HOME > ソリューション > 入口対策だけでは守れない!標的型サイバー攻撃対策
入口対策だけでは守れない!標的型サイバー攻撃対策
昨年には多くの企業や組織において標的型攻撃の被害が報告され、大きな話題となりました。現在もその被害は収束しておらず、様々な企業が攻撃の被害を受けておりその被害が日々報告されています。
またそれら報告のあった企業だけではなく、不正アクセスの被害に遭ったことを公表していない企業、あるいは不正アクセスの被害を正確に把握できていない企業などが存在することも予想され、実際の被害が報告以上に広がっている可能性があります。
中小企業も例外ではなく、5月1日に2011年における世界のインターネットセキュリティに関するレポートを発表した米シマンテックによると、攻撃のうち約2割は従業員250人未満の企業が対象だったとのことです。更に、最終的なターゲットとして大企業を狙い、攻撃する際の足がかりとしてまず取引先の中小企業が狙われるケースもあります。
企業の保持する情報の重要性や企業規模に関わらず、攻撃を受ける危険性はどの企業もはらんでおり、まず攻撃に備えることが重要です。
2012年以降で報告のあった被害
| 某製造業 | 4月中旬にハッキングの痕跡を発見。同社の知的財産を狙ったものと考えられる。顧客データや従業員データ、およびプログラムのデータに被害はなかったと見ている。 |
|---|---|
| 某小売業 | クレジットカード情報を含む個人情報が流出した可能性がある。 |
| 某電子決裁サービス (米国) |
クレジットカードデータが不正アクセスを受けた形跡を確認。影響規模は不明。 |
標的型攻撃とは?
APT : Advanced Persistent Threat
独立行政法人情報処理推進機構(IPA)では、APTを「脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や個人をねらい、対応が難しく執拗な攻撃」と表現しています。すべてのAPT攻撃が高度な技術や複雑な攻撃手段を駆使するわけではなく、むしろ多くは既存の攻撃を組み合わせたものです。
従来型の攻撃は、不特定多数に攻撃を仕掛け、そこで隙が発覚したサイトや企業が攻撃対象となるものが主流でした。この場合脆弱性の放置などさえしなければ成功率自体は高いものではありませんでした。
一方、APTが従来の攻撃と大きく異なるのは、事前に定めたターゲットに対しての意図を持った攻撃にあります。ターゲットとなる企業の機密情報に目的を絞り、それを入手するための綿密な事前調査とそれに基づく攻撃手法が選択されることが大きな特徴です。
APTは特定の目的を持って対象を選定し、執拗に狙い撃ちすることで成功率を高めている攻撃と言えます。
標的型攻撃の特徴
- 機密情報を目的に行う
- 標的に特化した攻撃手法
- 成功するまで継続的に行われる
- ソーシャルエンジニアリングが多用される
標的型攻撃の流れ
- 従来型攻撃と同様に公開サーバへ攻撃を試みる
- ユーザーをだまして内部から攻撃を試みる
- 成功すると潜伏期間を設け、社内システムを調べる
- 欲しい情報を入手し正規通信に紛れ込ませて情報を送信する
従来型攻撃との違い
従来型攻撃
- 発見された脆弱性やバグへ有効な手法を利用して攻撃
- 攻撃手順を決めて対象を自動的に捜索するため、攻撃対象や成果は終了後に判明
| 攻撃手段にマッチする対象を探す |
標的型攻撃
- 予め対象を決め、弱点や入手できる情報を調査した上で攻撃
- 対象に合わせて攻撃を長期間継続するので成功率が高い
| 対象を先に決めてマッチする手段を探す |
従来型のセキュリティ対策は、攻撃者に侵入機会を与えないことを目的として入口対策が重点的に講じられてきました。
しかし、昨今の標的型攻撃では、脆弱性の悪用に限らず、ソーシャルエンジニアリングによるヒューマンエラーの誘発などを駆使して様々な手段で侵入を試みてきます。現在、これを完璧に防ぐ手段は、残念ながら存在しません。
入口と同時に出口対策を講じることで、入口を突破されても機密情報の外部送信や不正プログラムのダウンロードといった外部攻撃者との通信を出口で遮断することで、被害を防ぐことができます。
| 標的型攻撃対策には、入口・出口で 総合的な防御対策を講じることが重要です |
入口対策と出口対策の役割
入口対策として、ファイアウォールやウィルスゲートウェイの導入など、多くの対策が講じられ、多くの企業では比較的高いセキュリティレベルにあります。
これに対し、多くの企業では出口対策は十分な対策が講じられていません。機密情報の流出リスクと比較すると出口対策の投資対効果は高く、多くの企業で注目されています。
| 入口対策 | 出口対策 | |
|---|---|---|
| 役割 |
|
|
| 対策 |
|
|
多層による総合対策例
ネットワーク対策
| 役割 | 機器名 | 対策分類 | |
|---|---|---|---|
| IPS | 脆弱性やバグを利用した攻撃通信を検出/阻止 | TippingPoint | 入口対策 |
| アンチウィルスGW | 通信からウィルスを検出/除去 | Panda | 入口対策 |
| 入退室管理 | 不特定多数の入室を制限し、物理的な行動を制限 | ― | 入口対策 |
| FW | TCP/UDPレベルでの不要な通信を検出/阻止 | Check Point/SSG | 入口対策 |
| SSL-VPN | モバイル接続時の端末、ユーザー認証、通信の暗号化 | Juniper SA | 入口対策 |
| アンチスパム | スパムメールを検出/除去 | matrixscan | 入口対策 |
| 無線LANセキュリティ | 端末/ユーザーの認証、通信の暗号化 | Ruckus | 入口対策 |
| セキュリティパッチ | 端末接続時にセキュリティパッチの適用情報を確認 | Juniper UAC | 入口対策 |
| 端末管理 | 端末接続時にシステム情報を確認 | Juniper UAC | 入口対策 |
| FG(AP)FW | アプリケーション /ユーザーレベルでの通信制御 | Check Point | 出口対策 |
| WAF | Webアプリケーションに特化したFW | ― | 出口対策 |
| Proxy | Web通信の一元化とウィルス検知 / 除去と可視化 | BlueCoat | 出口対策 |
| パケットキャプチャ | データ保持と問題発生時の解析 | momentum | 出口対策 |
端末対策
| 役割 | 機器名 | 対策分類 | |
|---|---|---|---|
| ワンタイムパスワード | パスワード強度の強化と利便性の両立 | VASCO | 入口対策 |
| 認証サーバ | ユーザー情報等の一元管理 | Juniper SBR | 入口対策 |
| DHCPサーバ | MACアドレスによる端末認証 | Infoblox | 入口対策 |
| アンチウィルスソフト | ウィルスを検出/除去 | ― | 入口対策 |
| セキュリティパッチ | セキュリティパッチの適用状況管理 | ― | 出口対策 |
| 端末管理 | 端末のシステム情報/状況の管理 | ― | 出口対策 |
サーバ対策
| 役割 | 機器名 | 対策分類 | |
|---|---|---|---|
| DNSサーバ | キャッシュ情報の保護 | Infoblox | 入口対策 |
| アクセス権細分化 | 必要以上のリソースへのアクセスを制限 | ― | 入口対策 |
| ログ管理/保管 | 記録と問題発生時の解析 | ― | 出口対策 |
お問い合わせ
テリロジーは、ネットワークを中心に、目的・用途に応じた最適な標的型攻撃に対応したセキュリティ・ソリューションをご用意しております。
まずはお気軽にお問い合わせ下さい。