ここから本文です

紙とペンで見つけていくセキュリティ対策の落とし穴

ITmedia エンタープライズ 8月2日(火)10時46分配信

 標的型攻撃対策に限らず、サイバー攻撃全般に言えるが、セキュリティソリューションを一つ導入すれば万全ということはない。セキュリティは、1つの防御策を突破されても次の攻撃ステップでチェーンを断ち切るという「多層防御」の考え方が必要だ。前回取り上げた「サイバーキルチェーン」と併せて、今回もセキュリティの本質について考えていきたい。

【その他の画像】

●“セキュリティの迷子”にならないために

 サイバーキルチェーンを理解できたなら、いよいよセキュリティの実践と行きたいところだが、多くの担当者はここで“セキュリティの迷子”になってしまう。Webセキュリティの世界に限っても広く、深く、そして何層にも重なり合っている。そのため、かなりの経験者でない限り、「何から手をつけて良いか分からない」という状況に陥りがちだ。対策の全体像を把握しないままソリューションを導入しても、抜け、漏ればかりのザルのような防御になってしまい、本来の目的を達成することは難しい。そこで、”セキュリティの迷子”にならないよう、現場では以下のような表が用いられている。

 これは多層防御を「見える化」するテンプレートの一例だ。必ずしも全ての欄を記入する必要はないが、多く埋まっているほど安全性は高まる。とはいえ、表に何を記入すべきか、迷ってしまう方もいるかもしれない。そこで、本稿では「ある企業が標的型メール攻撃を受け、個人情報が流出した」というケースを想定し、テンプレートの利用法を解説する。



●標的型メール攻撃の典型例

 本ケースではサイバー攻撃から情報流出まで、以下の時系列で発生したとする。

 まずは「デリバリ」だ。標的型攻撃メールは、日常的にやり取りするメールを装って送信されることが多い。攻撃者は予め標的を入念に「偵察」している場合もあり、送信元や文面を実在する取引先であるかのように偽装するケースも少なくない。

 今回の例では、PDFに偽装されたexeファイルがマルウェア感染の起点となった可能性がある。偽装というと、なにやら複雑なもののように思われるかもしれないが、仕組みは至ってシンプルだ。ファイル名にRLOコード(「ここから先は右から左に読む」というunicode制御文字)を利用し、拡張子が.pdfであるかのように見せかけているに過ぎない。

 見かけはシンプルだが、わざわざZIP圧縮したファイルを添付するなど、手口は巧妙だ。受信者がファイルを開いた瞬間、エクスプロイトコードが実行され、マルウェアがインストールされる。バックドア型マルウェアが仕込まれていた場合は感染拡大に向けて横展開が行われ、PCとサーバ複数台が感染してしまうということもある。その後、不審な通信が検知されたものの、その時には既に攻撃者によってC2(Command & Control:遠隔操作)が行われ、情報が持ち出されてしまったと考えられる。

●対策を「見える化」してみよう

 こういった攻撃には、どのような対策を実施すればよいだろうか。

まずは、必要だと思われる防御をざっくり、表に書き込んでいこう。実際に導入するかどうかはさておき、防御の理想形を描くことが目的だ。

 次に、現在行っている具体的な対策や使用している機器を書き込んでいく。現場では、より具体的な対策を記述することが多い。例えば、Active Directoryで利用するアプリケーションの制限を行っている場合は、「B-5.アプリのホワイトリスト」の欄に「Active Directory グループポリシーで実行可能なアプリケーションを設定」という具合に記入する。

 記入を進めていくと、セキュリティの理想形と現状とのギャップが浮き彫りになってくるだろう。空欄や記入の少ない部分が防御の手薄な分野だといえる。防御の薄い部分をどう補強すべきか。時間や予算といったリソースをふまえて、セキュリティの「現実解」を模索することが、セキュリティ担当者のミッションとなる。

●さらなる考察

 ホストセキュリティ(上図の緑色のセル)については、ホストIPS(不正侵入防御システム)が有効なケースが多い。最近は、多機能なエンドポイント・セキュリティ製品が主流で、ホストIPS機能を含むタイプも増えている。多機能であるがゆえに対策目的が分かりづらい製品(またはサービス)もあり、導入をためらってしまうかもしれない。しかし、事例から分かるように、標的の手元に攻撃メールが届いてしまっているということは、サイバーキルチェーンにおける「エクスプロイト」の寸前であり、攻撃が深化している危険な状況だ。この場合は、エンドポイント・セキュリティこそが“最後の砦”とも言える。標的型攻撃には、エンドポイント・セキュリティが非常に有効な対策であることをぜひ心に留めてほしい。

 一方、ネットワークセキュリティ(上図の青色のセル)は既に実施済みの対策が多いかもしれない。基本的な対策であっても疎かにせず、ソフトウェアの更新やポリシーの見直しといった日々の運用も欠かせないセキュリティ対策の一つだ。特に、サンドボックスがあれば、使い捨ての仮想マシン上で添付ファイルをまず開き、その安全性を確認する。サンドボックスの導入は、標的型メール攻撃の被害に遭う確率を大きく低下させる。しかし、最近のマルウェアには、実行環境を識別し、サンドボックス内では攻撃的な振る舞いを控え、チェックをすり抜けようとするタイプもある。やはり、単一の防御策で攻撃を防ぎ切ることはできないのだ。

●まずは「紙とペン」から始める

 多額の予算を費やしても、一点豪華主義の防御ではあまり意味が無い。サイバーキルチェーンと多層防御をしっかり理解した上で、はじめて”セキュリティの迷子”を卒業できる。セキュリティ対策の第一歩は、紙とペンでセキュリティの「見える化」を行うことだ。今回紹介した「多層防御の見える化テンプレート」が、より現実的な対策を考える一助となれば幸いである。

執筆者紹介:香取弘徳(かとり ひろのり)
NHN テコラス株式会社 データホテル事業本部SE部所属。専門はWebセキュリティ。攻撃者の目線でアプリケーションを分析し、Webアプリケーションファイアウォールの設定やセキュアコーディングを行ってきた経験を持つ。現在はフルマネージドホスティングや支援アプリケーションの開発を担当。“Secured Hosting”をテーマに、新プラットフォームの開発にも取り組んでいる。

最終更新:8月2日(火)10時46分

ITmedia エンタープライズ