サイバー セキュリティ啓発月間の眠れぬ夜に


By Jacques Erasmus

最近なかなか眠れない夜が続いていたのですが、ゆうべその理由をはっきり認識しました。10 月は私にとって、インターネット セキュリティに関する新たな事態で大わらわの月となりました。当社にとってこれまででもっとも重要ともいえるコンシューマー向け新製品発売のさなか、ウェブルートの最高情報セキュリティ責任者に就任したのです。

この状況だけでも、企業セキュリティについて 24 時間 365 日体制で意識するきっかけとしては十分だったでしょうが、米国でサイバー セキュリティ啓発月間に定められている 10 月にあたったことで、私はその意識をいっそう強くしました。そこで、私が最近思いを巡らせているリスク シナリオや、社員と会社を守るためのベスト プラクティスについてここでご紹介すれば、私の精神の安定につながるとともに、読者の皆さんにも役に立つのではないかと考えました。

シナリオ 1: ネットワークからの感染

企業ネットワークへのローカル アクセスやリモート アクセスのときに社員が利用するデスクトップパソコンやノートパソコンについては、多くの企業がセキュリティ保護の確固たる基準を定めています。しかし、たった 1 人の委託社員が、感染したノートパソコンを企業ネットワークに接続するだけでも、企業の機密情報や顧客情報がマルウェアに露呈してしまう結果につながります。物理的なセキュリティになぞらえて考えると、社屋に入ってきた部外者を排除するのと同じように、不正なアクセス ポイントは排除するのが適切です。ウェブルートの場合は、自社のマルウェア対策製品 SecureAnywhere をネットワーク アクセス制御装置とのインターフェイスに利用することで、ネットワークへの接続前に感染がないことを確認しています。

シナリオ 2: Web アプリケーションの脆弱性

一見安全そうに見えるサイトでも、SQL インジェクションによって、オンライン取引でユーザーが利用するパスワードや銀行口座番号などの個人情報が犯罪者の手に渡ることがあります。コーディング標準に不備があるサイトや、Web フォームの入力をきちんと検証していないサイトでは、中間者攻撃 (顧客と正規のサーバーとの通信内容を攻撃者が途中で傍受する形の攻撃) が発生することがあります。攻撃者は、盗難を行いやすくするために、そのような不備を突き、検証対象のデータの入力フィールドを変更するからです。ユーザーからすると、サイトの URL も不審に思えることがあります。Web アプリケーションの開発では、万全のセキュリティを実現できるコーディング標準を遵守することが重要です。

シナリオ 3: 標的を絞った攻撃

このシナリオは、さまざまな手法を合わせ技にしたようなものです。IT 管理者にせよ、個々の Web ユーザーにせよ、標的を絞った攻撃に対してはかなりの警戒が必要です。マルウェアの作者は、攻撃対象の具体的な環境や盗みたいデータの種類 (ソースコード、財務情報、顧客データなど) に合わせて、トロイの木馬にカスタマイズを加えてくることがあります。

標的を絞った攻撃では、ソーシャル エンジニアリングの手法を利用して企業の防御を破られるのが一般的です。たとえば、信頼の置ける相手からに見せかけた偽の電子メールを使った手口などです。このような電子メールを受信した社員が、メールの指示どおりの操作を行うと、そうとは知らないままに攻撃の引き金を引く結果になります。たとえば、リンクをクリックしたり、PDF、Flash、QuickTime などのファイルを開いたりしたことで、ドライブバイ ダウンロードが始まるなどです。

さまざまなリスク シナリオの中でも、標的を絞った攻撃が特に危険なのはなぜなのか、その理由がよくわかる具体例を紹介します。

我々が関与している、ある銀行での話です。あるとき、この銀行の窓口係の行員たち宛てにメールが届きました。差出人となっていたのは、この銀行がお世話になっていて信頼を寄せている、ある企業の人物です。メールによると、その企業の CEO がテレビに出演することになり、ある Web サイトで登録すれば職場のパソコンでもその番組を見られるとのことでした。窓口係のうちの何人かが、メールに記載されていたリンクを実際にクリックしたところ、リンク先の Web サイトには、動画の閲覧に必要なツールをインストールせよとの指示がありました。

窓口係の行員たちがインストールしたツールは、実はトロイの木馬 SpyEye でした。しかも、犯人は下調べも万全でした。この銀行が国際電信送金のインターフェイスを備えていることと、そのインターフェイスでの送金は銀行のネットワーク内からしか開始できないことを確認済みでした。さらには、この銀行は電信送金に二重制御のしくみを取り入れているため、複数の窓口係のマシンを感染させる必要があるということも把握していました。つまり、行員 2 人に感染してもらうのが、犯行の第一歩として理想的だったのです。

行員たちの仕事中に、犯人は別のオンライン セッションを確立し、3 か所に向けてかなり多額の送金を行いました。金曜日の遅い時間の犯行だったことから、銀行側は送金を停止する態勢が整っておらず、最終的には莫大な損失を被る結果となりました。

幸い、この種の攻撃を防ぐ手立てはいくつかあります。

IT 管理者の方々に頭に入れておいてほしいのは、サイバー犯罪者が攻撃の糸口として一番狙いやすいのは、「もっとも弱い環」である部分、つまり社員 1 人 1 人だということです。騙しを見破る方法について、社員の皆さんに啓蒙してください。

Web ユーザーの方々は、会社や自宅でネットを利用しているときに、怪しげなメールに記載されている URL が危険なものかどうか判断が付かないときには、whois.net や DomainTools.com で確認してみてください。また、会社以外の場所でメール送信やオンライン取引を行うときには、利用している Web サイトが https 接続かどうかも確認してください。それ以外のサイトの場合、セキュリティ保護されていないネットワーク上でパスワードが漏れ出す可能性があります。

wordpress blog stats