• 標的型攻撃の検知はかなり困難
  • 侵入者が最初に狙うのはActive Directory
  • 大量の認証失敗にすぐ気づける体制作りを

 2015年6月1日、日本年金機構は標的型攻撃を受け、基礎年金番号を含む個人情報が漏えいしたと発表。それをきっかけに、全国のさまざまな団体、組織がマルウエアに感染して被害が生じたことを公表しました。多くは、中央省庁からの点検指示、もしくは警察や外部機関の情報提供に反応した自発的調査によって、マルウエアへの感染が発見されたものでした。

 被害に遭った組織における、セキュリティ対策の不備を糾弾する報道も少なからず見かけます。しかし、昨今の標的型攻撃を検知して、守り切れる組織はほとんどないのが実状だと思います。というのも、標的型攻撃に使われるマルウエアが極めて高度化し、かつ猛烈な勢いで新種や亜種が出現しているからです。もはや、一般的なパターンファイル型のウイルス対策では、標的型攻撃を防げなくなっているのです。そこで今回は、マルウエアへの感染に直ちに気づくにはどうすればよいのか、マルウエア検出法を取り上げます。

 高度なサイバー攻撃に対抗するべく、セキュリティベンダー各社は対応製品の開発にしのぎを削っています。中でも最近実用化され、急速に導入実績を伸ばしているのが「サンドボックス型」のマルウエア検知ソリューションです。これは、不審なファイルをアプライアンス内の仮想マシンで実行して挙動を観察することで、マルウエアかどうか判別する製品です。筆者は、未知マルウエアへの対処という面で、このタイプが現時点においては最も有効と考えています。