標的型攻撃対策ツールでできること｜セキュリティ対策を急げ

標的型攻撃に対して取るべき3つの対策

システム運用の観点から、多層防御を構築する際、入口対策、内部対策、出口対策という３つの段階に応じて対策を施すのが一般的とされています。

１．入口対策

ファイヤーウォールの構築やウイルス付きメールを阻止する為に、迷惑メールのフィルタリングソフトや実行ファイルそのものを検知するアンチウイルスソフト対策が必要です。セキュリティパッチも迅速にあてる必要があります。

２．内部対策

Webやサーバのログを監視し、異常な通信を定期的にチェックし警告をします。プロキシサーバやActive Directoryのログ監視に対応するシステム構築も有効です。また万一外部に流出しても、閲覧できないようにファイルに暗号化の手段もあります。

３．出口対策

万一ウイルス感染した後の出口対策として、ウイルスによる外部への不正な通信を検知し遮断するシステム構築が有効です。また近年ではサンドボックスやWebアプリケーションファイアウォールといった対策が注目されています。

標的型攻撃対策ツールでできること

標的型攻撃メールに対しての対策ツールでできることはどのようなものがあるのでしょうか。具体的に解説していきます。

1．サンドボックス

標的型攻撃は極めて防御が困難とされています。その理由の1つに、新たな動きをする未知のプログラムが次々と作成され、それらが悪用されることにあります。存在が知られているウィルスであれば、事前に検知することができますが、未知のプログラムであれば、それが攻撃なのかどうかの判断さえできません。

そこで用いられるようになったのが「サンドボックス」という実験用の仮想エリアです。初めて検知されたプログラムは、とりあえずサンドボックスに入れて、動きを観察します。その結果、挙動不審な動きをするのであればそのまま隔離し、問題がなければ目的とするシステムへの移動を許可します。

2．DPI制御

DPIとは、Deep Packet Inspectionの略で、転送されてきたパケットのデータ部分を読み取って、受信を許可するか否かを判断する機能です。メールなどのデータは、ヘッダと本文部分で構成されています。

ヘッダには宛先、送信元IPアドレス、ポート番号などが記されており、ここの部分で判断することをSPI（Stateful Packet Inspection）とよびます。従来、疑わしいアクセスに対してはSPIによる判断だけで十分でした。

しかし、手口が巧妙化して、ヘッダ部分に悪意のあるプログラムを埋め込まず、本文にウィルスなどが埋め込まれるようになりました。そこで、ルータやスイッチ、帯域制御装置、UTM、次世代ファイアウォールなどゲートウェイで機能する機器にはDPI制御が搭載されるようになっています。

3．プロトコル制御

ネットワークに入ってくるプロトコルを判断して、アクセスの許可/禁止を設定する機能です。ネットワークではHTTP、HTTPS、FTP、Telnet、SOCKS、P2P、TCPトンネル、ICP、IM、Windows Media、Real Media、QuickTime、DNS、MAPI、CIFS、RTMPなど、さまざまなプロトコルが利用されています。

セキュリティポリシーによりこれらのプロトコルを制限して、不審なアクセスを防ぎます。

4．振る舞い検知

プログラムの挙動を常時監視し、正規プログラムにはない不審な挙動を検知する機能です。「ヒューリスティック分析」「ジェネリック検知」とも呼ばれます。

企業ではゲートウェイレベルやクライアント端末にアンチウィルスソフトをインストールし、怪しいプログラムの侵入を防いでいますが、それでも検知できない新型あるいは亜種のウィルスが忍び込んでしまうことがあります。

これらのプログラムの「振る舞い」を観察し、怪しいと判断した挙動を阻止します。これにより、攻撃による被害を未然に防ぎます。

5．偽造メール検知

標的型攻撃は複数のステップで目的を果たそうとします。そのステップの最初でターゲットへの接触に利用されるのが標的型メール攻撃です。これは、差出人やタイトルを偽って、送りつける偽装メールによる攻撃のことです。

一見、関係者からの正常なメールに見えますが、添付されているファイルを開くと、不正プログラムの活動が開始されます。プログラムの活動が開始されたことさえ気づかせないほど、巧妙にできています。

たとえば、2015年に発覚した日本年金機構の個人情報流出事件では、「『厚生年金基金制度の見直しについて（試案）』に関する意見」というタイトルのメールがきっかけになりましたが、添付ファイルを開けた職員は、まったく攻撃されていることに気がついていませんでした。

出典：日本年金機構における不正アクセスによる情報流出事案検証委員会検証報告書について｜厚生労働省

このような巧妙な偽造メールを検知するツールが登場しています。たとえば、いつもとは異なる特徴を持ったメールや、既知の攻撃に似ているメールを発見し、利用者に注意を促したり、削除や隔離などの対処をするツールです。

ツールの導入のほかにすべき２つの対策

社員への教育やメール訓練も重要

標的型攻撃で企業が被る被害は甚大です。その被害を防止するためには、まず、メールを開かないことが重要です。そこで、社員や従業員への教育を徹底させることが求められます。実際に想定される標的型攻撃のメール文をもとに、典型的な手口や、誤って開封してしまった場合の対応などを啓発するような教育が効果的です。

また、標的型攻撃を模したメールを送り、開封した社員には教育コンテンツを表示したり、個別で指導に当たるなどの訓練も効果があります。この標的型攻撃メール訓練を代行するサービスもあり、効果的に利用することで社内のセキュリティ意識向上に役立ちます。

標的型攻撃メール訓練サービスについて詳しく知りたい方には、下記の記事がおすすめです。

関連記事

watch_later 2020.02.14

標的型攻撃メール訓練サービスとは？目的や成功のポイントを徹底解説

続きを読む ≫

被害を想定して対処方法も徹底させる

いかに対策を施しても、標的型攻撃を完全に防ぐことは難しい現状があります。そのため、実際に標的型攻撃の被害に遭った際の対応を想定しておくことが重要です。セキュリティポリシーの制定や運用ルールの整備などを行い、社員や従業員が異常に気付いた際にどのような行動を取るべきかを事前に決めて周知しておきましょう。

また、実際に対処に当たる部門が適切かつ迅速な処理ができるようにあらかじめ初動対処の方法を決めておき、訓練などを行って万が一に備えます。実際に被害に遭うと、感染した端末の特定や流出した情報の確認など、報告すべきことが多々あります。

自社だけではまかないきれないことが予想されますので、そのような場合は外部の専門機関に協力を求めることも必要になります。専門機関との連絡手段なども事前に確認しておくようにしてください。

標的型攻撃対策ツールでできることをおさえて製品検討しよう

標的型攻撃の放置は極めて危険です。万が一の場合、企業の重要な情報を盗み取られて悪用される可能性もあります。緊急な対処をお勧めしますが、仮に対策ツールを導入しても100％安全という保証はありません。

しかし、ツールを導入し、入口・内部・出口対策を標的型攻撃に特化して対策することで防げる攻撃も多くあります。技術の進歩にともなって、悪質な攻撃も日々進化していますので、標的型攻撃対策ツールを導入する以外にも、メール訓練やセキュリティポリシーの制定など万が一に備えて、根気強く対策をとっていくことが求められます。

標的型攻撃対策ツールの製品情報が知りたい方には、下記の記事がおすすめです。

関連記事

watch_later 2020.08.06

標的型攻撃対策ツールを【機能・価格】で比較！おすすめ製品21選

続きを読む ≫