株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

標的型攻撃 対策指南書

2.5. 被害発生の検知策の実装

標的型攻撃 対策指南書をダウンロードして読む方は PDF版

標的型攻撃では、最初のターゲットを遠隔操作型のウイルス[24]に感染させ、他のホストやサーバへの感染および権限奪取を行い、最終的には機密情報の漏洩など、企業・組織に多大な被害を与えます。ウイルスの感染を完全に防ぐことは困難ですが、ウイルスの侵入と感染をできる限り早く検知することで、被害の影響を抑えることができます。逆を言えば、検知が遅くなればなるほど、被害は甚大になります。
本項においては、代表的な対策として知られる手段の概要をまとめます。検知策は多岐にわたりますので、今後の改訂により網羅性を高め、詳細な対策法を整理してまいります。

ウイルスの侵入および感染をいち早く検知するためには、侵入経路として最も多いメールおよびWeb経由でのウイルスを検知する仕組みを導入します。このとき、それぞれの侵入経路に対して、できる限り多層的な対策を実施します。

メール・Webの侵入検知

ウイルス対策機能を備えたゲートウェイによりウイルスを検知・駆除します。これらの製品は、未知のウイルスには無力ですが、既知のウイルスには有効に機能します。

未知のウイルスに対しては、サンドボックス型のウイルス対策製品を使用します。これらの製品は、メールやWebで疑わしいファイルを受信・ダウンロードすると、サンドボックスと呼ばれる仮想OSの上でファイルを実行させ、プログラムの動作からウイルスの判定を行い、ウイルスを検知・駆除することができます。

ホストの侵入検知

メールやWebなどの経路で侵入したウイルスは、対象のホストにファイルがダウンロードされ、ユーザーによって実行するか、脆弱性により自動的に実行されることで感染します。そのため、ファイルがダウンロードされた時、もしくはファイルを実行した時に検知・防御するために、ホストにウイルス対策製品を導入します。

さらにウイルス対策ベンダーとの間で、検体を提供することで迅速にパターンの提供を受けることができるサービスを別途契約します。これらの製品は、未知のウイルスには無力ですが、ウイルス対策製品で検知しないウイルスが侵入してしまった場合でも、検体を提供することで迅速にパターンが提供され、万が一組織内にウイルスが蔓延してしまっても、作成されたパターンを更新することで、ウイルスの検出・駆除を行うことができます。

未知のウイルス、ゼロデイ脆弱性を突くウイルスに対しては、振る舞い型のウイルス対策製品を導入して検知・防御します。

感染の検知

どんなにウイルスの侵入の対策を行っても、組織内でのウイルス感染を完全には防ぐことはできません。また、脆弱性や人の関与がある以上、ウイルスが実行されて感染することを防ぎきることはできません。

そのため、ウイルスに感染した際、それにいち早く気づくための検知が必要です。前章で説明したように、自組織から出て行く通信は必要な通信に限定されていることを確認します。その上で、自組織から出て行く通信のログは、許可および拒否したものを含め、全て記録します。標的型攻撃を受けると、長い場合は数年間にわたり不正行為が継続し、その間は外部の指令サーバへの接続が続くなど、何らかの痕跡がログに残るため、追跡に必要なログおよび被害範囲の確認に必要なログを最低でも1年間程度保持します。以下は感染を検知する取り組みの例です。

自組織から出て行く通信はファイアウォールでログを残す(許可および拒否)。

  • HTTPおよびHTTPSはプロキシでログを残す(ログの項目は、可能な限り多くとる)。
  • SMTPによるメールの送信および受信は、メール本体を含めて全てログを残す(メールのアーカイブを保存する)。
  • FTPやSSHなどを使用する場合は、ゲートウェイを経由して、送信したファイルやコマンドのログを残す。

指令サーバとの通信はHTTPもしくはHTTPSで行われることが多いため、プロキシサーバのログを定期的に分析し、指令サーバへの通信が発生していないか確認します。

また、ウイルス対策製品や次世代ファイアウォールでは、指令サーバへの通信を検知することができる製品があります。これらの製品を導入して監視を行うことで、指令サーバへの通信を検知した場合は即座に対象のホストを隔離するなど、被害を最小限に抑えることができます。

基本的に指令サーバへの通信を検知した、或いは外部組織から感染連絡により当該通信元を隔離し、当該PCからの他の不審通信の分析、取り出したウイルスの解析により判明する他の指令サーバ情報の取得により、さらに別の感染PC有無を確認しそれを繰り返すことで外部と交信しているPCを可能な限り見つけていきます。また、同時に当該パソコンからの他のパソコンやサーバへの不正アクセスを、例えばATコマンドなどの行使痕跡などにより調査し影響範囲を調査します。

その他のログ

指令サーバへの通信を検知した場合、発信元のホストを迅速に特定して隔離する必要があります。このとき、プロキシやウイルス対策製品のログには、通信の送信元IPアドレスが記録されます。送信元IPアドレスからホストを特定する際に、組織内でDHCPを使用していると、IPアドレスからホストの特定ができない場合があります。

そのため、DHCPを使用している場合は、IPアドレスとホスト名などを紐付けるため、DHCPサーバのログが記録されており、最低でも1年間のログが残っていることを確認します。送信元IPアドレスからホストを特定できるのであれば、資産管理ソフトウェアのログなどでも問題ありません。

重要サーバのログ

標的型攻撃では、最初のターゲットがウイルスに感染した後、組織内でActive Directoryを使用していた場合は、Active Directoryのドメイン管理者権限が狙われます。そのため、Active Directoryの監査ログが記録されており、最低でも1年間のログが残っていることを確認します。

また、可能であれば監査ログを定期的に分析し、不正なアクセスが発生していないか確認します。

サーバ時刻を合わせる

事故対応時には複数のサーバのログの関連性を相関分析するため、各サーバの時刻を同期しておきます。


  • [24] 攻撃のためのツールや自己増殖しない不正なプログラムをマルウェアといいますが、本文書ではウイルスとひとまとめにしています。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top