第1回と第2回で取り上げたEGGSとマンダリンエレクトロンのケースではともに、被害に遭った際に行うべき事後対応が分からず、対処が遅れた。ただし、顧客への2次的な被害を防ぐための最低限の処置は両社とも実施していた。
初動で必要な遮断処置として、EGGSではWebサイトのコンテンツを削除し、マンダリンエレクトロンはWebサイトへのアクセスリクエストをすべて「メンテナンスのため…」というWebページに振り向けた。また、両社とも原因や被害状況などを調べ、ウイルスが2次感染した可能性があることや個人情報が漏洩した可能性があることを顧客などへ通知するとともに、再発防止策を検討して実施した。
ただし、2次被害を最小限に抑えるため、もっと迅速に対処すべきだった。NRIセキュアテクノロジーズの鴨志田昭輝氏(システムコンサルティング部 セキュリティコンサルタント)は、「攻撃されたとき迅速に対処するため、事後対応計画を立てておくとともに、冷静に行動できるよう心構えをしておく必要がある」と助言する。
大丈夫という思い込みがあった
EGGSではPC端末がウイルスに感染、マンダリンエレクトロンではサーバーがアプリケーションの脆弱性を悪用する不正アクセスを受けたことが、事件の発端となった。両社は、全くセキュリティ対策を講じていなかったわけではない。EGGSの場合、PC端末にはウイルス対策ソフトを導入していたし、マンダリンエレクトロンが利用するホスティング事業者のサーバーはファイアウォールやIPSによって守られていた。
ただ、セキュリティ対策として十分ではなかった。ウイルス対策ソフトで感染を完全に防げるわけではない。NRIセキュアテクノロジーズの西田助宏氏(テクニカルコンサルティング部 セキュリティコンサルタント)によると、Webサイトを閲覧している際に未知のウイルスがダウンロードされてPC端末が感染してしまうケースは珍しくないという。また、Webサイトを狙った攻撃は、ファイアウォールやIPSでは防げないことがある(次ページの別掲記事「どんなセキュリティ攻撃が多いのか」を参照)。
「両社が被害に遭った原因は『セキュリティ対策をしているので大丈夫』という思い込みにあったのではないか」と、トレンドマイクロの原良輔氏(セキュリティエキスパート本部 ジェネラルSE部 Regional TrendLabs 課長)は推測する。大丈夫と甘く考えたためか、両社はアプリケーションが抱える脆弱性を放置していた(3ページ目の別掲記事「今やれる対策をすべて行うことが強化の第一歩に」を参照)。日頃からリスクを顕在化させ、既に実施しているセキュリティ対策と照らし合わせて残存リスクを明らかにし、足りていない対策をすぐに講じる必要がある。
攻撃の巧妙化や人手を考慮して対策
攻撃者は日々、手口を研究し巧妙化させている。一方、セキュリティ対策を行う人手などのリソースには限りがある。これらを考慮して、もう一段高い対策を講じる必要がある。
特に、特定の企業や組織に対して執拗に攻撃を仕掛ける標的型攻撃には、より綿密な対策が必要になる。標的型攻撃では、巧妙に偽装したメールが標的の受信者に送付されることが多い。攻撃者が標的に信頼される企業や組織をかたり、業務に関連する件名や文面で開封を促す。そして、受信者が添付ファイルをクリックするとPC端末に侵入口が作られ、攻撃者から操られてしまう。標的型攻撃への対処で重要になる、ウイルスの活動を抑え込む対策について次回と次々回の2回にわたって解説する。
