5月11~13日、「情報セキュリティEXPO 春」が東京ビッグサイトにて開催された。5月11日に行われたセミナーでは、インターネットイニシアティブ サービスオペレーション本部 セキュリティ情報統括室 シニアエンジニア 根岸征史氏が登壇。「国内外における最新のサイバー攻撃の実態とその動向」と題し、最近のサイバー攻撃から気になる動向や、今後対応するうえで注力すべきポイントについて言及した。

ランサムウェア対策ではバックアップが重要

「一般的に、情報セキュリティ対策では”敵を知る”ことが大切だと言われています。つまり、誰が、どんな目的で、どんな攻撃をしてくるかを知ることです。ただし、通常の企業の対策において最も重要なのは、これらのうち『どんな攻撃をしてくるか』だということをぜひ知っておいていただきたいと思います」──セッション冒頭、根岸氏はこう訴えた。

インターネットイニシアティブ サービスオペレーション本部 セキュリティ情報統括室 シニアエンジニア 根岸征史氏

インターネットイニシアティブ サービスオペレーション本部 セキュリティ情報統括室 シニアエンジニア 根岸征史氏

内部犯行を除き、いま備えるべき攻撃として根岸氏が挙げたのは以下の5つの項目である。

1. DDoS攻撃
2. 標的型攻撃
3. ランサムウェア
4. 不正送金ウイルス
5. Webサイトへの不正アクセス

講演では、このうち1のDDoS攻撃と2の標的型攻撃について掘り下げて解説が行われた。

米国の大手通信事業者ベライゾンが発表したレポートによると、調査対象となった64,199件のインシデントのうち、17%の原因は何らかのエラーだったという。また、2,260件のデータ侵害のうち40%は、Webアプリへの攻撃だった。

「これはつまり、情報を漏らす側が漏らすべくして漏らしてしまったということです。『まずは基本的な対策を徹底せよ』というのは、セキュリティの世界で10年ぐらい前から言われています。それができて初めて、高度な対策が意味を成すということを再確認することが必要です」と根岸氏は強調した。

また、最近特に注目を浴びている脅威としてランサムウェアが挙げられる。ランサムウェアは、対象システムに侵入し、重要なファイルやデバイスを暗号化、もしくはロックして身代金(Ransom)を請求する悪質なマルウェアだ。これについて根岸氏は、「金銭を狙った攻撃者の多くが、不正送金ウイルスからランサムウェアの利用に移行している傾向が見受けられます」と説明する。

ランサムウェア対策は、基本的なマルウェア対策と同様だが、感染してしまった後の対応が異なる。ランサムウェアに感染した場合、仮に身代金を支払ったとしても暗号化やロックが解除される保証はない。そのため、何より重要なのは、日頃からきちんとバックアップを行うことなのだ。

根岸氏は、「大きな組織ではセキュリティ対策とは関係なく行っているでしょうが、少し規模が小さな組織ではどうでしょうか」と会場に問いかけた。

国家を背景としたサイバー攻撃、その目的とは?

続いて根岸氏は、近年増えつつある「国家を背景としたサイバー攻撃」について説明した。サイバー空間における国家の活動には国や地域ごとに違いが見受けられ、中東やアジア地域では自国を対象に、中国やロシア、北朝鮮などでは自国と他国に対して体制維持や情報統制、検閲、諜報を目的とした活動を行う傾向にあるという。一方、米国やイギリスの場合は、自国・他国を問わず、監視や諜報目的の活動が目立つ。

国家を背景としたサイバー攻撃の事例には、「リーガルマルウェア」や「国家による諜報、破壊活動」、「情報機関による監視活動」などが挙げられる。

これらのうち、リーガルマルウェアとは、犯罪捜査や国内の監視など合法的な活動で利用されるマルウェアのことで、その多くは一般的なマルウェアの機能に加えて高度な管理機能を備えている。

「リーガルマルウェアは、世界的にその是非が議論されている最中です。日本国内では今のところ違法ですが、この先使われるようになる可能性がゼロだとは言えません」と根岸氏はコメントした。

また「国家による諜報、破壊活動」として代表的なのが、米国ソニー・ピクチャーズ・エンタテインメントやフランスのテレビ局「TV5MONDE」へのハッキング事件などである。こうした組織的な関与をうかがわせるサイバー攻撃は増加の傾向にあるが、その攻撃者情報に触れるうえでは他者が攻撃したように見せかける”FalseFlag”に注意するよう根岸氏は呼びかける。

「誰が攻撃しているのかをあまり気にし過ぎると、少なくとも現場レベルでは逆に対応がブレてしまうおそれもあります」(根岸氏)

DDoS攻撃後の脅迫に応じてはダメ!

DDoS攻撃にはさまざまな手法が登場しているが、根岸氏は最近よく使われている手法として、DDoS攻撃機能を有するマルウェアやボットネット、DDoS攻撃代行サイトなどを挙げた。

それらの攻撃目的としては、攻撃と並行して金銭を要求する「脅迫」と、争いごとや主義主張に基づく「仕返し」、そして別の攻撃を隠蔽するための「おとり」が挙げられる。これらのうち脅迫を目的としている場合、まず数Gbpsから数十Gbps程度の短時間のDDoS攻撃が行われ、その後、攻撃者から脅迫メールが届くというステップを踏むことが多い。

「脅迫に応じてはダメです!」と根岸氏は強調する。「ビットコインによる支払いなどを要求されるでしょうが、ほとんどはブラフです。それに脅迫に応じたところで、その後の攻撃がなくなる保証はありません。むしろ、逆に格好の”カモ”として情報が伝わり、さらに別のグループから攻撃されるおそれもあります」(根岸)というわけだ。

昨今のDDoS攻撃の傾向として、平均的な攻撃規模や攻撃の継続時間は減少する傾向にあるものの、攻撃回数は増えているという。攻撃手段が多様化し、攻撃が容易になっているのだ。

こうした状況のなか、DDoS攻撃への対策として根岸氏は「まずは自社が抱えるリスクの分析が必要です。次に、取引のあるサービス事業者やデータセンター、ISPなどが、いざというとき何をやってくれるのかをあらかじめ確認し、連携できる体制を整えておくとよいでしょう」と説く。そのうえで、DDoS対策装置/サービスの導入検討を行い、事業継続の道筋を整え、ユーザーへの告知手段を考えるステップへと進めていくわけだ。

根岸氏は、「サイバー攻撃にはさまざまな種類がありますが、事後対応のためには事前準備が不可欠だということをくれぐれも忘れないようにしてください。自社のWebサイトにどんなリスクがあるのかをしっかり見つめ直すとともに、必要に応じて外部の力も使い、効率の良い対応を心がけてほしいと思います」と会場に呼びかけ、セッションの幕を閉じた。