「標的型攻撃対策ツール」選択のポイント

2017年03月24日最終更新
標的型攻撃対策の製品一覧

2015年6月に表面化した日本年金機構の情報漏えい事件。ここで注目されたのが「標的型攻撃」という言葉でした。攻撃対象を定めたら、複数のステップを計画し、目的の情報を搾取する極めて悪質な脅威です。目的を達成するまで、長期にわたって執拗に攻撃し続けることが特徴です。しかし、対策となる技術も開発されており、ツールも数多く発売されています。ここでは標的型攻撃対策の技術と対策ツールのタイプを紹介します。

出典：日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告について」
http://www.nenkin.go.jp/oshirase/topics/2015/0104.files/E.pdf　　　

自社の弱点をカバーする検知機能を選ぶ

「標的型」の名前は、最初から特定の相手（企業や政府機関）に不正プログラムを送り、目標を達成させことに由来しています。2005年ごろから見られるようになった脅威で、世界各国の軍事・防衛関連企業や官公庁、大使館などを繰り返し攻撃してきました。その手口を知ると同時に、自社の弱点を分析し、必要となる検知技術を選択しましょう。

■敵を知り己を知る

日本年金機構の情報漏えい事件のきっかけは「厚生年金基金制度の見直しについて（試案）に関する意見」という、極めてもっともらしいタイトルの添付付きメールでした。その添付ファイルをうっかり開いてしまったことから、ウィルスに感染してしまったのです。

（1）計画立案
（2）攻撃準備
（3）初期潜入
（4）基盤構築
（5）内部侵入・調査
（6）目的遂行
（7）再侵入

このステップを元に、自社に欠けている対策を見付けましょう。自社内で無理であるならば、アセスメントサービスをメニューに用意しているツールもあります。それを利用して自社の弱点を見付け出します。

■主な検知機能

ツールに搭載されている代表的な検知機能を紹介します。自社の現状を分析して、ここから必要な機能を検討しましょう。

○サンドボックス：: 実害を及ぼさない仮想化技術を利用して、疑わしいソフトウェアやファイルの「振る舞い」を確認し検知します。
○DPI制御：: IPパケットのデータ部分の情報を基に、フィルタリングなどの処理方法を決め検知します。
○プロトコル制御：: さまざまなプロトコルに対して、アクセス許可/禁止設定を行います。
○振る舞い検知：: プログラムの挙動を常時監視し、正規プログラムにはない不審な挙動を発見し、検知する機能です。「ヒューリスティック分析」「ジェネリック検知」とも呼ばれます。
○偽造メール検知：: 発信元を偽って送られてくるメール（なりすましメール）を検知します。