個人の悪ふざけから社会を揺るがす犯罪に、悪質化が進むサイバー攻撃(後編)

標的型サイバー攻撃はその犯罪の性質上、検出が困難なものですが、発見効率を高める手法も現れ始めています。サイバー犯罪に対する法整備も始まっています。一方、セキュリティ対策が万全と言える企業は多くありません。企業のセキュリティ意識を高め、対策を万全なものにするにはある要素が鍵を握っているそうなのですが、果たしてどのような要素なのでしょうか?

[2017年 8月 2日公開]

被害を受けると損失は膨大な額に

サイバー攻撃はこれまで以上に気づきにくいものになっています。特に標的型サイバー攻撃のように長期間潜伏して活動するものは、発見がとても難しいのが実情です。バックドアと呼ばれるマルウェアを送り込むなりすましメールの多くは、実在する企業名や個人名をかたり業務に関係する内容を本文に織り込んでいるので、「怪しい」とはつゆほども思わずに、攻撃者のわなにかかってしまいます。「怪しい」と全く感じさせないメールで攻撃のきっかけを作るのですから、「怪しい添付ファイルを開かないように」という昔ながらの理屈が通らなくなっているのが実情です。

近年の被害事例を見ると、深刻な被害が発生する前にいかにしてサイバー犯罪の兆候を発見するかという点が課題となっています。標的組織の内部に仕込まれたバックドアが攻撃者とやり取りをするために行う「司令塔」となるC&Cサーバー(Command & Control)への通信は、明確に不正なものと分かりますが、それ以外の活動はそれが正規のユーザーによるものなのか犯罪者によるものなのか判別がつかないものがほとんどです。つまり、ただログの一つ一つを調べるだけでは効率が良いとはいえません。大量のログの山からほんの少しの不正なログを探し出そうというのですから、何か方法を考えないと効果も上がりません。

トレンドマイクロではサイバー犯罪者が行う可能性のあるさまざまな挙動を組み合わせて見ることで検出効率を高めています。トレンドマイクロで上級セキュリティエバンジェリストを務める染谷征良氏(写真1)は「点ではなく、線で見ていく必要があります」と言います。

(写真1)トレンドマイクロで上級セキュリティエバンジェリストを務める染谷征良氏 *内容は取材当時のもの(写真:加山恵美)

まず標的型サイバー攻撃の検知につながる挙動を大きく四つに分類します。「権限昇格」「ファイルのリモート転送」「ファイルのリモート実行」「痕跡消去」の四つです。それぞれを単体で見ているだけでは不正を検知できる確率は決して高くなく、セキュリティ担当者の業務効率も下がってしまいます。点と点を組み合わせて線で結びつけてみると不正な活動を発見できる確率が飛躍的に向上するのです(写真2)。

(写真2)四つのグループに属する不審な挙動の相関関係に基づく標的型サイバー攻撃特定確率。2015年1月~12月の期間に、トレンドマイクロがネットワークを監視している中の100社が調査対象(出典:トレンドマイクロ)

近年のサイバー攻撃対策を見ると、防御側の技術向上だけではなく組織的な動きも目立ちます。サイバー攻撃の予兆を早期に発見して組織として対応するため、CSIRTといった体制の整備や対応方針の整備も始まっています。一方、セキュリティベンダーをはじめとした民間企業と法的執行機関が連携する動きもあります。

一昔前の愉快犯的なコンピューターウイルスの問題が進化し、経済的損失をもたらす深刻な問題に発展している中で法整備も進んでいます。コンピューターウイルスで被害に遭ったときは、かつてはサイバー攻撃を想定した法律がなく、器物損壊という扱いにすることもありました。不正アクセス禁止法やウイルス作成罪(不正指令電磁的記録作成罪)だけでなく改正個人情報保護法などが制定され、昨今のサイバー犯罪の実情に法律の世界も都度対応しつつあります。

しかし染谷氏は楽観していません。トレンドマイクロが実施した調査によると、各企業のセキュリティ対策は100点満点で評価すると平均で約60点だったそうです。各社状況は異なるとはいえ、現状の対策では十分と断言するのは難しいところです。

また調査対象の38.5%が何らかの深刻な被害に遭ったことがあると回答しています。その年間被害額の平均は何と2億円を超えます。そしてこの被害額平均は前年比で1.6倍と急激に上昇しています。被害を受けた場合のダメージはかなり大きいということを各企業はあらためて認識すべきでしょう。

そして染谷氏は企業のセキュリティ対策を不十分なもので終わらせるか、十分なものになるかの分かれ道は「経営層の意識」にあると強調します。「セキュリティ対策は経営層のリスク認識に左右されます。経営層のリスク認識が高い企業ではセキュリティ対策が十分行われ、経営層の認識が不十分な企業では当然ながら予算もリソースも確保されることなく、結果セキュリティ対策が不十分になっています」といいます。経営者の皆様には、「ウイルスは駆除すれば解決、という時代はだいぶ前に終わりました。メディアで報道されるさまざまなサイバー攻撃による被害事例から、同じようなことがもし自分の会社で起きたら、社会的信用、売り上げ、対応費用などどれだけの被害が起こりうるか」という視点で、このサイバー攻撃の問題を見ていただきたいですね。

執筆:加山恵美(フリーランスライター)
編集・文責:株式会社インプレス

いまどきのIT活用のおすすめ記事