トレンドマイクロは、企業のネットワークを標的型攻撃から保護するために、さまざまな企業の IT管理者と協力してセキュリティ対策を行うことがよくあります。こうした協力体制のなかで、弊社は、IT管理者が標的型攻撃に対してある種の誤解を持っていることに気づきました。これは、おそらく企業全般にも言えることでしょう。本稿では、こうした誤解を取り上げ、「標的型サイバー攻撃」、「持続的標的型攻撃(Advanced Persistent Threats、APT)」としても知られる攻撃手法に対し、IT管理者はどのような対策を取るべきかを説明します。
■誤解1:標的型攻撃は一度の対策で十分である
標的型攻撃は一度の対策でよいと考える IT管理者がいます。つまり、一度検出して実行を阻止すれば、攻撃が終了すると考えます。しかし実際には、標的型攻撃は巧妙で持続的なものです。攻撃者はときに用意周到に計画を立て、標的としたネットワーク内の変化に十分に適応できるよう動的に動きます。攻撃者の企みを追跡しブロックすることが、標的型攻撃を排除することになるでしょう。もし不審な挙動があれば、検出されていない複数の不正活動があることを示すかもしれません。そのため、常時監視の必要性がますます高くなります。
■誤解2:すべての標的型攻撃に万能なセキュリティ対策がある
標的型攻撃に万能で効果的なセキュリティ対策に対する非常に高い要望があります。しかし標的型攻撃の本質を考えると、そうした完全なセキュリティ対策は存在しません。攻撃者は、標的にした企業の IT環境やセキュリティ対策をよく知るために、事前調査に膨大な時間を費やします。セキュリティ対策戦略の観点から、IT管理者はこうした攻撃者の心理に適応する必要があります。各組織のネットワークはそれぞれ異なります。つまり、ネットワークごとに別々の設定をしなければなりません。IT管理者は、ネットワークをよく理解し、その環境に応じて必要なセキュリティ対策を講じる必要があります。
■誤解3:攻撃されるほど重要な情報は持っていないと考えている
標的型攻撃に関する企業のもう 1つの大きな誤解は、企業のシステム内には重要な情報がないため、標的になりにくいと考えることです。残念ながら、その情報が重要かどうかは、その情報を手に入れたいと考える人に委ねられるかもしれません。例えば、企業の人事部は、過去の求職者の職歴に関する記録をさほど重要でないと考えているかもしれませんが、攻撃者はこれをソーシャルエンジニアリングの資料として利用する可能性があります。企業は、自社が持つ情報の重要性を特定し、それを十分に保護しなければなりません。
■誤解4:標的型攻撃には必ずゼロデイ脆弱性が利用される
ゼロデイ脆弱性が、企業や一般のユーザに大きな危険性を与えるのは言うまでもありません。しかし、過去に確認された標的型攻撃の解析に基づくと、より古い脆弱性がより頻繁に利用されています。標的型攻撃に関する弊社のブログ記事(英語記事)で、2013年下半期に最も利用された脆弱性は、2012年に確認され、同年に修正プログラムが提供された脆弱性であることを報告しました。こうした傾向は、ネットワーク内のすべてのシステムにセキュリティ更新プログラムを適用することの重要性を高めています。攻撃者がネットワーク全体を乗っ取るのに必要なものは、更新プログラムが適用されていない 1台の PC です。
■誤解5:標的型攻撃とは、不正プログラムの問題である
最後に説明する誤解は、かなり扱いにくいものです。なぜなら、部分的には真実だからです。IT管理者が懸念することのほとんどは、ネットワーク内に侵入する不正プログラムを回避するためのセキュリティ対策だと思われます。この懸念は間違いではありませんが、不正プログラムだけに集中することは問題の一部しか解決しません。標的型攻撃はエンドポイントだけでなく、IT環境全体に関係します。例えば、攻撃者が侵入したネットワーク内の情報探索のために利用するツールは、正規の管理ツールであることが多々あります。もし、不正プログラムを検出することだけに注力したセキュリティ対策であれば、こうした不正活動を検出することができません。IT管理者は、ネットワークのすべての局面を包括するセキュリティ対策を考える必要があります。
次回の記事では、IT管理者が自社に対する標的型攻撃の兆候に気づくための 7つのポイントについて解説します。
さまざまな標的型攻撃に関する詳細と対策の考え方については、以下の情報もご参照ください:
- 国内における標的型サイバー攻撃の分析
- トレンドマイクロが提唱する次世代型セキュリティ「Next Generation Threat Defense」
- 「鉄壁の守り」は存在しない!? 脅威の変化を捉える次世代型対策とは
- セキュリティマガジンTREND PARK:標的型攻撃 最新動向と対策
- Threat Intelligence Resources on Targeted Attacks(英語情報)
参考記事:
by Spencer Hsieh (Threat Researcher)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)