前回述べたように、標的型攻撃のメールは特定の企業や組織に狙いを定めて送付される。その攻撃の主目的は、機密情報の窃取にある。こうした背景から、対策を講じるべき対象は、PC端末だけでなく、重要なサーバーを含むネットワークシステム全体に広がる。対策の全体像を図1に、対策の概要や具体的な対策手法の例を表1にそれぞれ示す。
一般にウイルスなどの脅威への対策は、ウイルスが内部ネットワークに入ってこないように、入り口で食い止めることが最も重要である。その入り口対策が図1の(A)だ。ファイアウォールやウイルス対策ソフトなどによる通信の分別が基本となる。また、ソフトウエアのアップデートやセキュリティパッチの適用といった脆弱性対策、不審なメールの排除なども欠かせない。
多層防御の観点から、データへのアクセス時に認証を行ったりデータを暗号化したりする「(B)データの保護対策」や、バックドア通信を防ぐために内側から外側への通信を遮断する「(C)出口対策」を講じることが望ましい。
さらに、システム全体の監視と証跡の分析が可能になるようにするとともに、管理統制を行う「(D)セキュリティマネジメント、緊急時対応計画」の整備も大切である。
それぞれの企業や組織の状況に応じて、必要な対策と実施可能な対策をよく検討したい。
バックドア通信を止める
多くの企業や組織では、セキュリティ対策を既に講じているだろう。それによって、さまざまな攻撃からの防御が可能になっているはずだ。
ただし標的型攻撃のメールが届き、そこに未知のウイルスが添付されていた場合は、入り口対策が突破されてしまう可能性がある。データ保護対策を併用している場合でも、キーボード操作を記録するキーロガーというウイルスがPC端末に仕掛けられたり、暗号鍵の管理に甘さがあったりすると、機密情報を窃取されてしまう。
こうした点を考慮すると、各種対策の中でも、特に出口対策がポイントとなる。仮に他の対策で防ぎ切れなかったとしても、出口対策が有効に働けば、結果として情報を窃取されずに済むからである。
出口対策について具体的に説明する。IPAが2011年8月に公開した「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド注1」 で紹介している六つの出口対策を表2に示した。これらの対策の詳細については、同ガイドを参考にしていただきたい。
ここでは、六つの対策のうち特に重要な、バックドア通信を止める対策を取り上げる。具体的には、「(1)サービス通信経路の設計」と「(2)Webブラウザーの通信パターンを模倣したHTTP通信の検知機能の設計」である。
