標的型攻撃対策ツールでできること｜セキュリティ対策を急げ

標的型攻撃メールで取るべき3つの対策

システム運用の観点から、多層防御を構築する際、入口対策、内部対策、出口対策という３つの段階に応じて対策を施すのが一般的とされています。

１．入口対策

ファイヤーウォールの構築やウイルス付きメールを阻止する為に、迷惑メールのフィルタリングソフトや実行ファイルそのものを検知するアンチウイルスソフト対策が必要です。セキュリティパッチも迅速にあてる必要があります。

２．内部対策

Webやサーバのログを監視し、異常な通信を定期的にチェックし警告をします。プロキシサーバやActive Directoryのログ監視に対応するシステム構築も有効です。また万一外部に流出しても、閲覧できないようにファイルに暗号化の手段もあります。

３．出口対策

万一ウイルス感染した後の出口対策として、ウイルスによる外部への不正な通信を検知し遮断するシステム構築が有効です。また近年ではサンドボックスやWebアプリケーションファイアウォールといった対策が注目されています。

標的型攻撃対策ツールでできること

標的型攻撃メールに対しての対策ツールでできることはどのようなものがあるのでしょうか。具体的に解説していきます。

1．サンドボックス

標的型攻撃は極めて防御が困難とされています。その理由の1つに、新たな動きをする未知のプログラムが次々と作成され、それらが悪用されることにあります。存在が知られているウィルスであれば、事前に検知することができますが、未知のプログラムであれば、それが攻撃なのかどうかの判断さえできません。

そこで用いられるようになったのが「サンドボックス」という実験用の仮想エリアです。初めて検知されたプログラムは、とりあえずサンドボックスに入れて、動きを観察します。その結果、挙動不審な動きをするのであればそのまま隔離し、問題がなければ目的とするシステムへの移動を許可します。

2．DPI制御

DPIとは、Deep Packet Inspectionの略で、転送されてきたパケットのデータ部分を読み取って、受信を許可するか否かを判断する機能です。メールなどのデータは、ヘッダと本文部分で構成されています。ヘッダには宛先、送信元IPアドレス、ポート番号などが記されており、ここの部分で判断することをSPI（Stateful Packet Inspection）とよびます。従来、疑わしいアクセスに対してはSPIによる判断だけで十分でした。

しかし、手口が巧妙化して、ヘッダ部分に悪意のあるプログラムを埋め込まず、本文にウィルスなどが埋め込まれるようになりました。そこで、ルータやスイッチ、帯域制御装置、UTM、次世代ファイアウォールなどゲートウェイで機能する機器にはDPI制御が搭載されるようになっています。

3．プロトコル制御

ネットワークに入ってくるプロトコルを判断して、アクセスの許可/禁止を設定する機能です。ネットワークではHTTP、HTTPS、FTP、Telnet、SOCKS、P2P、TCPトンネル、ICP、IM、Windows Media、Real Media、QuickTime、DNS、MAPI、CIFS、RTMPなど、さまざまなプロトコルが利用されています。セキュリティポリシーによりこれらのプロトコルを制限して、不審なアクセスを防ぎます。

4．振る舞い検知

プログラムの挙動を常時監視し、正規プログラムにはない不審な挙動を検知する機能です。「ヒューリスティック分析」「ジェネリック検知」とも呼ばれます。企業ではゲートウェイレベルやクライアント端末にアンチウィルスソフトをインストールし、怪しいプログラムの侵入を防いでいますが、それでも検知できない新型あるいは亜種のウィルスが忍び込んでしまうことがあります。

これらのプログラムの「振る舞い」を観察し、怪しいと判断した挙動を阻止します。これにより、攻撃による被害を未然に防ぎます。

5．偽造メール検知

標的型攻撃は複数のステップで目的を果たそうとします。そのステップの最初でターゲットへの接触に利用されるのが標的型メール攻撃です。これは、差出人やタイトルを偽って、送りつける偽装メールによる攻撃のことです。一見、関係者からの正常なメールに見えますが、添付されているファイルを開くと、不正プログラムの活動が開始されます。プログラムの活動が開始されたことさえ気づかせないほど、巧妙にできています。

たとえば、2015年に発覚した日本年金機構の個人情報流出事件では、「『厚生年金基金制度の見直しについて（試案）』に関する意見」というタイトルのメールがきっかけになりましたが、添付ファイルを開けた職員は、まったく攻撃されていることに気がついていませんでした。

出典：日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告について」

このような巧妙な偽造メールを検知するツールが登場しています。たとえば、いつもとは異なる特徴を持ったメールや、既知の攻撃に似ているメールを発見し、利用者に注意を促したり、削除や隔離などの対処をするツールです。

まとめ

標的型攻撃の放置は極めて危険です。万が一の場合、企業の重要な情報を盗み取られて悪用される可能性もあります。緊急な対処をお勧めしますが、仮に対策ツールを導入しても100％安全という保証はありません。技術の進歩にともなって、悪質な攻撃も日々進化していますので、根気強く対策をとっていくことが求められます。