セキュリティ課題を
解決するためのヒント

標的型攻撃対策の「5つの備え」

企業のサイバーセキュリティ対策において、いまやウイルス対策は「必要なもの」ではなく、「やっていて当然」のものです。ほぼすべての企業において、ウイルス対策は当たり前のように実施されているといっても過言ではありません。

それでは、ウイルス対策を行っていればサイバーセキュリティ対策は十分でしょうか? これだけウイルス対策が一般的に行われるようになった現在でも、サイバー攻撃による被害が頻発している事実を考えれば、ウイルス対策に加えてさらなるサイバーセキュリティ対策が必要なことは明らかです。

昨今、企業にはウイルス対策だけでなく、さまざまなサイバーセキュリティ対策が求められています。しかし、その中からウイルス対策に次いで特に優先して行うべき対策を挙げるならば、それはこの記事で紹介する標的型攻撃への対策です。

記事インデックス

  • 「5つの備え」とは
  • 標的型攻撃を引き起こす脅威の侵入経路
  • マルウェアの発見が難しくなっている理由
  • さらに巧妙な攻撃手法も
  • GUARDIANWALLによる標的型メール対策
  • プロキシサーバとURLフィルタリングによるマルウェアの抑制
  • 「入口対策」「出口対策」双方に有効な「脅威情報連携機能」
  • フィッシング被害を拡大させる偽メール/偽サイトの巧妙化
  • 攻撃されていなくても発生する情報漏えい
  • 標的型攻撃から不正アップロードまで幅広い対策を実現する「GUARDIANWALLシリーズ」

「5つの備え」とは

この記事のタイトルになっている「5つの備え」とは、キヤノンマーケティングジャパンが提唱する、網羅的なセキュリティ対策を実現するために取り組むべき事柄です。「特定」「防御」「検知」「対応」「復旧」という5段階のプロセスで構成されています。

なぜ、「5つの備え」が必要なのでしょうか? サイバー攻撃は非常に多様です。さまざまな手法で企業のネットワークを攻撃するだけに留まらず、その手法は近年ますます巧妙になっています。単一のセキュリティ対策だけでは、そういったサイバー攻撃に対して対処しきれません。また、先に述べたようにすべての攻撃を完全に防ぐのは不可能です。したがって、攻撃を受けてしまった際の対応も考える必要があります。

そこで、多層的かつ網羅的なセキュリティ対策によって企業のネットワークを守るとともに、万が一攻撃や侵入、情報の流出などが発生してしまった場合でも迅速かつ適切に対処しようというのが、「5つの備え」なのです。

5つの備え
5つの備え

日々深刻さを増す標的型攻撃の脅威

近年、標的型攻撃は企業のサイバーセキュリティにおける重大な課題となっています。IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威 2018」では、組織における情報セキュリティ脅威で「標的型攻撃による被害」が1位になったことからも、その重大さは明らかです(ちなみに、2017年、2016年の「情報セキュリティ10大脅威」でも、標的型攻撃が1位でした)。事実、すでに多くの組織が標的型攻撃の被害に遭っています。

標的型攻撃とは、マルウェアなどを使って企業の情報を盗み出したり、データを破壊したりすることを企図した攻撃手法のひとつです。具体的には、メールの添付ファイルや悪意のあるWebサイトからPCに「ダウンローダ」と呼ばれる小さなプログラムを送りこみ、「ダウンローダ」がインターネットを通じて外部のC&Cサーバ(Command and Control server)と通信して、PCにマルウェアを侵入させます。侵入したマルウェアは、やがて組織のネットワークを掌握し、最終的に情報が盗み出されたり、データが破壊されてしまったりするという手口が一般的です。

参考リンク

標準型攻撃

標的型攻撃対策における「5つの備え」

「5つの備え」の考え方は、標的型攻撃への対策にも適用できます。以下の図が、標的型攻撃対策における「5つの備え」です。

なお、今回の記事では、「5つの備え」における「防御」「検知」を中心に解説していきます。

標準型攻撃対策 5つの備え

標的型攻撃を引き起こす脅威の侵入経路

先にも述べましたが、標的型攻撃が企業のPCへ侵入する際に利用するのは、メールの添付ファイルや悪意のあるWebサイトです。キヤノンITソリューションズが運営している「マルウェア情報局」の情報によれば、2018年4月時点で国内で検出されたマルウェアのうち、上位14.9%を「ダウンローダ」が占めています。

「ダウンローダ」については先にも紹介しましたが、一般的なマルウェアと比較して小さなプログラムであり、それ自体はPCに直接的に被害を与える機能を備えていないため、マルウェア対策をかいくぐってPCに侵入しやすいのが特徴です。しかし、PCがいったん「ダウンローダ」に侵入されてしまうと、最終的には標的型攻撃などを引き起こすマルウェアを呼び込むことになりかねません。

そういったマルウェアが侵入する際に、もっとも多く利用されるのがメールの添付ファイルです。

参考リンク

ますます巧妙化する標的型メール

かつて「あやしいメール」といえば、見知らぬ送信元、しかも海外からのメールで、本文は英語、添付ファイルは実行ファイルや圧縮ファイルでした。つまり、いかにも「あやしい」ため、よほどの不注意や操作ミスなどがない限り、そうそうダマされて添付ファイルを開いてしまうこともなく、受信したらそのままメールソフトのゴミ箱に捨てられてしまう存在です。

しかし、近年の標的型メールは、簡単に「あやしいメール」と見破られてゴミ箱に捨てられないよう、さまざまな工夫が施されています。その代表的な手口のひとつが、メールアドレスの偽装です。警察庁が2018年3月に発行した「平成29年中におけるサイバー空間をめぐる脅威の情勢等について」によれば、標的型メールの送信元メールアドレスのうち、62%が偽装されていました。海外からの見知らぬ相手からのメールならともかく、(偽装された)国内の企業メールアドレスからのメールなら、ついつい添付ファイルを開いてしまう人もいるでしょう。

そういった偽装メールの多くは、件名や本文に日本語が使われており、かなり自然なビジネス文書を装っているものも少なくないなど、非常に巧妙です。

参考リンク

メールをゴミ箱に直行させないために

添付ファイルも巧妙化

添付ファイルにも、受信した人をダマすための工夫が施されています。先に述べたように、添付ファイルが実行ファイルなら、多くの人が警戒して開きません。しかし、添付ファイルが「見積書」「請求書」などのいかにもなファイル名のWord文書やExcel文書だった場合は、業務に関連するデータかと、つい開いてしまいがちです。

実際、先に紹介した「平成29年中におけるサイバー空間をめぐる脅威の情勢等について」でも、標的型メールに添付されたファイルとして、Word文書やExcel文書が増えていることが指摘されています。

添付ファイルを開かせるために

ちなみに、Word文書やExcel文書は一見すると危険性はなさそうですが、DDE(Dynamic Data Exchange)やマクロを悪用して、マルウェアをPCにダウンロードすることが可能です。したがって、メールに添付されたWord文書やExcel文書を安易に開かないよう注意してください。

圧縮ファイルも、比較的あやしげな添付ファイルではありますが、添付ファイルの容量が制限されているメール環境ではよく使われています。国内企業のアドレスから送られてきたメールでは、不注意で添付された圧縮ファイルを開いてしまう可能性も高いといえるでしょう。

前述の「平成29年中におけるサイバー空間をめぐる脅威の情勢等について」によれば、標的型メールの添付ファイルでは、圧縮ファイルがかなり高い割合を占めています。かつて、こういった圧縮ファイルの中身は実行ファイルが多かったのですが、近年はウイルス対策ソフトなどに比較的検出されにくい、スクリプトファイル(.vbs、.js、.wsfなど)が増加傾向にあり、さらなる警戒が必要です。なお、標的型メールで届いたスクリプトファイルの多くは、前述のWord文書やExcel文書と同様に、「ダウンローダ」として動作します。

マルウェアの発見が難しくなっている理由

ここまで、「ダウンローダ」がマルウェアをPCに侵入させるまでの手口を説明してきました。しかし、従来のマルウェアであれば、侵入後でも、PCのウイルス対策ソフトで発見できたはず。実は近年のマルウェアは、PCへの侵入後に自身を発見しにくくする隠ぺい工作を行っているものがあるのです。

マルウェアが自身を発見しにくくする手法としては、大きく分けて以下の5種類が存在します。

(1)ウイルス対策による検知を回避する

先に述べたように、マルウェアの多くは侵入時にウイルス対策ソフトによって検知されてしまうでしょう。一方で攻撃者も、ウイルス対策ソフトに見つからないよう、さまざまな手法を用いてマルウェアを隠ぺいしようとします。

(2)自身を目立たないよう偽装する

注意深いユーザーなら、自身のPCに見知らぬファイルが作られたことに気づくかもしれません。そこで、マルウェアの中には、自身が格納されているフォルダの名前を目立ちにくくしたり、フォルダまたはマルウェア自体を隠し属性にすることで、発見されることを回避しようとするものもあります。ほかにも、フォルダ名やマルウェア自身の名前を有名なソフトに似せる手口もあるので、一見してあやしげなファイルやフォルダがないからといって油断は禁物です。

(3)正規ツールを利用して攻撃を行う

いくら目立たないように隠ぺいされたマルウェアも、いざ動作してしまえばウイルス対策ソフトに検知されてしまうでしょう。しかし、一部のマルウェアはマイクロソフト製の管理ツールや、Windowsに標準で用意されているツールを悪用することで、ウイルス対策ソフトによる検知を回避しようとします。また、管理ツールは強力な機能を備えており、いざ悪用されてしまった場合に被害が大きくなる可能性があるため、注意が必要です。

(4)外部との通信を目立たないようにする

「ダウンローダ」やマルウェアは、頻繁に外部のC&Cサーバと通信を行います。C&Cサーバとの通信の検知は、マルウェアを検知するために一般的に用いられる手法です。一方で、マルウェア側は少しでもC&Cサーバとの通信を検知されにくくするため、正規のユーザーが利用しているHTTP/HTTPS通信を利用する手口が知られています。

(5)通信先のドメインを目立たなくする

仮に(4)の手口によってC&Cサーバと通信していることを検知されにくくしたとしても、不審なドメインと通信を行っていれば、マルウェアの存在は明らかです。そこで、C&Cサーバのドメインの一部に有名なソフトの名前や一般名称などを使用することで、一見してあやしげな通信であるとわからないようにしている場合もあります。また、正規のサイトが攻撃者によって改ざんされ、C&Cサーバとして利用されてしまう場合もあり、そういったケースではマルウェアの検知はさらに困難です

さらに巧妙な攻撃手法も

ここまで紹介してきた標的型攻撃やフィッシングの手法は、そのすべてがPC上で行われています。したがって、PC自体やネットワークに対策を施すことによって、ある程度の防御が可能です。

しかし、近年はSNSなどで標的にされた相手に接近し、ある程度親しくなったところでメールなどを利用してマルウェアを送り込み、情報を盗み出そうとする「ソーシャルエンジニアリング」という手法が、国内でも見られるようになってきました。いわゆる「詐欺」と、サイバー攻撃を組み合わせた、より巧妙な手口といえます。

ソーシャルエンジニアリングの大きな問題点は、「サイバーセキュリティ対策だけでは防ぎきれない」ことです。これからは社員に対して、ソーシャルエンジニアリングを視野に入れた、より高度なネットワークリテラシー教育が求められるようになるでしょう。

GUARDIANWALLによる標的型メール対策

キヤノンITソリューションズが提供している「GUARDIANWALL Mailファミリー」には、標的型メールを検知するためのさまざまな機能が搭載されています。

そのひとつが、標的型攻撃の疑いがあるメールを自動検知し、件名に「【標的型メールの恐れあり】」と追加して注意を促す機能です。

標準型メール検知機能

「GUARDIANWALL Mailファミリー」の標的型メール検知機能は、不正なプログラムが埋め込まれたWord/Excel文書やスクリプトファイルといった危険な添付ファイル、メールに記載された偽装URLの検知にも対応しています。また、フリーメールアドレスから送られてきたメールを疑わしいメールとして検知すべきかを、ドメイン単位で設定可能です。

標準型攻撃メール検知機能

ほかにもオプションとして、高い実績を誇るCYREN社のエンジンを使用した、アンチウイルス/アンチスパム機能が用意されています。

アンチウイルス/アンチスパム機能

プロキシサーバとURLフィルタリングによるマルウェアの抑制

何らかの手段で社内のPCに侵入してしまったマルウェアの活動を抑制する手段としては、プロキシサーバの利用が有効です。

プロキシとは「代理」という意味で、プロキシサーバを利用する場合は、すべてのファイアウォール内部からインターネットへの通信が、プロキシサーバを経由することになります。

プロキシサーバとは

プロキシサーバを利用することで、プロキシサーバを経由しない通信を危険な通信とみなしてファイアウォールですべてブロックできるので、マルウェアによるC&Cサーバとの通信を遮断することが可能です。

なぜプロキシサーバが有用なのか

URLフィルタリングも、マルウェアの活動を抑えるのに役立ちます。もともとURLフィルタリングとは、業務に必要のないWebサイトへのアクセスを、カテゴリを指定して遮断できる機能です。「GUARDIANWALL Webファミリー」には、以下の72種類のカテゴリが用意されています。

URLフィルタリング

本来、URLフィルタリングはマルウェア対策とはあまり関係がありませんが、URLフィルタリングを行うことで、HTTP/HTTPS通信に紛れ込ませてC&Cサーバと通信するマルウェアの活動を抑えこむことが可能です。

このように、プロキシサーバとURLフィルタリングを導入することによって、通信経路を絞り込むことができ、最終的にマルウェアによる通信を抑えられます。

「入口対策」「出口対策」双方に有効な「脅威情報連携機能」

「GUARDIANWALL Mailファミリー」は、アンチウイルス/アンチスパム、標的型メール検知といったいわゆる「入口対策」によって得られた危険なURLの情報を、「脅威URL情報」として「GUARDIANWALL Webファミリー」に連携し、マルウェアとC&Cサーバとの通信を遮断する「出口対策」を実現しています。

この機能は「脅威情報連携機能」と呼ばれており、「脅威URL情報」から未知の脅威の可能性が高いURLをブロック対象リストへ自動登録し、接続を禁止することで、マルウェアによる通信を遮断できます。

脅威情報連携

フィッシング被害を拡大させる偽メール/偽サイトの巧妙化

ユーザーの情報を盗み出す手段としては、標的型攻撃だけではありません。偽メールや偽サイトを使った「フィッシング」もあります。かつて、フィッシングを狙ったメールやサイトは、一見してすぐに偽物であることがわかるものが大半でした。しかし、近年はよく見ないと偽物であることがわからないような、巧妙に偽装されたメールやサイトが増えているため、メールの本文やサイトの外見だけで本物かどうかを判断しようとするのは危険です。

とりわけ近年は、オンラインサービスやクレジットカード会社を模倣した攻撃者が、「ライセンスの有効期限が切れた」「不正なアクセスがあった」などと騙ったメールを用いて、ユーザーにIDやパスワード、クレジットカード情報をはじめとする個人情報などを入力させようとするフィッシングが多発しています。こういったメールが届いた場合は安易に信用せず、十分に確認した上で正規の連絡であると確認できない限り、情報の入力などを行わないようにしましょう。

URLフィルタリングによるフィッシング被害の抑制

偽メールや偽サイトを用いたフィッシングの巧妙化によって、いくら注意してもほんの少し油断しただけで、簡単にダマされてしまう可能性があります。

そんな、フィッシングによる被害を防ぐために有効なのが、マルウェアの活動抑制にも貢献するURLフィルタリングです。URLフィルタリングを利用すれば、偽装されたWebサイトへの接続を遮断できるため、フィッシングによって偽サイトにアクセスして、ID/パスワードや個人情報を入力してしまうのを防げます。

URLフィルタリングを導入するにあたって、とりわけ重視すべきことは「精度」です。キヤノングループでは、URLフィルタリングにおける「精度」を、検査対象のURLがWebサイトを登録したURLデータベースにカテゴリ分類されるかを表す「ヒット率」と、URLデータベースに分類されているカテゴリが正しいことを表す「正確性」を掛け合わせたものと定義しており、もしURLフィルタリングの精度が低いと問題のあるWebサイトの一部が「アクセスしてもよいサイト」と誤って判断されてしまう可能性があります。一方、URLフィルタリングの精度が十分に高ければ、問題のあるWebサイトを正確に判断できるので、フィルタリングによって「問題あり」と判断したWebサイトへのアクセスをブロックすることで、フィッシングによる被害を防げるというわけです。

なお、「GUARDIANWALLシリーズ」のURLフィルタリングでは、URLフィルタリング精度の高さで定評のあるCYREN社のURLデータベースを使用しており、問題のあるWebサイトを非常に高い正確さで分類できます。

攻撃されていなくても発生する情報漏えい

情報漏えいの原因としては、ここまで解説してきた標的型攻撃やフィッシング、ノートPCまたはUSBメモリなど記憶媒体の紛失・置き忘れを思い浮かべる人が多いのではないでしょうか。確かに、これらは情報漏えいの原因の多くを占めていますが、同様に多くの割合を占めているのが、誤操作や不正な情報の持ち出し、内部犯罪・内部不正行為といった組織内部の要因によるものです。内部要因による情報漏えいは、外部からの攻撃に関係なく発生します。

実は、情報漏えいにおいてもっとも多く用いられる媒体・経路は紙媒体ですが、紙媒体によって持ち出せる情報はそれほど多くはありません。したがって、それに次ぐ原因である、インターネット経由での情報漏えい、すなわち「不正アップロード」への対策が重要です。

不正アップロードはなぜ起きてしまうのか

不正アップロードでは誤操作、つまり意図しないアップロードがもっとも多くを占めています。それに続くのが、意図的に行われた「不正な情報の持ち出し」です。具体的には、許可されていないクラウドストレージなどへの、社外持ち出しが禁止されたデータのアップロードを意味します。

不正な情報の持ち出しを行うユーザーの大半は、悪意を持ってデータを持ち出すわけではありません。どうしても終わらせなければならない仕事があるにも関わらず、働き方改革などを理由に残業ができない場合に、(それが禁止されている行為と知りつつも)自宅などで作業を行うために、データをアップロードしてしまうのです。オンラインストレージにデータをアップロードした結果、意図せずデータが不特定多数の人に公開されてしまったり、セキュリティ対策が不十分な自宅のPCからデータが盗まれてしまったりといった、情報漏えいが発生してしまいます。

不正アップロードに至る過程の例

このような不正アップロードは、いくら社員に注意を促したとしても、なかなか防ぐことは困難でしょう。そもそも不正アップロードをできないようにする、根本的な対策が必要です。

メールによる情報漏えいの防止

前述したように、情報漏えいの原因は標的型攻撃やフィッシングだけではありません。誤操作や不正アップロードによっても情報漏えいは発生します。

こういった、攻撃によらない情報漏えいのうち、その多くの流出経路となっているのがメールです。具体的には、機密の内容が書かれたメールを誤った送信先に送ってしまったり、本来は記載すべきでない個人情報などが記載されたメールを送信してしまったり、といったメールの誤送信が挙げられます。

そんなメールの誤送信を防ぐために役立つのが、「GUARDIANWALL Mailファミリー」のメールフィルタリング機能です。メールフィルタリング機能では、メールの送信を管理者があらかじめ設定した時間遅らせる「遅延配送」によって、メール送信直後に誤った送信先に送ってしまったことに気づいた場合に、メールの送信をただちに無効にできます。

メールフィルタリング:遅延配送

また、メール本文を解析して、氏名や住所、電話番号、クレジットカード情報といった個人情報や、マイナンバーといった、取り扱いに注意すべき内容が記載されていないかを調べ、該当するメールについては送信者に「本当に送信してもよいか」を改めて確認する「自己監査」も用意されているので、意図せずメールに適当でない内容を記載して送信してしまった場合でも安心です。

メールフィルタリング:自己監査

「GUARDIANWALL Mailファミリー」の「遅延配送」と「自己監査」によって、メールの誤送信に起因する情報漏えいの、かなりの部分を防ぐことができるでしょう。

不正アップロードの防止にはコンテンツフィルタリングが有効

不正アップロードを防ぐには、URLフィルタリングによってクラウドサービスへの接続を遮断することが効果的です。ただし、近年は業務でのクラウドサービスが当たり前になりつつあり、URLフィルタリングでクラウドサービスへの接続を制限してしまうことは、業務の妨げにもなりかねません。

そこで、URLフィルタリングと組み合わせて活用したいのが、コンテンツフィルタリングです。「GUARDIANWALL Webファミリー」には、送信データに特定のキーワードを含む通信を制限する「キーワード検査」、送信データに個人情報やマイナンバーを含む通信を制限する「個人情報検査」といった機能を備えているので、社内からクラウドサービスへの接続を許可しつつ、不正アップロードを防ぐことができます。

コンテンツフィルタリング キーワード検査
コンテンツフィルタリング 個人情報検査

標的型攻撃から不正アップロードまで幅広い対策を実現する「GUARDIANWALLシリーズ」

ここまで紹介してきたように、現代の企業ネットワークは多様かつ複雑な情報漏えいリスクに直面しています。こういった複合的なリスクは、単一の製品/ソリューションだけでは対応できるものではありません。プロキシサーバ、URLフィルタリング、コンテンツフィルタリングなど、さまざまな対策を組み合わせた、多層構造での対策が求められています。

「GUARDIANWALL Mailファミリー」「GUARDIANWALL Webファミリー」「GUARDIANWALL Cloudファミリー」で構成され、さらにそれぞれのファミリーに多彩な機能・サービスを用意する総合セキュリティソリューションである「GUARDIANWALLシリーズ」なら、企業が直面する情報漏えいリスクを広範囲に防ぐことが可能です。

参考リンク

井上 顕
キヤノンITソリューションズ株式会社
ITインフラセキュリティ技術本部
※所属は2018年9月現在のものです

セキュリティに関する情報を動画で解説中

  • 標的型攻撃対策

    視聴時間:33分

    メールから迫りくる脅威への対策(前編) 〜アンチウイルスだけでは不十分!?未知の脅威への入口対策とは〜

  • 標的型攻撃対策

    視聴時間:43分

    メールから迫りくる脅威への対策(後編) 〜侵入されたことを想定した出口対策とは〜

本記事に関連する内容を動画でも解説しています。視聴をご希望の方は上記よりお申し込みください。

トップへ戻る

セキュリティに関するお問い合わせ

メールでお問い合わせ