2019/8/5

「情報セキュリティ10大脅威2019」を読み解く(1) 標的型攻撃による被害

  • このエントリーをはてなブックマークに追加

「情報セキュリティ10大脅威 2019」は、独立行政法人 情報処理推進機構(以下 IPA)が選出した2018年において社会的な影響が大きかったと考えられる情報セキュリティ上の脅威について、情報セキュリティ分野の研究者、企業の実務担当者など約120名で構成される「10大脅威選考会」が審議・投票し、「個人」「組織」における脅威を1位から10位まで順位づけしています。

情報セキュリティ10大脅威 2019(組織)
※NEW 初めてランクインした脅威

IPA 情報セキュリティ脅威2019:
https://www.ipa.go.jp/security/vuln/10threats2019.html#download

本コラムでは、「情報セキュリティ10大脅威2019」の組織部門で1位にランキングされた「標的型攻撃による被害」についてお話します。


標的型攻撃とは?

独立行政法人 情報処理推進機構(IPA)が発表した「セキュリティ10大脅威 2019 組織編」では、 4年連続で「標的型攻撃による被害」が1位 となっています。

標的型攻撃は、高度化、巧妙化しつつあるサイバー攻撃の中でも、軍事機密や企業の機密情報を盗み出すために使われる手法で、攻撃側が時間をかけて入念な準備を行い、セキュリティ対策機器の検知を潜り抜けて行動することから、狙われる防衛側は攻撃されていることに気づきにくく、被害が大きくなる傾向があります。

防げないのは「人の脆弱性」が狙われているから

多くの企業では標的型メール訓練の実施や、マルウェア検知などエンドポイント対策を強化していますが、それでも標的型攻撃の被害を食い止められてないのは何故でしょうか?

標的型攻撃には様々な手法があり、2009年にUSBメモリを用いてイランの核施設を攻撃したStuxnetや、2018年夏のウェブ/モバイルサイト改ざんにより個人情報を窃取したブリティッシュ・エアウェイズ等のインシデントもありますが、その攻撃の多くは、初期段階(偵察フェイズ)でメールを利用して攻撃対象者をマルウェアに感染、あるいはフィッシングサイトに誘導しようとします。

「ウイルス対策ソフトを常に最新化する」であるとか「怪しいメールは開いてはいけない」といった対策を実践している企業は多いでしょう。

しかし最近の標的型攻撃メールは手口が洗練され、ウイルス対策ソフトを含む自組織のセキュリティ対策を潜り抜けてきますし、正規の取引先を装ったメールは文面も自然で、「怪しいメール」なのか瞬時には判断できなくなりつつあります。

警察庁が2019年3月7日に発表した「平成30年におけるサイバー空間をめぐる脅威の情勢等について」(*)によると、平成30年の標的型メールは6,740件(前年比11%増)と年々増加傾向にあります。また標的型メールの送信元メールアドレスは98%が偽装されており、標的型メールに添付されたファイル形式はWord/Excel文書が68%を占めています。

このデータが意味するのは、攻撃側は従来のWebサイト等の脆弱性を狙う「技術」重視の攻撃から、企業や組織の状況を見極めた上で、メールに特有な「人の脆弱性」を突いて添付ファイルを開かせようと攻撃手法をシフトしつつあるということだと考えられます。

標的型メール訓練等を通じて、“自分は大丈夫”と思っている方も多いかも知れません。しかし攻撃者は常に攻撃を高度化、巧妙化させてきており、人の油断をも狙ってきているので注意が必要です。

たとえ警戒心の強いセキュリティ担当の方であっても、深夜や徹夜明けの集中力の落ちた時間帯に、ついうっかりメールのURLリンクを押してしまうこともあるでしょうし、経営層やその秘書の方が1日何百通も処理する中でクリックミスをして添付ファイルを開いてしまうこともあるのです。


(*)参考:「平成30年におけるサイバー空間をめぐる脅威の情勢等について」警察庁
https://www.npa.go.jp/publications/statistics/cybersecurity/data/H30_cyber_jousei.pdf

どう対策していけばよいのか?

数年前は「OSやウイルス対策ソフトの最新化」「不自然な日本語」「送信元がフリーメール」辺りに気をつけていれば、多くの標的型攻撃(フィッシング)メールには引っかからずに済むと考えられていました。

これらは未だに有効なケースもありますが、企業や研究機関等の重要情報を狙った最近の攻撃は、ウイルス対策ソフト等を潜り抜け、正規のビジネスメールをコピーした自然な日本語文体で、送信元を偽装し、メール送付されてくることも多いので、さらに追加対策を考える必要があります。

攻撃を受けた場合、被害拡大を防ぐために、Firewall、IDS/IPS、次世代型Firewall、SOCサービスの利用等、上位側のセキュリティをより強化することが有効ですが、一方で、 ユーザー側での事前対策の討余地もある と考えます。

ユーザー側の追加対策としてまず挙げたいのは、 会社が送信する全てのメールにS/MIMEやDKIM等の電子証明書をつける ことです。電子証明書付きメールをサポートしているメールソフトを使えば、なりすまし防止に大きな効果が見込めます。

残念ながら多くの日本企業では「証明書」をコストと考えるからか、あるいはメールのやり取り先が電子証明書を導入しないからか、ほとんど証明書付きメールは普及していませんが、特に重要な情報をやり取りする部署では、電子証明書の利用が強く推奨されます。


電子証明書を使わない場合は、次善の策として、多層防御によるセキュリティ向上を検討する のが良いと考えられます。たとえば以下のような対策が考えられます。

1.テキストメール表示
メール形式からテキスト形式へ受信方式を変更することも、メール文面中に表示されるURLリンク(アンカーテキスト)と実際のリンク先のURLの差分が異なることに気づきやすくなります。

2.添付ファイルの実行禁止
Windows環境であれば「ソフトウェア制限ポリシー」を設定し、システム管理者が許可したプログラム以外は実行禁止にすることで、電子メールの添付ファイルやUSBメモリ経由での不正な実行ファイル起動(マルウェア感染)を防止する効果が期待できます。

3.ファイル拡張子の表示
標的型攻撃メールに添付される不正実行ファイルの中には、PDFのファイルアイコンで中身は実行ファイル(EXE/SCR/CPL)であったり、Wordファイルのファイルアイコンで中身はJavaScript(.js)、あるいは二重拡張子(XXXX.docx.exe)といったふうに、多くの環境で拡張子が表示されないことを悪用し、不正なプログラムを正規のファイルに偽装することもあります。

たとえばWindows環境であれば、フォルダーオプションで「表示」詳細設定の「登録されている拡張子は表示しない」のチェックマークを外すことで、ユーザーがこうしたアイコン偽装に気づきやすくなります。

4.FlashやJavaは必要なければ削除
Webメーラーを使っている場合に特に注意が必要なのがFlashやJavaSciriptです。頻繁に脆弱性が報告されるプログラムやプラグインに関して、OSやWebブラウザ程に最新化(アップデート)されない場合は、標的型攻撃でそこを破られるリスクは高くなります。

最新化に注力するのが難しいのであれば、業務上で必要性がないソフトやプラグインの削除や無効化が有効であると考えられます。

セキュリティと利便性はトレードオフ

電子証明書利用、HTMLメール禁止、添付ファイル実行禁止、ファイル拡張子表示、Java/Flash削除・・・こうした対策の実施は、現状の運用よりもユーザーの利便性を低くする可能性があります。

そうした意味ではセキュリティ(機密性)と利便性がトレードオフの関係にあることの典型例といえるかも知れませんが、高機能化しすぎた日本の白物家電と同じように、便利な機能を「使いこなしてない」ユーザーが多いのであれば、セキュリティと利便性のバランスを考え、必要な機能だけに絞った機能のほうが、結果としてメール運用はしやすいのではないでしょうか。

関連記事:
「情報セキュリティ10大脅威 2019」を読み解く(2) ビジネスメール詐欺による被害
https://www.dnp.co.jp/biz/theme/security/detail/1192936_1902.html
「情報セキュリティ10大脅威 2019」を読み解く(3) ランサムウェアによる被害
https://www.dnp.co.jp/biz/theme/security/detail/1192988_1902.html

情報セキュリティコラム一覧:
https://www.dnp.co.jp/biz/theme/security/

人気の記事