キヤノンMJ/サイバーセキュリティ情報局

マルウェア感染やDoS攻撃など、「セキュリティインシデント」について知る

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「セキュリティインシデントとは?頻発するサイバー攻撃へどう対処すべきか」を再編集したものです。

 DDoS攻撃やマルウェア攻撃をはじめ、最近ではランサムウェア攻撃や標的型攻撃など、サイバー攻撃に関連する言葉がさまざまなメディアで取り上げられる機会が増えている。この記事では、そうした事象を包括する「セキュリティインシデント」について、その代表例と発生時の対策について解説していく。

セキュリティインシデントとは

 ランサムウェア攻撃を筆頭に、サイバー攻撃の激化はとどまるところを知らず、被害も増大している。関連する報道がメディアで取り沙汰されることも増え、「セキュリティインシデント(Security Incident)」という言葉もしばしば耳にするようになった。

 「インシデント(Incident)」とは、和訳すると「出来事」や「事象」という意味だ。安全を重視する工事現場や工場などで「ヒヤリハット」という言葉が使われるが、人間の単純ミスや心理状況によって起きるミスだけでなく、故意や悪意による事象もインシデントに該当する。そして、セキュリティインシデントとは、コンピューターセキュリティに関連するインシデントであり、内部要因と外部要因によるものとに大別できる。

 例えば、内部要因のセキュリティインシデントとは、組織内部のユーザーの不注意、あるいは故意・悪意による情報漏えいなどが該当する。外部要因の代表例としては、マルウェア感染、サイバー攻撃によるサーバーダウンなどが挙げられる。

 一方で、マルウェアの侵入と標的型攻撃を組み合わせた攻撃による情報漏えいは、外部要因を主因としつつも、うっかりミスによるメール開封など内部要因とも関連することがある。つまり、内部要因と外部要因を明確に区別することは難しく、両者は密接に結びついているとも言える。こうしたインシデントの中でも、特に影響が大きなものは「重大インシデント」と呼ばれる。

代表的なセキュリティインシデント

 セキュリティインシデントには、さまざまな種類がある。以下にその代表的な例を挙げる。

・マルウェア感染

 マルウェアとは悪意のあるソフトウェアの総称であり、コンピューターウイルスやトロイの木馬ワームなどが含まれる。マルウェアがパソコンやスマートフォン(以下、スマホ)に感染すると、パソコンの情報を外部へ流出する、あるいは情報を暗号化して判読不能にするなど悪意ある行為に及ぶ。また、1台のコンピューターがマルウェアに感染するとネットワークを通じてほかのコンピューターにも感染を広げる恐れがある。

・DoS攻撃

 DoS攻撃(Denial of Service attack)は、外部のコンピューターからターゲットのコンピューター(サーバー)に対して大量のデータを送信することで、過剰な負荷をかけ、動作を遅くしたり、機能を停止させたりする攻撃である。DoS攻撃を発展させたものに、多くのコンピューターから一斉にDoS攻撃を行う、DDoS攻撃(Distributed Denial of Service attack)がある。

・(外部攻撃による)情報漏えい・改ざん

 情報漏えいとは、コンピューターに記録されている機密情報や個人情報などが外部へ流出することであり、外部からの不正アクセスやマルウェア感染が主な原因となる。情報改ざんとは、コンピューターに記録されている情報が不正に書き換えられることであり、情報漏えいとセットで被害を受けることが多い。例えば、Webサイトの情報が改ざんされることで、フィッシング詐欺を目的に偽のサイトへ誘導する、あるいは別のコンピューターを狙う攻撃プログラムを仕掛けられるといったように、被害が拡散することもある。

・迷惑メール

 迷惑メールとは、悪意を持って送られてくるメールであり、正規の発信者を騙るなりすましメールや、大量にメールを送りつけることで業務を妨害するメール爆弾などがある。なりすましメールは、フィッシングメールとも呼ばれ、本文中に不正なURLへ誘導する、あるいは不正なコードを仕込んだ文書ファイルを添付するなどして、マルウェア感染を目論むものがある。

・個人情報の持ち出し

 意図的に個人情報や機密情報を企業・組織から持ち出して、第三者へ譲渡する、あるいはメールの送信ミスで結果的に外部に漏えいしてしまう可能性がある。個人情報の重要性が高まる昨今、仮にこうした漏えいが起こってしまえば、信用毀損につながりかねない。

・記憶媒体の紛失や盗難に起因する情報漏えい

 パソコンやスマホ本体以外のUSBメモリーやSDカードなどの記憶媒体にデータを保管しているユーザーも少なくないはずだ。これらを紛失、あるいは盗難されてしまえば、保存されていた業務情報などが外部に漏えいする可能性がある。

・落雷や地震などによる設備の故障

  人為的なミスやサイバー攻撃だけでなく、落雷や地震などの天災によるコンピューターやネットワーク設備の故障も、セキュリティインシデントの1つである。BCP対策を策定する際には、こうした天災も当然ながら考慮する必要がある。

セキュリティインシデントの対策方法

 セキュリティインシデントへの対策は、恒常的な対策とインシデント発生時の対応に分けられる。

1)恒常的な対策

・会社の情報資産の把握

 内部要因の観点では、会社の情報資産を適切に把握しておくことが求められる。自社の業務ではどういった情報を取り扱っているのか、どういったソフトウェア、アプリを利用しているのか。また、部署ごとのパソコン台数やネットワーク機器など、ハードウェアの所在についても管理しておくことで、パソコンを紛失した際にも速やかに対処することが可能だ。

・従業員への教育

 従業員のITリテラシーを高めることも重要だ。ITリテラシーの向上は、内部要因、外部要因両方への対策となる。従業員一人ひとりが不審なメールの添付ファイルやURLは安易に開かないといった基本的なリテラシーを身に付けることで、セキュリティインシデントは確実に減らせる。そのためにも、定期的な従業員への教育が欠かせないのだ。

・SIEMなどのセキュリティソリューション導入

 セキュリティインシデント対策として、SIEM(Security Information and Event Management)の導入も有効だ。SIEMはセキュリティソリューションの1つで、さまざまなネットワーク機器や端末などから収集した動作状況の記録(ログ)を一元的に管理する。セキュリティの脅威となる事象をいち早く検知・分析し、情報漏えいなどの異常を自動で検出して、管理者へ迅速に通知する仕組みだ。SIEMは外部要因への対処だけでなく、従業員による情報の持ち出しといった内部不正の発見にも威力を発揮する。

・端末へのセキュリティソフト導入

 各端末に「ESET PROTECT Entry クラウド」のようなセキュリティソフトを導入することで、マルウェア感染やフィッシング詐欺などから端末を保護する。また、仮に不審なURLをクリックしてしまった際に、そのアクセス先が危険なWebサイトに該当する可能性がある場合、そのアクセスを遮断する。

・バックアップの取得、システムの冗長化

  重要な情報は定期的にバックアップを取得するようにしておけば、仮にランサムウェア攻撃を受けてデータを暗号化されたとしても、バックアップから回復することでデータ損失を最小限にとどめることができる。また、主要なシステムについては、二重化するなどして冗長性を持たせておけば、落雷などで機器が壊れた場合でも、すぐに復旧が可能だ。

・SOC設置など、組織内の体制整備

 SOCを設置するなど、組織内のセキュリティ体制を整備することも重要だ。SOCとは「Security Operation Center」の略称で、24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃の検出や分析を行う組織であり、外部要因に起因するセキュリティインシデントを迅速に検知可能だ。

2)インシデント発生時の対応

 恒常的な対策に加え、セキュリティインシデントが起きた際に、速やかに対応するための対策も重要である。

・CSIRTの設置

 CSIRTとは「Computer Security Incident Response Team」の略で、SOCと同じくセキュリティ対策として組織内に設置されるが、インシデント発生時の「対応」に重点を置いていることが特徴だ。CSIRTを設置することで、インシデント発生時に原因を速やかに解析し、被害を最小にとどめるための迅速な対応が可能となる。

・IT-BCPの策定

 あらかじめIT-BCPを策定しておくことも重要だ。IT-BCPとは、ITに関する事業継続計画であり、地震や台風などの外部要因によってシステムに緊急事態が生じた際に、システムの運営維持や早期復旧を目指すための計画である。

 CSIRTはインシデント発生時だけでなく、SOCと連携して恒常的にインシデント発生のリスクを最小化するための活動も行う。しかし、CSIRTのメンバーは、セキュリティに関する専門的な知識や経験を求められるため、中小企業ではすべてを自社で賄うのは難しいことも多い。

 近年はCSIRTをアウトソーシングで請け負う業者も増えており、CSIRTの業務の一部をアウトソーシングする企業も少なくない。社内に専門人材が不在という理由でCSIRTの設置、運用を断念していたのであれば、アウトソーシングを活用したCSIRTの設置も検討の余地があるだろう。ただし、組織内部の事情と密接に連携することが求められる業務でもあるため、すべてをアウトソーシングすることは現実的ではない点には注意が必要だ。

内部記事リンク: SOCとCSIRTは何が違う?インシデント対応で求められる組織構成とは?
https://eset-info.canon-its.jp/malware_info/special/detail/210728.html

被害の最小化を目指すインシデントレスポンス

 多様化、高度化するセキュリティインシデントを未然に、完全に回避することは現実的ではなくなっている。何かしらのインシデントはいずれ発生するものという前提で、そうした被害の最小化を目指す「インシデントレスポンス」という考え方が浸透しつつある。

 インシデントレスポンスとはその直訳が示すように、インシデント発生時の事後対応のことで、インシデント発生時に影響範囲を迅速に特定し、関連する被害の最小化を目指す。また、インシデントへの対処完了後に、以降のインシデント発生を抑制するための対策を講じることも重要な役割だ。

 先述のCSIRTはまさに、インシデントレスポンスの考え方に基づく組織だと言える。外部からの攻撃に注目しがちだが、セキュリティインシデントは内部犯行が関係しているものも少なくない。企業・組織において、インシデントとは常に隣合わせという認識のもと、適切な対策を講じることが求められている。

内部記事リンク:インシデント発生を前提とした「インシデントレスポンス」とは?
https://eset-info.canon-its.jp/malware_info/special/detail/200514.html