように Webサーバを「人質」に取って企業を恐喝する事件も数年前、日本国内で確認されています。
また、2010年初頭に猛威をふるった「ガンブラー」攻撃や、2011年に国内でも被害を確認した「ライザムーン」攻撃など、企業や団体の正規サイトの一部を改ざんして、サイト訪問者に気づかれない形で不正プログラムのダウンロード元となるサイトへ誘導する攻撃も顕在化しています。これらの言わば「見えない改ざん」は、サイト運営元の企業・団体は外部から不正アクセスの被害に遭った被害者でありながら、そのサイトを訪問した閲覧者にとっては加害者と考えられてしまい、運営元の企業・団体は対応のために非常に多くの時間とコストを費やすことになります。
関連記事:
- トレンドマイクロ セキュリティブログ:日本のWebサイトも改ざん被害-「ライザムーン」攻撃詳報
/archives/4053 - トレンドマイクロ セキュリティブログ:国内のWebサイトの改ざんが拡大中
/archives/3317
■企業に求められる対策~サーバセキュリティの見直しと脆弱性への対応から
これらのサイバー攻撃そのものを完全に「予防」することは残念ながら困難です。しかしながら、攻撃があった場合でも攻撃をいち早く察知し被害を最小限に食い止める、攻撃されにくいシステムを構築し運用面でも十分に配慮する、といった対処が企業には求められます。
具体的には、セキュリティポリシーなど関連の社内ルール・体制を再度見直して頂くことはもちろん、システム面の見直しも必要と言えます。特に、社内、社外へ何らかのサービスを提供するという情報システムの根幹を成すサーバへのセキュリティ対策は、その必要性の高さと比較して注目度があまり高いとは言えません。
トレンドマイクロでは、サーバ向けの総合セキュリティ製品として「Trend Micro Deep Security」を提供しています。「仮想パッチ」によりパッチ未適用の状態でも一時的な保護を行うほか、ホスト型の IPS/IDS など多くの機能を実装しています。
サーバ上で運用しているソフトウェアに存在する脆弱性への対応に漏れがないか、ネットワークで不正侵入への対策が取られているかなど、改めて診断し、対策の導入をご検討頂くことを強くおすすめします。