標的型攻撃に耐えられる組織になるために必要なこと

 2019.10.15  AJS株式会社

標的型攻撃は、機密情報を盗み取ることなどを目的として、特定の個人や組織を狙った攻撃です。業務関連のメールを装ったウイルス付きメール(標的型攻撃メール)を、組織の担当者に送付する手口が知られています。従来は府省庁や大手企業が中心に狙われてきましたが、最近では地方公共団体や中小企業もそのターゲットとなっています。

標的型攻撃は、狙われた組織向けに巧妙に作り込まれているため、完璧な防御対策を立てることは困難であるのが現状です。被害を最小限に抑えるためには、攻撃の侵入を防ぐための対策、侵入された場合にすばやく検知するための対策、検知した場合にすばやく対処するための対策をバランスよく行うことが重要です。以下で紹介するような、さまざまな対策を組み合わせて、多層的な対策を行うようにしましょう。

入口対策(攻撃の侵入を防ぐ対策)

ウイルス付きのメールを入口段階で阻止し、情報システムを保護するには、まず基本の対策としてメールのフィルタリングサービスやウイルス対策ソフトを利用することが必要です。しかし、標的型攻撃メールに利用されるウイルスは、市販のフィルタリングサービスやウイルス対策ソフトなどに検知されないものも多く、それだけでは十分な対策とは言えません。

標的型攻撃に利用されるウイルスには、実行形式(拡張子が.exe)のものや、組織でよく利用されるソフトウェアの脆弱性を突くものが多いとされています。実行形式の添付ファイルは開かないなどのルールを組織全体で徹底することや、組織で利用するソフトウェアを常に最新の状態にしておくことが重要です。

一方で、昨今、ソフトウェアの脆弱性が発見されても、修正プログラムが作成されるまでに時間を要するケースが見受けられ、その間に未修正の脆弱性を狙った攻撃が行われることがあります。これは、ゼロデイ攻撃と呼ばれ、従来の手法では対応が困難な課題として認識されています。情報管理担当者は、常日頃からソフトウェア開発元や、国内外の調整機関の発表に注意し、最新のソフトウェアの脆弱性関連情報を入手できる状態を確保しましょう。未修正の脆弱性が発表された場合は、関係機関などが公表する一時的対策を適用するなどしながら、普段以上に、攻撃に対する警戒を怠らないようにしましょう。

最近では、未知のウイルスに対処するため、組織に送られたメールを別の安全な実行環境の中で実行してみて、そのふるまいの危険性を調べるセキュリティ製品なども提供されています。

また、こうしたシステム上の対策と同時に、後で述べる社員・職員の意識向上を通じて、不審なメールを見抜く対策も重要です。

出口対策(侵入後に被害の発生を防ぐ対策)

入口段階で攻撃を防げず、組織にウイルスが侵入してしまった場合にも、組織内から重要な情報が外部に送信される段階で被害を食い止める対策(出口対策)を行うことが重要です。主な出口対策としては、ウイルス感染による外部への不審な通信を見つけて遮断する、サーバやWebアプリケーションなどのログを日常的に取得し、異常な通信を見つけるために定期的にチェックするといった対策があり、侵入の早期発見と迅速な対応のために有効です。特にログの取得は、侵入の発覚後に被害内容の特定や原因の追及をするために重要な情報源となります。

さらに、万が一、データが流出してしまっても、情報にアクセスできないようデータを暗号化しておくなどの対策も重要です。

出口対策(侵入後に被害の発生を防ぐ対策)

社員・職員への教育

標的型攻撃による被害を防止するためには、メールを受信する社員・従業員への教育が欠かせません。実際に想定される標的型攻撃のメール文を見せながら、典型的な手口や、開封してしまった場合の対応などを啓発するような教育が効果的です。最近では、社員や職員に擬似的な標的型攻撃メールを送り、教育の効果測定や標的型攻撃への意識向上を図るという方法も使われています。

また、最近の標的型攻撃メールは、フリーメールアドレスを利用して送信されることが増えているので、社員・職員への注意を促すため、フリーメールアドレスからのメールには、LANシステム側でヘッダや本文に注意を促す文言を挿入してから配送する対策も考えられます。

そのほか、送信ドメイン認証の認証結果を利用できると、正規のドメインを詐称して送信された不審メールを特定するための手がかりになります。

標的型攻撃の被害に気づいたときにすべきこと

上記のような多層的な対策を行ったとしても、標的型攻撃を完全に防ぐことは難しいため、実際に被害を受けた際の対応についても想定しておくことが大切です。まずは、情報セキュリティポリシーなどの中で、社員・職員が異常に気づいた際に、組織内のどの部門に連絡するかなどを事前に決め、定期的に周知するようにしましょう。次に、連絡を受けた部門でも、適切かつ迅速な処理を行えるよう、あらかじめ初動対処について対応方策を定めておき、訓練などを通して事故にそなえるようにしましょう。

感染した端末の特定や流出した情報の確認など、被害状況の把握や、再発防止策の実施にあたっては、外部の専門機関に協力を求めることが必要な場合も多くあります。そのような専門機関との連絡方法についても、事前に初動対処の一環として検討しておくようにしましょう。


『月刊人事マネジメント』事例掲載
「人事評価制度見直し」決断する前にやること

RELATED POST関連記事


RECENT POST「セキュリティ関連ブログ」の最新記事


標的型攻撃に耐えられる組織になるために必要なこと