サイバー攻撃対応を実践的かつ具体的に解説する本連載。2回目は、マルウエアへの対策を取り上げる。アンチウイルス製品だけでは守り切れない。様々なサーバーを監視しつつ、周囲の力も生かして総合的に対処しよう。
日本の企業や団体がサイバー攻撃で被害を受けたのと報道をよく耳にするようになりました。情報漏洩や二次被害の拡大を防ぐためにネットワークを遮断して業務に悪影響を及ぼるケースもあります。こうした被害は、セキュリティ対策をしていなかった組織ばかりが受けているわけではなく、ある程度の対策をしていた組織でも発生しています。
マルウエア(不正なプログラム)を添付したメールで攻撃して執拗に機密情報を盗もうとする「標的型攻撃」への危機感が強まる中、マルウエア対策は業種に限らずあらゆる組織において改めて取り組むべき問題といえます。
マルウエア(malware)は「malicious(悪意ある)」と「software」を組み合わせた造語で、悪意を持った動作をするソフトウエアやコードの総称です。一口にマルウエアと言ってもその挙動や形態もさまざまで、現在も多様化・巧妙化が進んでいます。
例えば、ウイルスやワームといった自己複製型のプログラムもあれば、正規なプログラムを装って侵入・潜伏する「トロイの木馬」もあります。広告系のアドウエアやリモート管理ツール、ユーザーの行動履歴を保存するスパイウエアなどは、“グレー”なマルウエアとしてアンチウイルス製品のベンダーが定義することもあります。
今回は、こうしたマルウエアへの対策にCSIRTがどう取り組むべきかについて、実例を交えて解説します。
