「標的型攻撃が台頭してきた背景の一つは、企業のマルウエア対策などがある程度強固になったこと。だから攻撃者はシステムの脆弱性ではなく、人の脆弱性を狙うよう方針を変えてきた」(サイバーディフェンス研究所の名和上級分析官)。攻撃側が変わったのなら、防御側も変わらなければならない。標的型攻撃は従来対策だけでは不十分。ここで紹介する新しい対策も含めて、“複数の対策を組み合わせ、情報が盗まれる確率をできるだけ下げる”というアプローチが必要になる。
ところが、本誌読者モニターへの調査によると、標的型攻撃への対策を実施済みとした回答は全体の4分の1程度。今後対策予定とした回答を合わせても半分に満たない(図1)。さらに対策済み、対策予定とした回答企業でも、実施対策については、半数近くがスパム対策やウイルス対策、Webフィルタリングなど従来型対策を挙げる。
「標的型攻撃を一発で解決できる銀の弾丸はない」(セキュアブレインの星澤裕二執行役員先端技術研究所チーフセキュリティアーキテクト)。では、対策をどう考えたらよいか。対策の一つの指針となるのが、情報処理推進機構(IPA)が2011年8月1日に発行した報告書「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」である。「企業内にある既存のネットワーク機器を活用して、追加の機器購入をあまりしないでできる対策をまとめた」(IPAセキュリティセンター情報セキュリティ技術ラボラトリーの大森雅司研究員)というものだ。
本ガイドの特筆すべき点はセキュリティ対策を「入口対策」「出口対策」と分類し、これまで手つかずだった出口対策を強化すべし、としていることだ(図2)。
入口対策は従来型のセキュリティ対策である。マルウエアの感染を防いだり、攻撃者による不正アクセスをインターネットとLANのゲートウエイ部分で遮断する。ベンダー各社が2008年ころから提供している、レピュテーション技術やヒューリスティック技術など、定義ファイルに頼らないセキュリティ技術も効果がある。また、基本的にはどれも侵入を阻むための予防策だ。OSやオフィスソフトを最新版にする、ウイルス対策ソフトを最新版にアップデートしておく、ウイルス対策ゲートウエイやスパム対策ゲートウエイ、IPS(侵入防止システム)の保守契約が切れていないか確認しておくといった取り組みも入口対策といえる。
これに対して、出口対策は「仮に攻撃者がシステムに侵入しても、情報を社外に持ち出せないようにする」というセキュリティ対策である。
ネットワーク的に見ると、入口対策はインターネットからLANへの通信を監視・防御するもので、出口対策はLANからインターネットへの通信を監視・防御するものとなる。
標的型攻撃では、エンドユーザーが標的型攻撃メールを開いて、マルウエアに感染してしまうのを防ぐのは難しい。そこでPCがマルウエアに感染したとしても、攻撃者がマルウエアを使って情報を社外に送信するのを防ぐ、出口対策のアプローチが重要となる。
以下では、「通信経路を限定する」「マルウエアの通信を止める」「標的型攻撃対策製品を利用する」という三つの出口対策の手法を押さえる。
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
