株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

標的型攻撃 対策指南書

2.4. 被害拡大の防御策の実装

標的型攻撃 対策指南書をダウンロードして読む方は PDF版

標的型攻撃では、ターゲットの最も脆弱な部分を狙って、複数の経路で攻撃が行われます。一般的には、メールによる攻撃が最も多く、次にWeb経由での攻撃が続きます。この2つの経路は、どこの企業・組織に対しても利用しており、インターネットから直接に利用者の端末にウイルスをダウンロードさせたり、実行させたりすることができます。そのため、メールとWebについては、できる限りウイルスを内部に入れないような対策が防御策となります。
本項においては、代表的な対策として知られる手段の概要をまとめます。防御策は多岐にわたりますので、今後の改訂により網羅性を高め、詳細な対策法を整理してまいります。

必ず実施すべき最低限の対策

ウイルスの感染を対象のパソコンで防御するためには、既存のウイルス対策製品では基本的にはウイルスのパターン [16]が存在しないと検知・防御することができません。標的型攻撃で使われるウイルスは、ウイルス対策ソフトでは検知することがないことを確認した、使い捨てのウイルスで突破を試みるからです。ただし、パターンが更新されれば検知・防御できる可能性があるため、ウイルス対策製品は必ず導入します。また、実際に被害が発生した場合、ウイルス対策製品を導入していなかったという事実が大きな脅威となります。言い訳が出来ないためです。
このように標的型攻撃で使用されるウイルスは、攻撃者も手に入れることが出来る一般的なパターン検知による市販のウイルス対策製品で防御することは困難であるため、攻撃者側は入手しづらい振る舞い検知機能を持つウイルス対策製品を導入します。
また、従来のパソコン上でのウイルス対策に加え、ネットワーク上でのウイルス検知機能を持った機器(FireEyeなど)の導入も有効です。

メール

メール経由のウイルス感染は、組織のパソコン利用者のメールアドレスを何らかの方法で入手します。その後、メールを受信した利用者に対して直接ウイルスを送り込み、利用者がうっかり送り込まれたウイルスを実行してしまう[17]と感染被害につながります。また、メールシステムは元来、送信元情報を偽装[18]できるため、取引先の担当者の名前を騙るなどの手段で信用させます。メールの文章も簡単には見分けがつかない完成度の高い内容や実際に使用されたものであることが多く、メールを受信したパソコン利用者は、疑念を抱くことなく、ウイルス感染させられてしまうケースがほとんどです。

  1. メールによるウイルスの感染で最も多いのは、Windowsの実行形式のファイル(拡張子が”.exe”のファイル)を添付して、受信した利用者に実行させる方法です。実行形式のファイルを受信した場合には、メールサーバで添付ファイルを削除するか、受信を拒否するなどして、利用者までメールが届かないようにします。或いはWindows以外のパソコンで添付書類を開きます。
  2. 不正な文書ファイル(例:拡張子が”.doc”, “.docx”, “pdf”のファイル)を送り、利用者にファイルを開かせることにより、OfficeやAdobe Readerといったソフトウェアの脆弱性を悪用することで、ウイルスに感染させます。パソコンで使用しているソフトウェアは常に最新の状態にします。或いは正規のソフト以外の閲覧ソフト或いはWindows以外のパソコンで添付書類を開きます。
  3. メールにWebサイトのアドレスを書いて送り、利用者にクリックして実行させた際に、ブラウザやFlash Playerやjavaなどの脆弱性を悪用することで、悪意あるプログラムを実行してウイルスに感染させます。パソコンで使用しているソフトウェアは常に最新の状態にします。また、Webのウイルス対策もあわせて実施します。或いはWindows以外のパソコンでリンクをクリックします。
  4. 送信元ドメインや送信元メールアドレスを偽装してメールを送信し、メールを受信する使用者をだまします。送信ドメイン認証であるSPF(Sender Policy Framework)を使用し、正しいドメインからメールが送信されているかチェックします。

Web

Web経由攻撃は、不正なWebページを用意し閲覧者のパソコンにウイルス感染させる手段として使われます。メールに比べれば、不正なWebサイトに利用者を誘導する手間が必要ですが、通常のWebサイトが改ざんされ不正なプログラムが埋め込まれるなど、見た目で不正なWebサイトと気づくのはほとんど不可能です。

  1. インターネット上の任意のWebサイトを使用する必要のない業務や利用者の場合には、ホワイトリスト[19]による指定したドメインへのアクセスに限定します。
  2. JavaやFlash Playerなど、ブラウザのプラグインとして実行される特定のアプリケーションは、危険度の高い脆弱性が存在することが多く、ウイルスの感染に悪用されることが多いため、これらの機能を無効化、もしくは可能であれば削除します。業務で必要な場合は、そのサイト利用時のみに該当の機能を有効にします。
  3.  2.を実施しても、攻撃者はブラウザなどのソフトウェアの脆弱性などを突いて、ウイルスに感染させることができます。そのため、パソコンで使用しているソフトウェアは常に最新の状態にします。
  4.  攻撃者は、Webサイトに埋め込まれた不正なコードや、不正なプログラムをダウンロードさせることで、ウイルスに感染させることができます。そのため、Web用のウイルス対策製品を導入して、HTTPでダウンロードしたコンテンツのスキャンを行います。
  5. Windows若しくはWindow上で動作するソフトの脆弱性が悪用されることが多いため、メールやサイト閲覧などだけであればパソコンを使用しない方法を取ります。

その他ネットワーク経由の攻撃

ウイルスのネットワーク経由の侵入経路としては主にメールかWebですが、自組織以外のネットワークとの境界では、ウイルスに限らず不正侵入を防御するために対策が必要です。ネットワーク境界には、ファイアウォールなどによるアクセス制御のほかに、攻撃を防御するような製品を導入します。

  1. 自組織とインターネットとの境界では、次世代ファイアウォールによりアクセス制御を行い、必要な通信のみ許可します。さらに、公開Webサーバなど、任意の第三者がアクセスする場合には、侵入防止システム (以降IPS) を導入して攻撃から防御します。
  2. 自組織と他組織との境界(例:自社とグループ会社)でも、次世代ファイアウォール[20]によりアクセス制御を行い、必要な通信のみ許可します。他組織のネットワークが信用できない場合は、IPSを導入して攻撃から防御します。

また、このような防御システムはシステム内に侵入したウイルスの活動を発見できる役割を負わせることも出来るため(むしろその役割のほうが有効であるため)運用できるならば試してほしい対策である。

外部記録媒体経由での攻撃

ウイルスの感染は、大半がネットワーク経由で行われますが、稀にUSBメモリやDVD等の外部記録媒体経由でも行われます。

  1. 信頼できない人物や方法(例:拾ったUSBメモリ)によって入手した外部記録媒体に保存されたウイルスなどを実行しないように、DVD等のメディアの自動再生を無効にし、USBなどのデバイスについては認められたデバイスのみ接続を許可するように設定もしくは製品を導入します。
  2. 信頼できない機器や人物に信頼している媒体を渡さないようにします。

システム管理者パソコンの保護

攻撃の多くはシステム管理者のパソコンが侵害されています。組織のシステム全体の管理権限を持つシステム管理者のパソコンが侵害されるとパスワード管理表やパソコン管理表などの重要な情報も攻撃者の手に渡ってしまうことになります。組織のシステムを防御する上でシステム管理者のパソコンの保護は欠かせません。しかし、多くの被害現場ではシステム管理者のパソコンの保護が十分ではありません。システム管理者のパソコンが上述したようなメールやWeb経由でウイルスに感染し、システムの重要情報が盗まれています。
システム管理者のパソコンを保護するために以下の対策が重要です。

  1. システム管理者のパソコンはシステム管理専用のパソコンを用意し、システム管理者としての技術情報収集などのパソコンとは分離し、当然のことながら社員や職員の通常の業務パソコンと分離する
  2. システム管理用のパソコンではインターネット閲覧や組織外部とのメール送受信をできるだけ避ける

  3. システム管理用のパソコンは管理専用のネットワークを用意し、業務ネットワークと分離し、アクセス制御を実施する

ウイルス感染しても、被害を広げないための対策

ウイルスに感染すると、外部の指令サーバに接続を試み、接続に成功すると指令サーバから送られた命令を実行します。指令サーバとの接続は、一般的にはHTTP[21]もしくはHTTPS[22]が使われますが、稀にその他の通信が使用されます。そのため、まず自組織からインターネットに出て行く通信を必要な通信に限定します。特に、HTTPおよびHTTPSについては、必ず自組織のプロキシ[23]経由でのアクセスに限定し、プロキシ経由以外のHTTPおよびHTTPSについてはファイアウォールで拒否します。以下は一例です。

  • パソコンからインターネットへの通信は全てファイアウォールで拒否する。
  •  HTTPおよびHTTPSは、自組織のプロキシ経由のみファイアウォールで許可する。
  •  DNSは、自組織内のDNSサーバ経由のみファイアウォールで許可する。
  •  SMTPは、自組織内のSMTPサーバ経由のみファイアウォールで許可する。メール送信を許可するクライアントは、SMTPサーバで制限をする。
  •  FTPやSSHは、自組織のゲートウェイ経由のみファイアウォールで許可する。FTPやSSHを許可するクライアントは、ゲートウェイで制限をする。

プロキシもしくはWeb用のウイルス対策製品では、URLフィルタリングにより不正なサイトへのアクセスのほか、Flash Playerなど特定の(脆弱性があり危険なソフトウェアで閲覧する)コンテンツをブロックします。また、前述したようにホワイトリストによるアクセス制御を行う場合には、URLフィルタリングの機能を用いて、許可したドメインのみアクセスを許可します。

プロキシでは、利用者認証を導入することで、利用者認証を行わないウイルスが指令サーバに接続できないようにします。ただし、パソコンから認証情報を盗んで、プロキシで利用者認証を行った上で、プロキシ経由で指令サーバと接続することも可能である点に注意してください。

ウイルスに感染し、指令サーバへの接続に成功すると、感染の拡大や権限の昇格・奪取が行われます。特に、Active Directoryが導入されている場合には、Active Directoryのドメイン管理者権限が狙われます。そのため、ドメインコントローラーには、特に最新のセキュリティ更新プログラムを適用してください。その他のパソコンやサーバに対しても同様で、最新のセキュリティ更新プログラムを適用してください。

ウイルスに感染したパソコンから他のパソコンに感染することを防止するために、使用者のパソコン同士の通信を制御することが重要です。従来のシステム設計では使用者のパソコン同士の通信を制御する思想が含まれておらず、多くのシステムではそのような設計になっていません。しかし、多くの標的型攻撃の事案では多数のパソコンがウイルスに感染しており、被害を受けたすべてのパソコンの調査を実施することができず、被害範囲を特定することが難しくなっています。被害拡大防止の観点でも使用者のパソコン同士の通信をWindowsファイアウォールやL2スイッチなどで制限することを検討するべきです。使用者のパソコンとサーバ、使用者のパソコンと複合機は通信ができる必要がありますので、システムに必要な要件を検討して実施してください。

  • [16] シグネチャともいう、ウイルスの特徴を集めたデータベースで、ウイルス対策ソフト毎に提供されてます。
  • [17] パソコン利用者の多くは、実行ファイルとは何かを認識せずにパソコンを利用しているのが実態です。
  • [18] メールシステム(SMTP)は、送信者情報を送信者が設定する仕組みのため、別人を装った送信も可能です。
  • [19] ブラックリストの反対で、接続や実行を許可しているサイトのリスト
  • [20] 従来のファイアウォール機能に加え、アプリケーションレベルでのセキュリティ機能が充実している製品
  • [21] Webシステムで利用される通信の手続き方法が規定されたもの
  • [22] 上のWebシステムで利用される通信規定を、暗号化するために規定されたもの
  • [23] 代理サーバのことで、ブラウザからの要求を一旦受け取り、ブラウザの代わりにサーバにアクセスする仕組み。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top