― SpyEyeというボット型ウイルスの台頭や依然として続くSQLインジェクション攻撃等について、JSOCではどのように対応しているのでしょうか？

河田 JSOCのセキュリティ監視では、「攻撃に即時対応する」といったオペレーションだけでなく、「攻撃を未然に予防する」という点にも注力しています。

例えば、2010年の6月ごろすでに海外ではSpyEyeによる被害が顕著になり始めていました。2011年10月18日現在の日本では、ネットバンキングでの不正な預金引き出し被害が2億円を超えた、との報道がありました。

アナリストチームでは海外の脅威傾向も常に把握するよう努めているので、感染が日本で拡大する以前にSpyEyeを検知するオリジナルシグネチャを作成していました。

しかし海外で流行った攻撃が必ずしも日本で流行る、といった予測を元にしていたわけではありません。むしろアナリストが常に注目しているのは、その感染手法です。現在では下火になりましたが、Gumblar や Monkif といったウイルスの多くはドライブバイダウンロードという手法を用いていましたので、攻撃手法の情報収集は国内外問わず常に行っていました。JSOCによるセキュリティ監視最大の利点は、「流行しそうな病気」をアナリストの情報収集・分析力によって未然に防げるという点があると言えます。

他の予防効果の例としては、簡易検査による脆弱性の早期対応があげられます。SQLインジェクション攻撃は、攻撃の成功確率を高め効率的なサイバー攻撃を行うために、「調査：脆弱性探し」と「実際の攻撃」というステップに分かれています。JSOCでは、SQLインジェクションの「調査」が監視対象のお客様に行われた時点で、攻撃者と同様の調査（簡易検査）を行います。この簡易検査を実施することで、SQLインジェクションに対する脆弱性がお客様環境に残っていることを攻撃者とほぼ同時期に発見することが出来、攻撃が実施される前にお客様と連携して脆弱性の対処へ取りかかることが出来るようになっています。

― 上半期におきたイベントの特長として、レポート内で実際にJSOCに送信された標的型攻撃について触れています。JSOCでは標的型攻撃についてどのように考えていますか？

庄子 レポート内部で取り上げている標的型攻撃は、あくまでも「標的型攻撃」の基本的な要素を持っていることから取り上げています。偽造された送信元、流行している時事情報、圧縮された添付ファイル等、送信先である標的に対して開封を促す特長等がわかりやすい特長です。

レポートに記載があるように、JSOCでは迅速に注意喚起を促し、早急に添付されていた不正プログラムの解析を行いました。そしてJSOCでは一切の攻撃の影響を受けなかったことを確認しています。JSOCの特長としては、影響力の高い脅威は独自に解析・検知手法を開発し、すぐさま監視能力へフィードバックすることでお客様環境を予防的に監視防御できる特長があります。

JSOCに対して送られたメールの添付ファイルには、Poison Ivyが含まれていました。これは国際的なセキュリティベンダーであるRSAに対して行われた攻撃に用いられたものと同系統の RAT（Remote Access Tool）でした。

こうした標的型攻撃の最も脅威的な部分は「一台でも感染すればそこを踏み台に次々と内部ネットワークを通常通信で調査・侵入を繰り返していく」ことにあります。通常通信を使うため、内部でどのように動き、何を調べているのか把握することが非常に困難なのです。

この攻撃の結論はもはや言わずもがなですが、現状「これさえあれば一発で解決」という防御策は現状ありません。多層的な技術的防御策に加えて、セキュリティ意識を高める人的な防御策、感染後の対応策を組織運営の議題に取り上げる等、「意識して」対応策を取り入れていく必要があるでしょう。以下に代表的な対策の概要を示しました。複合的に実施することで、標的型攻撃のリスクを減少させることが出来ます。

我々JSOCであれば技術面での対策として、不正な通信の検知・遮断、とくに巧妙な侵入を行われたとしても、外部への通信を監視することで感染の事実検知できる努力を継続して行っています。

【侵入されるリスクを減らす対策概要】

■技術面での対策
・脆弱性対策
・不正な通信の検知・遮断
－外部への通信を監視する内部監視の強化

■管理面での対策
・社員のセキュリティ教育
－訓練型教育
・ユーザが実行できる捜査の制限
－プログラムのホワイトリスト化
・重要情報の管理
－アクセス権限の多重化
－分散管理
－暗号化