最新サイバー攻撃の動向と変化
2017年10月17日から2日間に渡って開催された「Canon Security Days 2017」では、最新のサイバー攻撃にどう対応すべきなのか、その実態と対策についてさまざまな講演が行われた。2日目には、キヤノンITソリューションズ マルウェアラボ マネージャー シニアセキュリティリサーチャーの石川堤一氏が登壇し「最新のサイバー攻撃から対峙すべきセキュリティ対策 ~最新動向から実攻撃を知り、適切な対策を推進するには~」と題した講演を行った。
キヤノンITソリューションズ マルウェアラボ マネージャー シニアセキュリティリサーチャー 石川堤一氏 |
セキュリティ製品「ESET」を扱うキヤノンITソリューションズでは、最新のセキュリティ情報を発信するWebサイト「マルウェア情報局」を立ち上げている。今回、石川氏はその業務の中から見えてきた情報を含めて、2017年上半期までに発生したサイバー攻撃について解説した。
日々、いくつもの新しいマルウェアやランサムウェアが発生している。その中でも「ばらまき型」のメール攻撃が全体の約90%を占めているという。このことから、メール攻撃の最近の傾向について石川氏は語った。
「攻撃者の主な目的は『情報を流出させること』と『ランサムウェアに感染させること』の2つ。きっと、ほとんどの人が攻撃メールを受け取っているはずです。そのため各企業では、ウィルスつきメールに対して運用ルールを変えるなどの取り組みが行われているでしょう」と石川氏が指摘するように、攻撃を受けること自体は珍しくなく、ある程度対策が進んでいるのが現状だ。しかし、攻撃者側もその対策を受けて手法を進化させている。
「普段業務で使っているファイル形式が攻撃にも利用されている傾向があります。大量のウィルスつきメールを受け取った後、この形式の添付ファイルは受け取らないようにしようという対策はよく聞きます。これは間違っていません。ただし、今は業務利用されるファイル形式にも気をつけていかなければいけない状態にあります」と石川氏は、実行形式のファイルだけを警戒するのでは不足であることを語った。
具体的な攻撃として、石川氏はExcel、WordといったOfficeドキュメントファイルやPDFファイルを利用して感染させる手法についてそれぞれ解説。日本語で書かれた日本人をターゲットとしたメール攻撃が多くなっていること、感染するタイミングやエンドユーザーが注意すべきポイントなどを語った。
企業がとるべき対策としては、特に今年続出した「Ursnif」の感染フローの詳細を紹介した上で「メール受信時の添付検査および開封後のダウンロードアクションの監視」「外部からダウンロードされるファイルの監視」「外部へ通信するアップロードデータの監視」「メモリ上のプロセス監視」という4つのポイントを指摘。
「まずゲートウェイとエンドポイントで必要な対策がとられているかどうかを整理して行く必要があります」と語る。