特定の企業や組織を狙った標的型攻撃をはじめとするサイバー攻撃は後を絶たず、被害が広がっている。これまで攻撃者はメールを悪用し、マルウエアが埋め込まれた添付ファイルを開いて感染させる手口が多かった。だが、企業側では発信元が不明なメールや添付ファイルは不用意に開かないといった対策を強化するようになってきており、攻撃者はWebも活用した標的型攻撃を行うようになってきている。
株式会社インターネットイニシアティブ
サービスプロダクト事業部
第二営業部セキュリティ営業課
平野 栄士 氏
サービスプロダクト事業部
第二営業部セキュリティ営業課
平野 栄士 氏
例えば、攻撃の対象者がよく利用するWebサイトを悪用してマルウエアをダウンロードさせる「水飲み場攻撃」や、悪意のあるプログラムを組み込んだオンライン広告の「マルバタイジング」など、Webを悪用した攻撃手法も高度化している。「従来のセキュリティ対策では、完全に防御するのが困難な状況であると言わざるを得ません」と指摘するのは、インターネットイニシアティブ(IIJ)の平野栄士氏だ。
また、メールのセキュリティ対策に比べ、Webのセキュリティ対策は後回しにする企業も見受けられる。商取引などを装ったメールを企業に送り、悪意のあるWebサイトに誘導してマルウエアに感染させるといった「ドライブ・バイ・ダウンロード攻撃」などの被害も後を絶たない。
攻撃者の手口の多様化、巧妙化とともに、従来のセキュリティ対策では抜本的な解決が難しくなる中、「Webセキュリティの決定版」ともいえるソリューションが注目されている。無害化されたWebの描画情報のみをブラウザーに表示する「分離(アイソレーション)」と呼ばれる新技術だ。「IIJセキュアWebゲートウェイサービス」に、この技術を応用したセキュアブラウジングオプションが追加された。これにより、Webセキュリティはどう変わるのか、次ページで解説する。