いずれも狙われたのは管理用のローカルアクセス権限

標的型攻撃による大規模な情報漏えい事故として記憶に新しいのが、2015年の日本年金機構、そして2016年のi.JTBのケースだ。この2つの不正アクセス事件は、規模や話題性、社会的影響力がいずれも大きく頻繁に取り上げられるが、共通するのはそこだけではない。

ソフトバンク・テクノロジーのシニアセキュリティリサーチャー兼シニアセキュリティエバンジェリスト、辻伸弘氏はこう指摘する。「攻撃の手口、そして攻撃を受けた側の組織体制や対処時の行動などにも共通項が多いと言えます。大きなくくりで言えば『脅威のかたち』と『人のかたち』が類似しているのです。そしてこの類似性には、標的型攻撃対策に取り組むすべての組織が抑えるべきポイントが隠されています」

辻氏の言う「脅威のかたち」の共通性の一例となるのが、攻撃者に乗っ取られ、悪用されたネットワーク権限の種類である。いずれも狙われたのは、一般的に攻撃者が搾取を試みがちなWindowsのActive Directoryドメインのアカウントではなく、管理用のローカルアクセス権限だったのだ。そのため、ここへの侵入をきっかけとして、他のネットワークへも次々と侵入することが可能となってしまったのである。

「ローカル管理者権限が同一である点を攻撃側が悪用しているのは、日本年金機構のケースもi.JTBのケースも同じです。標的型攻撃はマルウェアに感染させて終わりではなく、むしろ中に侵入してからが本番です。その後どんどん侵入する範囲を広げていき、最終的に盗みたい情報にたどり着くのが目的ですので、内部に侵入されてからの対策にもっとフォーカスすべきなのです」と、辻氏は警鐘を鳴らす。

また辻氏は、セキュリティ製品を導入してしまえば良しとしがちな昨今の情報セキュリティの風潮にも苦言を呈する。「セキュリティ製品というのはサプリメント、つまり健康補助食品のようなものに過ぎないということを忘れてはなりません。あくまで日頃の健康的な食事や運動、生活習慣などが基本にあるのが大前提で、それを補うべきものなんです。そのため、セキュリティ製品を導入すればそれで安心ということは決してありません。基本的な対策をすべて抑えたうえで、さらにセキュリティ製品で補うという発想であるべきです。またそうすることで、セキュリティ製品の本来の効果を最大限にまで高めることができるでしょう」

情報は持っていても、活かされなかった

次に、「人のかたち」の切り口で見ると、日本年金機構とi.JTBへの標的型攻撃それぞれのケースに共通しているのが、情報の共有と活用不足である。例えば日本年金機構の場合、標的型攻撃の最初のメールが送られたのは2015年5月初旬だったが、実はその前月にも厚生労働省に同様のメールが送られていた。日本年金機構もその情報を受け取っており、C&Cサーバーのドメインをブロックするなどの対策まで施していたのだった。しかし、その後の日本年金機構への標的型攻撃で使われたC&Cサーバーは、ドメインは同じだったもののサブドメインが違っていた。日本年金機構では、サブドメインまでを含めたアドレスでブロックしていなかったことから、結局攻撃を防ぐことができなかったのである。

ソフトバンク・テクノロジー シニアセキュリティリサーチャー兼シニアセキュリティエバンジェリスト 辻伸弘氏

「せっかく有効な情報を持っていたのに、うまく活用できなければ役に立たないということがよくわかる例です」と辻氏は言う。

さらに日本年金機構では、被害を受ける以前にも不審なメールが送られてきても開かないよう日頃から注意喚起していたものの、具体的にどのようなメールが危険かという情報は示されていなかった。

「注意喚起はしていても、注意すべき内容まできちんと伝わっていなければ、意味をなさないことがよくわかります」(辻氏)

一方i.JTBのケースでは、攻撃が発覚する以前より不審な通信についてセキュリティ業者から通告があったものの、そうした情報が活かされていなかった。そのため被害を防ぐことができなかったとされている。

11月22日(火)に開催される「標的型攻撃対策セミナー」での辻氏の基調講演「脅威のかたち、人のかたち ~現実対虚構~」では、i.JTBに対し事前にどのような通告があり、企業側がどのように対応したか、またどう対応すべきであったのかなどについて、辻氏の視点から詳細な解説が行われる予定だ。

この他にも、両事件で、攻撃者はどこを対象にどのような内容のメールをどうやって送りつけ、いかに侵入先を広げていったかなどの「脅威のかたち」について解説を行う。加えて、日本年金機構とi.JTBでは日頃からどういった情報セキュリティ体制を整えており、具体的にどう対処を誤った結果、被害が拡大してしまったのかなど「人のかたち」について、具体的な情報が明かされる。

「みなさんが怖がっていたり、メディアが騒いでいたりする脅威には虚構も多いことを知っておいてください。果たしてその脅威は現実なのかどうかをしっかり見極め、現実の脅威と戦うためにはどうすればいいのか── セキュリティ製品を導入する以前に抑えるべきポイントを過去の標的型攻撃のケースからお伝えしたいと思っています。ぜひ足を運んでいただき、『脅威のかたち』と『人のかたち』について正しく情報共有しましょう」と辻氏は熱く呼びかけた。

(マイナビニュース広告企画:提供 アズジェント、キヤノンITソリューションズ、BlackBerry Japan、チェンジ、Vormetric)

[PR]提供: