標的型攻撃への対策を考える②

情報セキュリティ

標的型攻撃を受けた場合、特定の個人やグループを対象とした巧妙なメールが送られてきます。

そのため、攻撃メールの開封率をゼロにすることは困難であり、かつ今までのアンチウイルスソフトだけでは検出が困難、といった厄介なものになります。

しかし、アンチウイルスソフトや脆弱性に対応したパッチがまったく無力というわけではありません。

日頃からアンチウイルスソフトやOS、パッケージアプリケーションソフトのアップデートをしておくことが重要です。

「最新のパッチを当てる」、「各種アプリケーションを最新のヴァージョンにしておく」、「適切なものを使う」、などを組織的に運用、管理しておく体制が必要なのです。

さらに、標準的な迷惑メール対策をしておくだけでも簡単な偽装であれば回避できるため、標的型攻撃のメールが届く確率を減らすことができるでしょう。

クライアントPCの設定、メールの送受信の設定を行うなどし、標的型攻撃が通れる穴をできるかぎり小さくしておくことが大切です。

従来のアンチマルウェアソフトでは検知できないマルウェアを発見できる可能性を高めた高精度なマルウェア検知解析システムを導入する方法も出てきています。

これは実際に送られてきた疑いのあるファイルをユーザー環境とは別に用意した仮想環境で、開封しその挙動を調べる「サンドボックス」と呼ばれるという技術です。

標的型攻撃に対しては、侵入されることを前提として

①侵入を検知し組織内のシステムに感染が拡大することを防ぐ

②情報そのものの漏えいを防ぐ

という総合的な対策が必要になってきています。

侵入を検知し、早期に感染拡大を防ぐ方法の一つは出口対策です。

特定のクライアントPCにマルウェアが仕込まれた場合、感染拡大のために外部のC&Cサバーと通信を行なうことがよく行なわれます。

この外部との通信を検知して侵入を特定するために、外部との通信経路にIDS/IPSや、URLフィルターあるいはDNSのモニター装置を設置するといった外部との通信をモニタリングするセンサーを設置する手法があります。

実際の運用にあたりこれらの各システムに対して、あらかじめC&Cサーバーと疑わしいIPアドレスやURLを特定し検出を行なうためのシグニチャを準備しておく必要があります。

侵入後に攻撃者がどこをめざして侵入路を広げていくかと考えたとき、多くは情報システム内部の管理権限のアカウントを狙ってくると考えられます。

そのアクティブディレクトリ(AD)サーバーやファイルサーバー上にダミーの管理者を設定し、ここへの不正アクセスが行なわれていないか定期的に監査ログを見るということも対策の一つです。

システムの内部に侵入された場合の検出方法ですが、実際の情報システムの運用・管理にあたってはその規模が拡大すると、人力だけでは十分に監視できないのが現実です。

さまざまな情報機器のログ情報を一元的に収集、異常な通信やアクセスを自動的に検知して警報を出すといった管理システムが必要になってきます。

このようなニーズに応えるために最近ではSIEMを導入するケースも増えてきています。

これは、さまざまな情報機器のログ情報を一元的に管理するだけでなく情報機器相互のログの相関を分析することで侵入を検知する機能を有しています。

内部侵入されてしまっても、事前に以下のような対策を打っておくことが考えられます。

①極力重要情報の漏えいを防ぐ

②情報が漏えいしても攻撃者に読めないようにする

重要情報の漏えいを防ぐために、情報が格納されているシステムへのアクセス権を奪われないようなログインパスワードやACLの管理強化を日頃からしておくことが重要です。

システム管理者の管理特権は十分に保護される必要があります。

万が一攻撃者に侵入され情報漏えいが発生してしまったとしても、持ち出された情報が暗号化され攻撃者に解読できない情報あれば対策の一つになります。

PCやファイルサーバーに格納する重要なファイルは必ず暗号化し、パスワードを安全に管理しておくことが重要です。

安全なファイル管理の方法の一つとしてDRMを利用することがあげられます。

ドメイン外に持ち出された場合に、ファイルを開くことができなくなる方法です。

PCやファイルサーバーに作業ファイルを格納する場合、暗号化してパスワードを設定することにどうしても手間がかかるため、暗号化しないでしまうといったケースがよくあります。

このDRM利用では自動的に暗号化が行なわれるので、運用の手間が軽減されます。

侵入が特定された場合、デジタルフォレンジックを行なう必要が出てきます。

デジタルフォレンジックとは、電磁的記録の分析の事を指します。

どこから侵入されたのか、被害を受けたのがどの範囲なのかといったことを特定するものです。

侵入が特定されたPCに対して、まずはネットワークケーブルの抜去を行ないます。

シャットダウンをせずに、デスクトップPCならコンセントを抜き、ノートPCならバッテリーを外します。

事前にインシデントに対応する専門部や外部機関との連絡窓口を設定しておき、速やかに連絡した上で調査を行う必要があります。

シャットダウンをしてしまうと、ハードディスクのログ(情報)が書き換わってしまい、調査できなくなってしまう恐れがあるので注意が必要です。

さらに被害に遭ったときの事後対策も必須です。

侵入を検知、あるいは情報を窃取されたとき、侵入経路や被害範囲の特定が必要になります。

この場合、必要になるのが各情報機器のログです。

必要と想定される期間ログを確実に収集し保存し、被害が確認された場合の被害範囲の特定に利用する必要があるのです。

関連記事

標的型攻撃への対策を考える①

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

writer007