2015年末、トレンドマイクロは「2016年はネット恐喝の年になる」と予測しました。この予測は、早くも 2016年第1四半期に現実のものとなり、その後、2016年末までランサムウェア事例は急増し続け、個人だけでなく、病院、大学、公共交通機関、法執行機関までが被害に遭う現実を目の当たりにしました。また、2016年には大規模情報漏えいが矢継ぎ早に発生し、情報の保護がいかに脆弱であり、サイバー犯罪者に簡単にアクセスされる現実を思い知らされました。
これら 2016年の事例に基づき、企業は、2017年、どのような点に注意してサイバーセキュリティ対策を講じるべきでしょうか。
■過去から学ぶべき教訓
2016年の注目すべきサイバーセキュリティ事例は、企業や組織がサイバー犯罪に対してプロアクティブに対応すべき必要性を浮き彫りにしました。その場合、企業の従業員がセキュリティ侵害の原因となるのではなく、セキュリティ対策に貢献できる一員に変わるような改革が必要です。2016年の事例を振り返った場合、以下の各点が企業が講じるべき対策としてあげられます。
- 二要素認証の導入を徹底する
2016年はパスワードのセキュリティにとって災難の年でした。一連の大規模情報漏えいにより、個人情報が窃取され、ネット上に流出しました。大手ソーシャルネットワーキングサービス(SNS)の「Tumblr」、「LinkedIn」、「Fling」、「Myspace」、さらにロシアの SNS「VK.com」までが情報漏えいの被害に遭い、窃取された情報がアンダーグラウンド市場に出回り、ネット恐喝やアカウントリスト攻撃の急増につながりました。
パスワードは、簡便な認証手段としてユーザの間で重宝されています。しかしパスワードのみによるアカウント管理はマイナス面も含んでいます。情報漏えい調査サイト「LeakedSource」は、2016年に「MySpace」で発生した情報漏えいを調査した結果、「123456」、「qwerty」、「123123」、「qwertyuiop」など、安易なパスワードが多用されていることが判明しました。いまだに多くのユーザが、セキュリティ保護に不可欠なパスワードにこのような安易な文字列を使用している現実が浮き彫りにされました。
特に社内ネットワークに接続するユーザは、部外者の侵入を阻止するために効果的なパスワードの使用が求められます。複雑で突破され難い強固なパスワードを各アカウントごとに別々に用意して使用するなど、こうした対策を社員に徹底させることが必要です。
パスワードを認証の主要手段としながらもそれのみへの依存を回避するため、二要素認証、生体認証、トークン等、その他の手段を検討する必要があります。現在、さまざまなIT企業、オンライン認証技術研究の非営利団体「Fast Identity Online(FIDO)Alliance」などのセキュリティリサーチャーたちが、複数のログイン情報を作成・記憶しなければならないユーザの負担を考慮し、認証のあり方自体を変えることも視野に入れ、シンプルで標準化された新たな認証方法の開発に取り組んでいます。
- 修正プログラムの定期的かつ速やかな適用を徹底する
脆弱性未修正のアプリケーションやサーバは、マルウェアにとっての格好の侵入経路になります。これに対処するためには、全てのエンドポイントへの速やかな修正プログラム適用に際して、社内の脆弱性修正プロセスにおいて何が障壁なのかを明らかにして対策を講じることが必要です。こうした欠陥が放置されたままでサイバー犯罪者に利用されると、企業はさらに大きなダメージに見舞われる危険性があります。
2016年 11月、標的型サイバー攻撃キャンペーン「Pawn Storm」は、当時未確認の Adobe Flash のゼロデイ脆弱性を利用して複数の政府系機関を攻撃しました。この攻撃キャンペーンでは、特権昇格を可能にする Microsoft オペレーティングシステム(OS)の脆弱性も、修正プログラムが公開される前にゼロデイ脆弱性として利用されました。
未修正やゼロデイの脆弱性への対策は、社内ネットワークのセキュリティを守る上で不可欠です。特にサポートが終了したソフトウェア、レガシーソフトウェア、製造元が無くなったソフトウェア等を使用せざるを得ない企業にとってこの対策は非常に重要です。これはセキュリティ対策製品も同様です。社内で使用しているすべてのセキュリティ対策製品についても定期的かつ速やかな更新が必要です。
■今後に備えた対策
弊社が 2016年 12月12日リリースした「2017年セキュリティ脅威予測」では、2017年は新たな手口と合わせて従来の手口も形を変えて利用され続けると予測しています。2017年に企業が注目すべきセキュリティ対策は、以下のとおりです。
- あらゆる侵入経路を防御する
2017年の脅威に対しても多層的なセキュリティ対策が必要です。攻撃者が新たな手口を追求し続けている中、未知および既知の脅威のあらゆる脅威に対して 1つの対策で応じようとする戦略は、もはや不十分です。
サイバー犯罪者は、検出を回避するための新たな手法を常に繰り出してきます。そうした中、企業は、最新のテクノロジーを駆使してこの問題に対処し、単にエンドポイントの防護を固めるだけでなく、次の手を読み取る予測が不可欠です。
この点で弊社では、挙動監視、アプリケーションコントロール、機械学習型検索などの高度な対策技術を組み合わせたセキュリティ対策を提供します。挙動監視は、社内ネットワークの異常や不審な活動を検知できます。アプリケーションコントロール(ホワイトリスト)は、正規の動作、ファイル、プロセスだけを社内ネットワーク内のシステムで実行させることでセキュリティを管理します。さらに機械学習型検索は、社内ネットワーク内で確認されたファイルや動作が不正であるかどうかをより素早く正確に予測するため、人やコンピュータが提供した情報を組み合わせる数学的なアルゴリズムを使用します。
社内の資産やリソースを戦略的に配置することで、IT管理者は、どこで誰にアクセスが付与されたか等、情報フローを効果的に監視できます。そして社内ネットワークをセグメント化することで、攻撃がネットワーク全体に及ぶのを阻止する防御壁を設けることができます。
- 新たな手口への対策を怠らないこと
2016年はランサムウェアが猛威を振るい、新たな亜種やファミリが毎日にように確認されました。2017年は「急増期」から「安定期」に移行すると予測されていますが、それでも攻撃者は、さらなるプラットフォームを求め、被害者となる標的を拡大させるため、手口を多様化してくるでしょう。
「Business Email Compromise(ビジネスメール詐欺、BEC)」は、シンプルな手法で多大な利益を得られることから、2017年も引き続き増加すると予測されます。2016年、BEC による被害額は 1件につき平均14万米ドル(2017年 1月時点で約1,637万円)に及びました。こうした膨大な被害額が影響し、2017年も攻撃者は BEC を利用し続け、偽装送金等の被害が増加するでしょう。BEC への対策では、送金業務に際して複数の認証プロセスを設ける等、より厳格なポリシー施行が不可欠です。
2016年には、バングラデシュ中央銀行に 8,100万米ドル(2017年1月時点で約95億円)の損失をもたらした「Business Process Compromise(ビジネスプロセス侵害、BPC)」が発生しました。BPC を実行する場合、攻撃者は、標的の企業や組織に関して特に金融業務のビジネスプロセスへの深い理解が必要となります。こうしたビジネスプロセスを悪用し、不正な支払いや注文といった被害がもたらされます。BPC は、迅速に高額の金銭を取得することが可能であり、攻撃者が重宝する手口となるでしょう。BPC に関しては、業務上重要なシステムを保護するため、アプリケーションコントロール(ホワイトリスト)等の技術を駆使したセキュリティ対策が求められます。
- セキュリティ重視の文化を社内に醸成すること
社員は、企業にとって重要な資産であると同時に、セキュリティの面では最も脆弱な弱点にもなりかねません。2017年の新たな脅威に対して次世代のセキュリティ対策が求められる中、その 1つとして社員へのセキュリティ教育は、企業全体のセキュリティを強化する上で、これまで以上に重要な要素となります。
旧来の手口であるソーシャルエンジニアリングも、ユーザに安易なクリックを促し、攻撃者へ利益をもたらす手法として今日も健在です。弊社では、2016年も、企業や組織の不用意な受信者を狙ったスパムメール攻撃キャンペーンを確認しました。攻撃者は、さまざまなソーシャルエンジニアリングの手法を駆使し、不正な添付ファイルを開かせたり、不正なリンクをクリックさせてたりして、ランサムウェアの感染をもたらしました。そして BEC の手法も駆使し、企業の重要文書を偽装して未知の口座に数百万ドルを送金させたりしました。
これらの攻撃は、巧妙な偽装で社員が正規の Eメールと思い込まされ、結果的に不正活動に加担してしまうことが要因となっています。この点でも、正規のメッセージと偽装とを社員が正しく見分けられる情報共有等の対策を講じることが重要となります。
社内ネットワークを安全に保つため、社員には、セキュリティへの注意を喚起し、積極的な役割を意識してもらうことが重要です。何らかのミスや過失を犯したり、不審な点に気づいたりした場合は、直ちに ITセキュリティ部門に報告してもらうことです。これにより ITセキュリティ部門は、素早くセキュリティ侵害の痕跡を確認できます。そして、既知のソーシャルエンジニアリング攻撃を想定したセキュリティのトレーニングを社員向けに実施し、「サイバー犯罪へ共に立ち向かうパートナー」として責任を自覚してもらうことが重要です。こうした取り組みにより、企業は、2017年以降を視野に入れてセキュリティ対策を強化することができます。
参考記事:
翻訳:与那城 務(Core Technology Marketing, TrendLabs)