• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

News & Trend

緊急対応依頼が急増、サイバー攻撃対策の理想と現実のギャップが浮き彫りに

浅川 直輝=日経コンピュータ 2015/07/31 日経コンピュータ

 「緊急対応の依頼が1週間に2桁ほど来る。依頼の大半を断わらざるを得ない状況」(ファイア・アイ日本法人)「昨年比で10倍の問い合わせが来ている」(ラック)──。標的型攻撃などのサイバー攻撃に対応するセキュリティ企業に、緊急対応の依頼が殺到している。

 その背景にあるのは、日本年金機構から情報を漏洩させたマルウエア「Emdivi」や、Adobe Flash Playerの脆弱性を悪用したサイバー攻撃が多発していることだ。

 民間企業のインシデント対応組織チーム「CSIRT」の互助団体、日本シーサート協議会の寺田真敏運営委員長は、近年のサイバー攻撃の特徴について「2、3年前よりもマルウエアの技術や機能が飛躍的に向上している上、企業を問わず広範かつ大量にばらまかれており、標的型攻撃というよりスパム攻撃に近い」と語る。「標的型という呼称には、大企業が狙われるイメージがあるが、実際には中小企業も含めて広範に狙われ、攻撃の踏み台にされている」(寺田氏)。

 この結果、マルウエアを操作する指令サーバー(C&Cサーバー)との通信を検知したJPCERTコーディネーションセンター(JPCERT/CC)や警察などの外部機関から、送信元の企業への通知連絡が増加しているという。JPCERT/CCが2015年4月~6月23日までに実施した通知連絡は61件、うちEmdivi関連は34件だった。「外部機関から突然連絡を受け、何をすればいいか分からず戸惑いながら相談に来る組織が増えている」(ファイア・アイ日本法人の名和利男CTO)。

事業継続やコストとのトレードオフに悩む

 では実際に、JPCERT/CCや警察などの外部組織から「マルウエア感染の恐れあり」との通報が来たら、どう対応すべきなのか。

 まず、指令サーバーと通信しているPCを特定し、マルウエアの感染を確認。感染が複数のPCに広がっていれば、これ以上の漏洩被害を防ぐため、インターネットとの接続を遮断する。必要に応じてプレスリリースなどで情報を公開しながら、調査を通じて漏洩被害の範囲を確認する。こうした手順を踏み、被害を最小限に抑えながら復旧を図るのが、インシデント対応の理想形だ。

 だが、実際のインシデント対応では、理想と現実に大きなギャップがある。事前準備の不足、事業継続とのトレードオフ、コストとの兼ね合いで、理想とは異なる判断を下さざるを得ないことも多い。(1)PCの特定、(2)ネット接続遮断、(3)漏洩被害の確認、(3)情報公開の4点について、理想と現実のギャップと、現実を見据えた対応策を探った。

ここから先はITpro会員(無料)の登録が必要です。

次ページ (1)感染PCの特定
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【ニュース解説】

    アップル非公認でも信頼できる?安心を訴えるスマホ修理業者

     メーカー保証外でスマートフォンの第三者修理を手掛ける「街のスマホ修理店」の運営関係者の間で、米アップルの「方針転換」が話題になっている。保証規約に違反となる修理をしたiPhoneでも、場合によって保証サービスを適用したり有償の正規修理に応じたりするように、保証や修理の規定を変えたというのだ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る