株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

標的型攻撃 対策指南書

2.2. 情報収集と情報共有

標的型攻撃は、国家のように高度で強い意志が働いている組織の仕業であり、知的好奇心や自らの功名心で行われる犯罪ではないと考えられています。攻撃の多くは日本国外から到達しており、外交機密、防衛機密、重要技術情報や莫大な金銭的価値のある情報、更なるターゲット攻略への足がかりとなる情報を求めて攻撃が行われていると考えられています。

日本の産業競争力をはじめとした国力を守るために、というのは少し大げさかもしれませんが、ある業界で、A社から情報が流出し、同じ手法でB社からも情報が流出し、C社からも流出し、といった展開を許してしまうことは決して国益にかなったものではなく、また業界全体の利益にも、そして個々の会社の利益にも悪影響があることは明白です。
例えA社からしか情報が流出しなくても、いつのまにか外国企業の技術力があがっていて、市場競争環境が悪化するということがあれば、B社、C社にとっても望ましいことではないはずです。
公平な競争環境という、経済活動の土台そのものが、無策でいては保証されないのです。

 標的型攻撃対策を考えるとき、彼らの違法な情報収集を許してはいけません。その為には個々での「情報収集」が重要であることは自明ですが、「敵を広く知らしめる」ためには企業を超えた「情報共有」に踏み込む必要があります。特にある業界全体が標的になった例は多く見られ、業界内部での情報共有の仕組みの重要性が高まっています。その為には単なる攻撃だけではなく、攻撃基盤ともいえる指令サーバ[14]や水飲み場攻撃の使われた改ざんサイトなどの情報を共有することを考えなければなりません。つまりは、自分が標的型攻撃の対象になったときだけではなく、その踏み台になったことが発覚したときにこそ、情報共有の第一歩が始まります。勇気を持って詳細に調査する、警察やJPCERT/CCに協力し適切な情報共有が行われるように協力する意思を決めておかねばなりません。

CSIRTによる情報収集

CSIRTが収集すべき情報には、大きく分けて社内の情報と社外の情報がありますが、社外の情報の収集だけに絞っても次のようなものが挙げられます。

  • 脆弱性情報
  • セキュリティ事故発生状況
  • 攻撃予告等の早期警戒情報
  • 感染調査するための情報(指令サーバーやウイルスの特徴等)

CSIRTには、これらの具体的情報を収集し、自組織に対するインパクトを的確に判断する能力が求められます。また、これら「点」の情報を有機的に解釈し、サイバーセキュリティ動向を示唆する情報として分析することも必要でしょう。しかし実際には、多くの企業のCSIRTでは、比較的容易かつ定型で収集できるソフトウェア等の脆弱性情報を収集することだけで、その先の分析までは行いきれていません。

当社は、海外を含めたセキュリティ事故事例を日常的に収集し、自社で調査している事案との関連性などを分析していますが、情報が正しく入手できた場合には、考えられる原因や手法、とるべき対策について推測することが可能です。
これが可能なのは、分析技術や事故対応経験も関係しますが、日常的にセキュリティ事故情報を注視し、考えられる攻撃シナリオや脆弱性について分析し、そして自組織にあてはめた場合に何が起こるかをシミュレーションし続けていることが背景にあるためです。

攻撃予告等の早期警戒情報については、公的機関からの連絡、セキュリティ企業からの連絡等で知ることが多いでしょう。実際には、攻撃予告が行われる攻撃については、技術的に想定できる範囲の手法[15]であることが多く、適切なセキュリティ対策が行われていれば過度に恐れることはありません。とはいえ予告情報が手に入れば何もしないわけにはいかないのが現実です。
こうした攻撃予告情報は、確実に入手できるように準備しておくことが重要です。入手した場合は確実に対応することがCSIRTの錬度を高め、標的型攻撃対策の総合力アップにつながってゆきます。

CSIRTによる情報共有

「はじめに」に記載したとおり、標的型攻撃対策では、攻撃手法の情報、相手の用いている武器(ウイルス添付メールの文面や、ウイルスファイル、その通信先等)の「敵の動き」をつかみ、お互いの防御に活かす必要があります。

現在では、各社のCSIRTを主体として、様々な情報共有スキーム、情報共有団体が生まれています。これらは従来から日本でも組織されている「職能団体」や「業界団体」です。
代表的な情報共有団体には、例えば NCA(日本CSIRT協議会)、各業界のISAC団体(Information Sharing And Analysis Center, 情報共有分析センター)、国際的な枠組みではFIRST(Forum of Incident Response and Security Teams)などがあり、実際に脅威の封じ込めに直結する情報を含めた活発な意見交換・情報共有が行われています。海外の情報共有団体に参加すれば、「次に日本に来るサイバー攻撃」の予測ができることも大きな利点となるでしょう。

「そんなに頼もしい団体があるのか、ぜひ入って情報を今すぐ入手したい」と思われたでしょうか。これらの団体は、基本的に情報交換のフレームワークを提供するもので、情報共有そのものは参加している企業や団体が自発的積極的に進めるものです。誰かが音頭を取ってくれるような枠組みではありません。重要なことは、自ら進んで情報を提供し、議論に加わることです。
もしあなたが自組織に対して行われたサイバー攻撃情報を共有しても良いと考えるとしたら、それはどんな相手に対してでしょうか。答えはおそらく、同じように情報を提供してくれる相手とでしょう。

「職能団体」や「業界団体」を円滑に運営するには、会で率先して貢献することは人付き合いの上で基本です。情報交換の場での貢献は、自社で把握した情報を信頼する仲間に共有し、そのフィードバックを得ることであり、仲間の事案に対する自らの考えを発言することです。情報は寂しがり屋とも言います。持っているところに集まるのです。
もちろん、自組織に対して行われた攻撃の検知や、調査・分析を行うため、CSIRTの組織化とスキルアップは必要になりますが、情報共有をする意思があれば、仲間が支援してくれます。それが互助会の良い点です。

「そうは言っても、いきなりはなかなか」という声も聞きますが、そうした場合には、同業種の特定社のCSIRTチームとまずは意見交換をするという方法があります。普段はライバル企業同士であっても、共通の敵に対しては利害が一致している筈です。
当社では、設立のお手伝いをしたCSIRTチームのご担当者間の意見交換会等をコーディネートすることがありますが、セキュリティ推進担当から、互いにとても参考になったというご意見を頂きます。

世界的注目を浴びる東京オリンピック・パラリンピックのような大イベントの際には、様々なサイバー攻撃が日本を襲うことは間違いありません。今後情報共有の仕組みの堅牢性、スピード等の重要性は増すばかりですが、大変残念なことに、サイバー攻撃の事実をいち早く発表・共有しても「面倒なことが増えるばかり」という状態にあります。そのような環境の中、生きた情報が十分に流通するためには、人間的な相互信頼と「互助の精神」に頼らざるをえないのです。

  • [14] コンピュータに侵入したウイルスを遠隔操作するためのサーバ。C&Cサーバとも呼ばれる。
  • [15] ただし、とにかく大量の通信を投げつけて対象を麻痺させるDoS攻撃等、単純ではあるが防ぐことが難しい攻撃というものも存在します

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top