どのような企業・団体も狙われる現状では、セキュリティ対策は不可欠だ。だが万全ではない。ここでは2つの例を示そう。
まず、ウイルス対策ソフトだ。標的型攻撃はウイルスを使う。それならウイルス対策ソフトで防げそうだが、実態は違う。実際、日本年金機構など過去に標的型攻撃を受けた企業・団体のほぼすべてはウイルス対策ソフトを導入していたが、被害を防げなかった。
防げないのは、標的型攻撃で使われるウイルスは、その攻撃のためだけに作られるからだ。従来のように多数のユーザーにウイルスをまき散らす攻撃なら、ウイルス対策ソフトメーカーはそのウイルスを入手しやすい。入手したメーカーは、すぐに解析してウイルス定義ファイル▼に反映。自社製品のユーザーが対応できるようにする(図7)。
一方、標的型攻撃では、限られたユーザーにしかウイルスを送らない。メーカーがサンプルを入手しにくいので、ウイルス定義ファイルの作成が困難なのだ。
最近のウイルス対策ソフトの多くは、プログラムの振る舞いなどから、ウイルスかどうかを判断する機能を備える。この機能ではウイルス定義ファイルを使わないので、サンプルを入手できていない新しいウイルスを検出できる可能性がある。
ただしそのような機能を備える対策ソフトでも、標的型攻撃のウイルスは検出できない可能性が高い。攻撃者はウイルスを配布する前に、主要なウイルス対策ソフトで、検出の可否を試している▼からだ(図8)。
未対策の脆弱性を狙う
セキュリティ対策が万全ではないもう一つの例が「ゼロデイ攻撃」だ。前述の通り、攻撃者は、ソフトウエアの脆弱性を突いてWebサイトに侵入する。このためパッチ(セキュリティ更新プログラム)の適用や最新版へのアップグレードで脆弱性を解消することも、重要なセキュリティ対策だ。
だが、パッチや最新版が公開される前の脆弱性を突くゼロデイ攻撃は、この対策では防ぎようがない。攻撃者は、標的としたWebサイトで使われているソフトウエアを調べ上げ、ソフトメーカーが把握していない新たな脆弱性(ゼロデイ脆弱性)を見つけて攻撃に悪用する。ほかの攻撃者が見つけた脆弱性を購入する場合もある。
一般的に、メーカーが脆弱性の存在を知るのは、実際にゼロデイ攻撃が起こってからだ。その時点で、メーカーはパッチの作成といった対応を開始する。だがパッチが公開されるまでの間に、脆弱性の情報が第三者に知られ、インターネットで公表される場合がある。そういったケースでは、公表された情報を参考にしたゼロデイ攻撃が次々と出現し、被害が一気に拡大する。
既知ウイルスの特徴を収めたデータベースファイル。このファイルと照合して、検査対象ファイルがウイルスかどうか判定する。「パターンファイル」や「シグネチャ」などとも呼ばれる。
▼検出の可否を試している
攻撃者が市販のウイルス対策ソフトを購入して試すケースもあるが、ウイルスチェックのWebサービスを利用するケースもある。インターネット経由でウイルスをアップロードすれば、複数のウイルス対策ソフトでチェックしてその結果を表示する。ただしこの際、「VirusTotal」(https://www.virustotal.com/ja/)のような一般向けの無料サービスは使用しない。こういったサービスでは、協力しているウイルス対策ソフトメーカーに、アップロードされたファイルを提供する場合があるからだ。そこで攻撃者は、有料であっても、第三者にファイルを提供しないサービスを利用する。