写真1●S&Jコンサルティング代表取締役社長の三輪信雄氏(写真:後藤究)
写真1●S&Jコンサルティング代表取締役社長の三輪信雄氏(写真:後藤究)
[画像のクリックで拡大表示]
写真2●「サイバー攻撃はもはや無差別になっている」という三輪氏の警告に、参加者は真剣に耳を傾けていた(写真:後藤究)
写真2●「サイバー攻撃はもはや無差別になっている」という三輪氏の警告に、参加者は真剣に耳を傾けていた(写真:後藤究)
[画像のクリックで拡大表示]

 「昨今のサイバー攻撃は巧妙化している。どんなに対策を施しても、ウイルスの侵入や感染を100%防ぐのは不可能。企業にはウイルス感染を拡大させず、被害を深刻化させないセキュリティ運用が求められる」。

 こう語るのは、S&Jコンサルティング代表取締役社長の三輪信雄氏である。同氏は2013年10月10日、東京ビッグサイトで開催中の「ITpro EXPO 2013」において「これが標的型攻撃対策の現場だ」と題した講演を行った。

 三輪氏は最近のサイバー攻撃の動向として、「標的型攻撃の無差別化」「ウイルスを配布する悪質サイトなど、待ち受け型攻撃の急増」「DDoS攻撃の大規模化」「使い回しアカウントの大量取得による不正アクセス」が顕著となっている点を指摘する。

 中でも深刻なのは、標的型攻撃の無差別化だという。「標的攻撃は大規模企業や政府機関のみを対象とし、ウイルスメールによる攻撃が主流だと考えているとしたら、それは間違い。最近は企業規模や業種を問わず、攻撃の対象となっている。一度ウイルスに感染してしまえば、そのマシンが“踏み台”となり、同じ企業でウイルスが“水平展開”される。そうなってしまえば取り返しがつかない」(三輪氏)。

 一般的に標的型攻撃対策は、外部との通信を監視して情報流出を防止する、いわゆる「出口対策」が有効だと言われている。しかし三輪氏は、「出口対策をしても安心はできない」と警鐘を鳴らす。

 同氏によると、中央官庁に攻撃を仕掛けるC&C(コマンド&コントロール)サーバーの約80%は、所在が日本国内だという。「こうしたサーバーの多くは、中堅・小規模企業内にある管理されていない“放置サーバー”だ。こうしたサーバーとの通信内容を解析しても、(通信内容が)難読化されていたり、改ざんされていたりする。防止するには限界がある」と語る。

一番の問題は「経営層の危機感がないこと」

 待ち受け型攻撃の急増も深刻な問題だ。最近では、未知の脆弱性を付く攻撃も確認されており、セキュリティ対策ソフトを最新の状態にし、正しくセキュリティ修正プログラムを適用したとしても、ウイルスに感染してしまったケースもあるという。

 しかし最も深刻な問題は、「ユーザーの危機感のなさ」だと三輪氏は指摘する。リリースされているセキュリティ修正プログラムでも、適用していないユーザーが多いのが現状だという。また、「自社では機密情報を扱っていないからサイバー攻撃は心配ない」と、セキュリティ対策をなおざりにしている中堅・小規模企業も少なくないという。

 「個人情報と異なり、(製品の)機密情報を流出させたとしても(監督省庁への)報告義務はない。セキュリティ対策のために、きちんと予算を組む企業は少ない。特に経営層は、セキュリティ対策の必要性を理解していない」と語る。

 また、既存のウイルス駆除については、サンドボックス製品でC&C通信を検知したうえで、ウイルス対策ソフトで管理サーバーのログを確認し、感染ウイルスを駆除するステップを三輪氏は勧める。感染PCの摘出方法としては、プロキシサーバー・ログの確認と、ウイルス検体の抽出をしてから、パターンファイル作成と全スキャンを行うことが有用だという。

 未知のウイルス対策の設計については、「基本設計」と「システム設計」「運用設計」の3フェーズに分け、「感染する可能性を想定した防御/検知/システムを構築すべきだ」と指南する。「運用フェーズで大切なのは、専門家にエスカレーションする際のルール策定だ。企業は自社で問題解決をしようとせず、予兆や感染の事実を把握して、きちんと専門家に(被害状況を)説明できるような体制を構築すべきだ」と語り、講演を締めくくった。