昨今話題に挙がっている情報漏洩リスクへの対策はどのようにしたらよいのでしょうか。完璧なセキュリティ対策はないと言われている現在において、破られることを前提とするセキュリティ対策が求められています。 こちらでは、標的型攻撃の特徴を理解していただくことから始めて、なぜ仮想化やクラウドが情報漏えいを防ぐ手段となりえるのかを紹介させていただきたいと思います。
標的型攻撃とは?
そもそも標的型攻撃とはどんなものなのかを理解するために、まずは近年の主な情報漏えいを見てみましょう。まず、標的型攻撃の対象は業種を問いません。名前の通り、無差別の攻撃ではなく、特定の会社や団体を狙って攻撃する手法のことを指します。
この表を見て標的型攻撃の特徴を把握していきたいと思いますが、発覚理由に記載されている通り、標的型攻撃を受けて感染してしまった場合に、被害者は気づくことができているかというと、ほとんどの場合、自分自身で検知できていません。標的型攻撃の踏み台となるC&Cサーバーを調査していた外部団体や警察が、接続元を調べて、被害者にマルウェアに感染していないかを通知することにより、初めて被害に気づくことがほとんどです。半年間も感染に気付けていなかった場合もあるくらいです。
ではこれらの被害者のパソコンにはアンチウィルスソフトウェアが動いていなかったのかといえば、軒並み稼働していました。では、なぜマルウェアに感染したことに気づけないのかというと、ゼロデイ攻撃だからです。アンチウィルスソフトウェアは、多くがウィルスだと認定されたものを定義ファイルとして持っておき、同様のものが感染しようとすると防いでくれるようなアプローチをするものです。しかしながら、標的型攻撃の場合は、ゼロデイ攻撃というウィルス定義ファイルに登録されていない未知のウィルスを送り込んでくるため、アンチウィルスソフトウェアでも感染に気づくことができない場合も多いです。
これらのマルウェアがどのように業務パソコンに侵入してくるかというと、やはりインターネットがほとんどです。では、インターネットになぜ接続するかというと、ブラウザとメールが主な理由です。これらは業務に必須であるために、インターネットに接続しないという選択をすることができないものになりますので、インターネットに接続しつつ、セキュアに保つ方法が求められるわけです。
ブラウザソフトウェアでのセキュリティリスクの例としては、Flash Playerの脆弱性によって情報漏えいをしてしまった件があります。また、メールの件では、添付ファイルを開くことによって、パソコンにマルウェアが感染してしまったという例です。最近では、仮想デスクトップ(VDI)を利用しているにもかかわらず、マルウェアに感染し、情報漏えいをしてしまったケースも報告されています。VDIは物理パソコンと異なり端末側にデータがなくなるので、端末の紛失や盗難に対する情報漏えいを防ぎ、USBメモリ等の持ち出し用媒体を禁止することができるといったセキュリティ向上を見込むことができます。一方、インターネットに接続し重要なデータを扱っている場所という点では、物理パソコンと変わらないことがわかります。VDIはセキュリティが高いイメージがあり、実際VDIが想定する従来のセキュリティリスクには効果を発揮しますが、昨今の高度化するマルウェア対策はVDIが想定するセキュリティリスクとは異なる対策という側面が強いです。そのため、VDIにもう少し工夫を加えなければ、マルウェア対策とはなりえなくなってきています。
では、具体例として官公庁や自治体を例に、マルウェアがどのように庁内ネットワークに侵入し、データを外に持ち出そうとするのかを見ていきましょう。通常、パソコンのネットワークとサーバーセグメントは分かれており、その間にファイアウォールなどのセキュリティ対策製品が境界に置かれてセキュリティを保っている構成が多いと思います。
まず、攻撃者はあらゆる方法を利用してパソコンにマルウェアを感染させようとします。最も主流な手法はメールの添付ファイルを開かせることです。職員の氏名からメールアドレスを推測してアプローチしてくるだけでなく、1回めのメールで添付ファイルを送ろうとはせずに、数回のやり取り後に、実在の会議の時間変更の内容がこの添付ファイルに書いてありますと、添付ファイルを非常に巧妙に開かせようとしてきます。攻撃者も人間のため、様々な手を使ってくることから、大勢いらっしゃる職員の方に訓練などで完全に防ごうとさせたとしても難しいと言われるのはこの部分になります。そして、添付ファイルの実行によって感染するマルウェアは、アンチウィルスソフトウェアが稼働していたとしても、気づくことができないのです。
一度、メールによってパソコンに侵入されると、マルウェアは他のパソコンに侵入して、感染を拡大しようとします。侵入したパソコンが必ずしも重要データにアクセスできる権限を持っているとは限らないため、拡散することにより、権限保持者までたどり着き、そこからデータを外に持ちだそうとします。内部に侵入されてしまうと、パソコン間の通信は容易で、マルウェアの拡散も難しくないため、気づかれずにデータを流出させることができるのです。そのため、攻撃者はとにかく1台でもいいのでパソコンにマルウェアを感染させることに躍起になっています。米国では職員の方を買収して侵入を図ろうとする例もあるくらいです。
従来の自治体ネットワークは、基幹系と情報系のシステムごとに論理的・物理的に分割されており、それぞれのネットワーク用に端末が用意されていることが一般的でした。情報系のネットワークからはインターネットにも接続できるようになっていました。しかしながら、昨今のセキュリティ事故の影響により、情報系のネットワークからインターネットも分離し、インターネットに接続するための端末も準備すべきという方針が出てきています。しかしながら、3つの端末を使い分けることになるため、コスト面および業務効率面から別の良い方法がないかを模索されています。
そこで登場するのが、仮想化技術やクラウドになります。今までの端末数は維持しつつ、いかに情報系端末からセキュアにインターネットに接続するかを、これからご紹介するソリューションによって実現されようとしています。