[新製品・サービス]

セキュリティ専門家が語る「脅威の変化と対応策」

2012年3月2日(金)

米サンフランシスコで開催された「RSA Conference 2012」のメインテーマの1つが「サイバー攻撃」。「ハクティビズム」や「APT」といった新しいキーワードを我々はどのような文脈で理解すべきか。インターネット犯罪のトレンドに詳しいウリ・リブナー氏に話を聞いた。同氏はEMCのセキュリティ部門RSAでリスクベース認証とオンライン不正対策技術の開発で中核を担う。

ー昨今、新しいタイプの脅威が注目されている。インターネット犯罪に詳しい氏は現在の状況をどのように見ているか?

私たちはサイバー攻撃について、「誰が」「誰を」「なぜ」「どのような手段で」攻撃しているかという観点で分析する。昨今は攻撃の標的やモチベーションが変化してきていると言えるだろう。

従来は金銭的な理由から個人のオンラインバンクやクレジットカードの情報を狙うのが主流だった。フィッシングやトロイの木馬などを用いて、被害者に気付かれないようにIDやパスワードを窃取、預貯金を不正に引き出すというものだ。金融機関が攻撃されることはあっても、最終的に獲得したいのは消費者の個人情報だった。

現在も、攻撃を仕掛ける相手が個人という点では変わりはない。ただし、目的はその個人が属する組織の資産である。政府組織や企業を攻撃するためのエントリーポイントとして個人を狙う。クレジットカードの情報を盗み出す要領で従業員のコンピュータをハッキングすれば、企業のネットワークに侵入できる。

RSAの調査によれば、フォーチュン500社の88%でトロイの木馬に感染した従業員が見つかっている。気がつかないうちに被害に遭っている企業は少なくない。サイバー攻撃が企業・組織にもたらす被害は甚大だ。RSA単独でも30億ドル相当の金融詐欺行為を防止している。

ただし、最近は経済的な動機以外で攻撃するケースも見られるようになってきた。それが「ハクティビズム」や「APT」と呼ばれるものだ。

思想信条に基づき特定の組織を攻撃

まずはハクティビズム。何らかの理想を共有するメンバーが集まって特定の組織を攻撃する。「アノニマス」や「ラウズセキュリティ」がその代表だが、他にも小さな組織が多数存在している。また、特定の目的のために組織横断的に活動する「オペレーション」もある。例えば、証券会社や法執行機関を対象とした「アンチセック」がある。

彼らは複数の攻撃手法を用いる。最も良く用いられるのがDDoS(Distributed Denial of Sercive)攻撃。多数のPCを使って対象のサービスを妨害する。ハッキングを必要としない最も簡単な攻撃だが、社会にメッセージを表明する手段としては有効だ。政府や銀行、証券取引所のシステムがダウンすれば一般の人々は強い衝撃を受けるからだ。

WebサーバやWebサイトをハッキングして自分のメッセージを埋め込む手法もポピュラーだ。去年は世界中の法執行機関がこのタイプの攻撃を受けた。さらに大掛かりなものとして、社内ネットワークに侵入して極秘情報やeメールを盗み出すケースもある。情報流出が発覚すると、その企業や組織は社会的な信頼を失うことになる。

ただし、彼らは無差別に標的を選んでいるわけではない。ほとんどの場合は攻撃に値すると“評価”した対象を意図的に選択している。誰がどのような動機で何を目的にどんな標的を選んでいるか。それを知ることが、ここ1〜2年のわれわれの関心事だ。

商業組織に対する軍事レベルの攻撃

もう1つがAPT(Advanced Persistent Threats:高度で長期的な標的型攻撃)。諸説あるが、私は“商業組織に対する軍事レベルの攻撃”と定義している。

ITセキュリティマネージャーならマルウェアやハッキング、脆弱性といったテーマについては十分な知識やノウハウを持ち合わせているだろう。しかし、軍事ネットワークに対する攻撃を経験をしたことはないはずだ。

実際のところ、APTの被害を受けた企業を20社以上知っているが、ITセキュリティの枠ではいずれもベストを尽くしていた。これまでとは違ったタイプの攻撃なので企業が困惑するのも無理はない。

APTの動機は主に2つある。1つは重要なインフラをコントロールすること。重要拠点を制圧する軍事作戦に似ている。そして、もう1つがエスピオナージ、つまり産業スパイだ。主体は企業だけとは限らない。他国の政府組織が企業の知的財産を狙う場合もある。

攻撃のエントリーポイントは従業員。個人を最初に攻撃する点では、経済的利益を目的とした旧来の手口と似ている。標的を絞り込んで、ゼロデイの脆弱性をつくプログラムやマルウェアの感染源となるURLをメールで送りつける。

一旦、従業員のPCを乗っ取ることに成功すれば、あとは企業ネットワークの中を自由に活動できる。残念ながら、社内のネットワークに侵入した攻撃者を発見することは非常に難しい。実際にAPTの90%は企業から発見されないまま目的を達成している。

自社が考えるべき脅威について考えよ

ー我々が今、考えるべきはAPTへの対策なのか?

非常に良い質問だ。我々はリスクマネジメントという視点を持つ必要がある。闇雲にセキュリティ対策を講じるのではなく、まず自分達が抱えるリスクを棚卸しすること。その上で、それらリスクをどのように管理するか考えなければならない。

例えば、自社が知的財産を持っているのであればAPTに備えるべきだ。例えば、金鉱業を営んでいるのであれば、APTの心配をしなければならない。今どこを掘っていて、どれくらいの算出が見込めるかを知りたいと考える別の国が攻撃してくる可能性がある。

ハクティビズムの対象になる合理的な理由があるならそれに対処すべきだ。例えば、ゲームや映画の配信業者は知的財産を守るために作品にガードをかけるが、そこに矛先が向く可能性がある。この場合に想定すべきはアノニズムなどの攻撃者である。

まずは自問しなければならない。自社に対してどのような攻撃者が存在しうるか。また、それはどのような理由によるものなのか。その上で対策を考えなければならない。脅威は流動的に変化するので、今の答えが半年前の答えと全く違っても不思議ではない。

新しい脅威に対応するための3つのポイント

ーサイバー攻撃に対して企業はどのように対処すべきか?

社内のネットワークに侵入させないという従来型のアプローチは十分に機能しない。APTの被害を受けた企業はいずれも十分なセキュリティ対策を講じていた。今、私たちが直面している脅威に対応するためには新しい防御戦略、ドクトリンが必要だ。企業がとるべき対策は大きく3つある。

1つは異変を察知するシステム。APTの被害を受けた企業のうち90%は攻撃を受けた事実に気がつかなかった。逆に言えば10%は気がついたということだ。彼らは社内のネットワークをモニタリングしていた。つまり、ネットワークの外側だけでなく、内側にも監視の目を向けるべきだ。異変察知の精度を上げるには情報量を増やす必要がある。

2つめはサイバーインテリジェンス。脅威に対応するためには攻撃の主体や目的、手段に対する理解が必要不可欠だ。例えば、銀行や証券会社は金融詐欺の犯人や手段を分析して不正取引の検知を試みている。同様の試みを攻撃者に対しても行うべきだ。今後、大企業の多くがサイバーインテリジェンス専任部門を5年以内に設立することになるだろう。

3つめは情報をシェアすること。個別に問題を抱え込むよりも、皆で共有した方が対策が生まれやすくなる。セキュリティに関する情報は外部に公開しづらいものだが、企業間あるいは政府企業間で情報を積極的に共有していくべきだ。例えば、米国では国家安全保障局(NSA)が大手の金融機関に対して情報提供を開始している。

ウリ・リブナー氏 RSA Head of New Technologies, Identity Protection

ウリ・リブナー氏 RSA Head of New Technologies, Identity Protection

関連記事

セキュリティ専門家が語る「脅威の変化と対応策」米サンフランシスコで開催された「RSA Conference 2012」のメインテーマの1つが「サイバー攻撃」。「ハクティビズム」や「APT」といった新しいキーワードを我々はどのような文脈で理解すべきか。インターネット犯罪のトレンドに詳しいウリ・リブナー氏に話を聞いた。同氏はEMCのセキュリティ部門RSAでリスクベース認証とオンライン不正対策技術の開発で中核を担う。

PAGE TOP