1月26日、トレンドマイクロは「持続的標的型攻撃」に関する記者説明会を開催。同攻撃の状況、そして被害を防ぐための方法が入口対策、出口対策、攻撃の可視化の3つの観点から紹介された。
「持続的標的型攻撃」は機密情報を目的に成功するまで執拗に行なわれる
登壇したトレンドマイクロ リージョナルトレンドラボ課長の原良輔氏の解説によると、“持続的”な標的型攻撃とは、「特定の組織に不正に侵入し、時間、手段、手法を問わず目的達成に向けて、その標的に特化して継続的に行なわれる一連の攻撃」とのこと。一般的には、単に「標的型攻撃(APT:Advanced Persistent Threat)」と呼ばれるが、さまざまな企業が被害を受け情報漏えいが生じているのは、成功するまで攻撃を続ける“持続的”な点も大きな脅威というわけだ。
そして、持続的標的型攻撃における攻撃手法は、公開サーバーに存在するぜい弱性を利用し、ターゲットのネットワークに外部から侵入する手法と、標的内部のユーザーにマルウェア付きのメールを送信して内側から侵入口を開く手法に分けられる。
会場で行なわれた持続的標的型攻撃のデモ。ビジネスメールと思ってWordファイルに偽装された実行ファイルをダブルクリックすると気がつかぬ間に感染。そのあと後にファイルサーバーにアクセスすると、ID/パスワードが盗まれ、情報漏えいにつながってしまう
トレンドマイクロの調査によると、メールによる攻撃手法で使われる添付ファイルは、約70%がぜい弱性を利用する文書ファイル(pdf、doc、xlsなど)で、約30%が実行ファイルだったという。
メールによる攻撃の大半は、ぜい弱性を利用する文書ファイルだ
逆に見ると、文書を開くアプリケーションに修正プログラムを適用し、本来行なうことの少ない実行ファイルが添付されたメールを遮断することで、侵入を防ぐ「入口対策」が行なえるという。また、原氏に続いて登壇した同社セキュリティエバンジェリストの染谷征良氏によると、メールの送信元を特定し、スパムの多いメールサーバーからの接続を遮断する「E-mailレピュテーション」、DKIMやSPFなどの送信者認証も有効だと説明した。
染谷氏は続いて、感染端末が外部の攻撃者と通信するのを防ぐ「出口対策」についても紹介した。
まず、感染端末が外部との通信に使うプロトコルは、TCP上の独自プロトコルが31.7%で、残りはHTTPとHTTPSだという。ポートでみると、58.2%が80番(HTTP用)、30.0%が443(HTTPS用)だ。
外部との通信には一般に使われるWeb関連のプロトコルを利用する
そのため出口対策としては、プロキシを使ったHTTP/HTTPS通信の制御、ファイアウォールによる標準でない経路やプロトコルを使う通信のブロック、事前に収集した情報を元に危険なWebサイトへの通信を遮断する「Webレピュテーション」やDLP(Data Loss Prevention)などによる通信が有効だとした。
もう1つ重要なのが「攻撃の可視化」だという。不正プログラムの感染状況が把握できていない企業に、企業ネットワーク内の脅威を可視化する「Threat Management Solution」を設置したところ、30社中16社で感染が明らかになったという。早期に発見すれば早期に対処が可能となり、情報の漏えいをサーバーやゲートウェイで防止することが可能となるわけだ。
持続的標的型攻撃は、成功するまで“あきらめない”攻撃だ。そのため対策に「特効薬」はなく、侵入の防止に加えて、出口対策や攻撃の可視化などの多重的な対策が必要となってくる。こうした対策の支援としてトレンドマイクロでは、25の設問に「はい」、「いいえ」で回答することで、セキュリティ上の課題と取り組むべきポイントを明らかにする「セキュリティアセスメントツール」の提供を始めているという。無料で利用できるため、まずはここから始めるのも手だろう。
