IPAは、コンピュータウィルスや不正プログラムの状況分析から毎月、「今月の呼びかけ」を発表している。今月は、2011年に特に注目された「標的型攻撃」と「インターネットサービスの不正利用」の2つについて、再度振り返り、対策について解説している。

急増する標的型攻撃

特定の個人や組織を狙う標的型攻撃であるが、経済産業省が実施したアンケート調査によれば、2007年には5.4%だったものが、2011年には33%と急増している。その背景について、IPAでは、動機の変化を挙げている。

従来の「いたずら」や「能力の誇示」ではなく、「金銭目的」「組織活動の妨害」に変化している点である。悪意を持った攻撃者は初めから組織内の金銭的価値のある情報(機密情報・個人情報など)を狙い、最終的に金銭化する。このような形で、情報の流出が発生すると、間違いなく悪用される危険性が高く、大きな被害が発生する可能性があるとのことだ。さらに、手口の巧妙化もこの数年の大きな特徴と指摘する。

図1 近年のサイバー攻撃の特徴(今月の呼びかけより)

実際に行われる標的型攻撃では、攻撃対象ごとに作成したウイルスメールを送る「標的型攻撃メール」が使われる。これまでのウイルスメールは、無作為に送信されることが多かった。しかし、標的型攻撃では、関係者や知人を装うなどし、さらに添付されるウイルスもセキュリティ対策ソフトでは、検知されにくいものが使われる。これらの標的型攻撃メールへの対策として、IPAは、第一に

  • 脆弱性の解消

を挙げる。これは、添付されるウイルスの多くが、脆弱性を悪用しているからだ。IPAが公開する「MyJVNバージョンチェッカ」を使い、OSやアプリケーションをつねに最新の状態にしておくことである。また、セキュリティ対策ソフトの導入も不可欠である。次の対策は、

  • 不審なメールへの注意と組織内で周知徹底

である。攻撃者がいかに巧みに偽装しても、違和感に気がつくことも少なくない。標的型攻撃のメールを見抜くことも重要な防御策となる。詳細はこちらを参照してほしい。標的型攻撃のメールは、組織単位に送信されることも多い。そこで、受信した場合には、組織としての対応方法やルールの策定も必要とのことだ。経営層、システム管理部門、システム管理者には、JPCERT/CCの「ITセキュリティ予防接種」の実施結果などを参考にしてほしいとのことだ。また、標的型攻撃が確認された場合には、IPAの特別相談窓口にぜひ、情報提供をしてほしいとしている。攻撃情報を分析・共有し、予防や対策に役立てるそうである。

大きな被害となりやすいインターネットサービスの不正利用

まずは、2011年には多くの不正利用事件が報告された。特徴的なのは、被害の規模が大きい点である。IPAでは、情報が漏えいしたか否かが不明である不正アクセスの被害も含めると、その件数はさらに多くなるとする。その原因であるが、次の3つを挙げている。

  • メールの添付ファイルやUSBメモリを介してウイルスに感染
  • Webサイトの閲覧を介してウイルスに感染
  • フィッシング詐欺

これらにより、IDとパスワードを窃取されたのである。さらに被害が拡大する原因として、パスワードの使い回しを指摘する。1つのパスワードをいくつものサービスで利用するといったことだ。1つのIDとパスワードが漏えいしただけで、連鎖的に不正利用が発生し、被害の拡大を招く危険性がある。

図2 IDとパスワードを使い回す危険性(今月の呼びかけより)

さて、対策はいかにすべきか?IDとパスワードの適切な管理を行うことだ。

・パスワードの強化…使用できる文字種(大小英文字、数字、記号)すべてを組み合わせ、8文字以上のパスワードとする。辞書に載っているような単語や人名を避ける。
・パスワードを適切に保管…IDとパスワードを紙などにメモする場合は、それぞれを別の紙にメモするなどして保管する。
・パスワードの適切な利用…自分が管理していないPC(たとえば、ネットカフェなどの不特定多数が利用するPC)では、インターネットサービスにログインしない。

あたりまえのようなことだが、実際には順守されていないことが多い。改めて、確認したい。また、これ以外の対策として、

・OSやプログラムの最新化とウイルス対策の利用 ・ログインアラート機能の利用

といったことも併用することで、より安全性を高めることができる。こちらも、検討すべきであろう。

2012年の展望

最後に過去ではなく、未来(2012年)を展望している。一言で表すと『企業は情報が狙われ、個人は金銭が狙われる』傾向がより強まるとのことだ。特に金銭が絡むサービスは、あまねく脅威にさらされると予想する。また、あらゆる業種の企業が標的型攻撃の対象となると予想する。

  1. ある企業の秘密情報の入手を企てる者が、その社員のSNSのページから友人を割り出す
  2. その友人のPCを標的に攻撃してウイルス感染させる
  3. 最終的に目的の企業の秘密情報を入手する

こうしたシナリオは以前からあるものだ。しかし、昨今のSNS利用の広がりにより、第三者が他人の交友関係を把握することが容易になっており、「踏み台」として悪用されることが想定される。そして、今まで狙われなかった無料サービスが狙われる可能性を指摘する。これは、パスワードを使い回すユーザーを狙っているからだ。もし、有料サービスでも同じIDとパスワードを使い回していた場合、結果的に金銭的被害に遭う可能性が高まる。有料・無料に関係なく安易なパスワードは避け、さらにパスワードは使い回さないようにすべきと警告している。