2014年6月10日

【イベント見学コラム】いまさら聞けない「標的型攻撃」を勉強してきました -続編-

第11回情報セキュリティEXPO春

開催日時:2014年5月14日~5月16日

開催場所:東京ビックサイト

例年この時期東京ビッグサイトで開催される情報セキュリティの総合展示会「情報セキュリティEXPO春」、本イベントに参加して感じたことをまとめた本編を5月30日に公開しましたが、今回はその続編(【標的型攻撃】寓話:ある平凡な職人の日記~被害者か加害者か)をお届けします。

【標的型攻撃】 寓話:ある平凡な職人の日記~被害者か加害者か- イベントレポート続編 -

さて続編。セキュリティEXPOで標的型攻撃の話をいろいろ聞くうちに、アタマの中は妄想の世界へ。城壁で囲まれた古(いにしえ)の都市国家。自分は家具職人として、仕入れた材料で家具を作り馬車で商品を届ける日々を送っていました。

■ 5月23日の日記 「長く続く平和な日々」

この国には強力な外敵を防ぐために築かれた巨大な城壁がある。屈強な専門部隊が門番として24時間体制で詰めている。

時折、城壁の外から侵入を試みるヤツもいるらしいことごとく阻止、城壁の中には平和な町の暮らしがある。そうそう平和といえば、一時猛威を振るった疫病への対応にも慣れ、感染も局所的に抑えられているのもありがたいことだ。

● 薄らぐ警戒心:

「情報セキュリティはIT部門の専門家がやっているので自分たちは安心している。」
 ⇒セキュリティは専門家がやっている(ので、自分たちはあまり関係ない)...ホント?

「うちの会社が狙われるかな?それに自分もそんな重要情報を扱うセクションじゃないし。」
 ⇒標的型攻撃は官庁や大企業が狙われる(ので当社は、なにより自分は関係がない)...ホント?

■ 6月22日 「家具業組合会合の案内状」

そんなある日、仕事仲間の組合から手紙が送られてきた。さっそく開けてみると会合の案内。毎月のことだが今月は開催が少し早めな気がする。

開封した時、案内状のほかに何かがポトリと部屋の床に落ちたような気がしたが、気のせいか。

●気になる行動:

相手や表題で無条件に開封するメールが相当ある。「だけど、怪しいメールは当然警戒しているよ」
 ⇒いまどき、いかにも警戒心を喚呼び起こすようなメールは時代遅れです。

メールの内容ややりとりに多少の違和感があっても放置しておく。「そんなこと言ったって、どれだけメールが来ると思っているんだ?」
 ⇒おっしゃる通り。なので、通常の一般的なやり取りほど警戒レベルが下がるのです。

■ 6月23日 「誰かがどこかに忍び込んだ」

西の門でちょっとした騒ぎがあった。内部からの手引きで賊が侵入したらしい。どこかに潜んでいるのか鳴りを潜めているようだ。

内通者も早く見つけてこんなことが起こらないようにしてほしいもんだ。

●マルウェアの活動:

感染したマルウェアがバックドア(裏口)を作りハッカーとの通信路を確保する。
ハッキングのツールキットや強力なマルウェアが送り込まれ、PCは所有者が気づかないうちに乗っ取られ遠隔操作される。

 ⇒かつてのように、PCに異常動作やデータを消すようなハデなまねはしません。それはハッカーの「真の目的」遂行の妨げになるからです。

■ 7月11日 「いつもと変わらない日常」

午前中に仕上げを済ませ、出来上がった商品を住民やお屋敷に配達する。時折宮殿にも行き緊張するが、組合の鑑札を持っているので大丈夫だ。ここでは必要最小限の場所にしか入れないルールだが、こっそり別の部屋ものぞいてみるのは面白い。見つかればお咎めものだが、そこはうまくやっている。

最近、朝になると使ってもいない馬車の車輪が汚れていたり、停めていた場所が少し変わっているような気がするが・・・気のせいか。

●PCの状況:

感染しても何か大きな変化があるわけではなく日常の業務はそのまま行える。
マルウェアは、PCの業務を妨げることなく通常通り業務をさせておき、裏では社員の重要情報やネットワークへのアクセスを密かに記録(ロギング)しハッカーに送る。

 ⇒情報機器を外出先で落とせば、内部が危険にさらされる重大な「セキュリティ事故」ですが、ハッカーにPCを貸すのはそれ以上の重大事ですね。

■ 7月14日 「大事件、そして・・・」

たいへんだ!昨夜王様の宮殿から大事な宝物が盗まれたらしい。なんと大胆な犯行だ。

ところが翌朝、オレは突然踏み込んできた憲兵に連行され厳しく訊問を受けることに。なんでも、私の馬車のワダチが王宮の通用口に残されていたそうなのだが、なぜ? オレは何も知らない!

●巧妙な手口:

キーロガー(キー操作を記録)などで採取した重要情報へのID/パスワードを利用する。
社員のPCを踏み台にして重要情報を盗み出す。見かけ上、内部の人間の不正アクセス。

 ⇒このとき、あたかもハッカーがあなたの席に座って「仕事」をしているかのようです。
 

■ 8月7日 「他国への波及。深刻な事態に」

事件はそれだけでは終わらなかった。宝物と一緒に盗み出されたものの中に、なんと同盟国の機密情報も含まれていたようだ。それが敵国にわたり同盟国に甚大な被害が出たらしい。

これは最初から敵国が仕組んだことなのか?いずれにせよ、これで自分の死刑は免れない。でもオレに何の罪もない! 罪はない・・・罪はない・・・はずだが。

●結果・被害:

内部ネットワークでPCを遠隔操作できればハッカーは様々なことができます。
 ⇒同じ部屋の中にいる敵に強力な武器を与えますか。しかも相手の方が使い方に慣れています。

被害はネットワークや取引のつながりから拡大する場合がある。親会社や取引先も深刻な被害が。
 ⇒ハッカーが求める情報への道筋にあなたがいれば、あなたは標的として十分な資格を持ちます。

eメールは外部ネットワークへ開いた窓で、この窓は大企業ならずともたくさんあって、しかも毎日数えきれないほどのメールが飛び込んできます。標的型メールは「まともなメール」を装いますので、100%入口でこれを阻止することは至極困難。

「啓蒙も防衛も完備しているので、こういった感染ファイルを開く確率は100万分の1だ」という場合でも、100人の会社で一人一日100通のメールを受けていれば計算上3月に一度は、こういうマルウェアが侵入していることになりますね。かなりの企業にはすでに標的型の脅威が潜伏あるいは活動している状況なのではないでしょうか?

 【イベント見学コラム】いまさら聞けない「標的型攻撃」を勉強してきました -本編- はこちら

関連ソリューション・関連商品

導入事例、イベント・セミナーについてもあわせてご覧ください。このページに関しては、こちらからからお問い合わせください。

※当サイトに記載された社名および商品名などは、それぞれ各社の商標または登録商標です。