NIST SP 800-61 に基づいた対策マッピング
NIST SP 800-61 に基づいた対策マッピング
さて、標的型サイバー攻撃の仕組みと NIST SP 800-61 の復習が終わったところで、いよいよ、具体的な標的型サイバー攻撃への対策を解説していく。標的型サイバー攻撃への対策は、単一の対策ではなく、標的型サイバー攻撃のフェーズや、NIST SP 800-61 の各フェーズに応じた、複数の対策を実施する事になる。
10の対策とその効果について、各フェーズに応じてマッピングした様子を図3.標的型サイバー攻撃対策とフェーズに応じたマッピング>に示す。また、効果は「低」「中」「高」の三種類で表記しており、それぞれの定義は下記の通りとする。
- 「低」:
- 効果は、あまり期待できない。
- 「中」:
- ある程度の効果はあるが、十分とは言えない。もしくは、効果は期待できるが、実現に多くのコストや工数を要し、費用対効果が問題となる場合がある。
- 「高」:
- 十分な効果が期待できる。
図3:標的型サイバー攻撃対策とフェーズに応じた対策のマッピング
| 項番 | 標的型サイバー攻撃のフェーズ | 対策の内容 | NIST SP 800-61 のフェーズ | 効果 |
|---|---|---|---|---|
| 1. | マルウェアを添付したメールを送付 | なりすましメールの 防止 | 準備 | 低 |
| 2. | 添付メールの マルウェア対策 | 低 | ||
| 3. | 教育 | 中 | ||
| 4. | クライアントへ感染 | パッチ管理 | 中 | |
| 5. | マルウェア対策 | 低 | ||
| 6. | 感染したクライアントを操り、 サーバーへアクセス | アクセスログの監視 | 検知・分析 | 中 |
| 7. | サーバーから機密情報を取得 | 中 | ||
| 8. | 機密情報を攻撃者へ送信 | ネットワークログ分析 | 中 | |
| 9. | 出口対策 | 封じ込め・根絶・復旧 | 中 | |
| 10. | 送信者が情報を閲覧 | データ暗号化 | 事件発生後の対応 | 高 |
10の対策とその効果
図3:標的型サイバー攻撃対策とフェーズに応じた対策のマッピング>にて示した、10の対策とその効果について解説する。
項番1. なりすましメールの防止
前回までで述べた通り、標的型メールは送信元を偽って送られてくるケースが多数ある。単純に、「じゃあなりすましメールを受け取らないようにすればいいじゃないか。」と思ってしまうかもしれないが、これは、残念ながら、難しい。SPF(Sender Policy Framework) や、DomainKeysといった、なりすましメールを防止する技術自体は存在するのだが、SPFは、SPFレコードと呼ばれるDNSレコードが、DomainKeysは、電子署名復号化の公開鍵がメール送信側のDNSサーバーに必要になる。ここでは同技術に関する詳細は省くが、これはつまり、自社だけの対策では完結しない事を意味する。ビジネスの取引先が、SPFやDomainKeysを実装しているとは限らないため、こういった技術を実装していない場合はメールを受け取らないとするのは、ビジネス上難しいだろう。そのため、効果は低とした。
項番2. 添付メールのマルウェア対策
メールに添付されてくるマルウェアをクライアントに届いてしまう前に、メールサーバー上のマルウェア対策ソフトで検出し、削除したいと言う訳だが、こちらも難しいと言わざるを得ない。標的となった企業が使用しているマルウェア対策ソフトが調べ上げられ、そのマルウェア対策ソフトで検出しない事を確認してから送られてくるだけでなく、最近の標的型メールに添付されているマルウェアは、パスワード付きzipにされている事がある。つまり、そもそもマルウェア検査ができないと言う訳だ。そのため、効果は低とした。
項番3. 教育
第1回でも紹介した通り、政府の実施した、標的型メールの開封実験では、初回の開封率が10%、そこから、標的型メールに関する教育を実施した後、再度、開封実験を行ったところ、開封率が3%まで低下した。ある程度の効果は認められるが、攻撃者から見れば3%の開封で十分要件は満たしていると思われるため、効果は中とした。
項番4. パッチ管理
第2回で述べたが、標的型メールでは、PDF、Word、Flash等の脆弱性が狙われるケースが多い。そのため、パッチ管理を的確に行う事ができれば、ある程度の効果は認められる可能性が高い。しかし、こういった、ブラウザのプラグイン等も含むアプリケーションのパッチ管理まで徹底できなければならないため、大規模になればなるほど、現実的ではなくなってくる。そのため、効果は中とした。
項番5. マルウェア対策
標的型サイバー攻撃に用いられるマルウェアは、標的となった企業が使用しているマルウェア対策ソフトを調査し、該当するマルウェア対策ソフトで検出されない事を確認した上で送信してくるケースが多いため、マルウェア対策ソフトによる検出は期待薄である。そのため、効果は低とした。
項番6.7. アクセスログの監視
マルウェアにより、操られている端末が、機密情報を格納しているサーバーや機密情報のファイルへアクセスしているログを取得し、分析する事で、マルウェア感染してしまっている事に気付き、長期間の搾取を防止し、被害を小さくする事ができる。しかしながら、通常のアクセスログと比べても、非常に判別のつきにくいログになるケースが多く、効果が薄い場合もあるため、効果は中とした。
項番8. ネットワークログ分析
マルウェアにより、操られている端末は、取得した機密情報を、最終的には攻撃者へアップロードする。このアップロードする動きのログを取得し、分析する事で、マルウェア感染への気付きを得て、長期間の搾取を防止し、被害を小さくする事ができる。これは、特に、POSTのログを中心に監視する事で、効率良くログを分析する事ができるのだが、SSLによって、アップロードの経路が暗号化されているケースもあり、効果が薄い場合もあるため、効果は中とした。
項番9. 出口対策
マルウェアにより、操られている端末は、取得した機密情報を、最終的には攻撃者へアップロードしたり、命令を受信したりする経路として、HTTPやHTTPSのプロトコルを使用するケースが多い。しかしながら、企業環境では、社内ネットワークからインターネットへのアクセスは、ほとんどの場合、プロキシサーバーを経由しないと出られないようになっているため、プロキシサーバーの利用時に認証を発生させる事で、認証情報を知らないマルウェアは、インターネットへアクセスできない、つまり、ファイルのアップロードや命令の受信ができないという訳だ。ただ、統合認証であれ、基本認証であれ、認証情報の不正利用や認証時の通信盗聴により、突破される可能性がある。また、その他、マルウェアの命令受信等の通信を遮断するようなプロキシ構成案もあるが、現状からの大きなシステム変更が必要になる可能性がある。以上の理由から、効果が薄い場合もあり、また、費用面、工数面でも大きな負担となるため、効果は中とした。
項番10. データ暗号化
標的型サイバー攻撃が成功し、機密情報が盗まれたとしても、ファイルを暗号化し、読めない状態にしておく事で、攻撃者が機密情報を盗み出すメリットそのものを無くしてしまう事が可能である。あらゆる対策が破られた後でも、暗号を複合化できない限りは、非常に有効度の高い対策であるため、効果は高とした。
今回は10の対策を解説したが、標的型サイバー攻撃が標的となる企業に特化した攻撃である以上、対策が破られる可能性は否定できない。そのため、最悪でも情報漏えいだけは避けるためのデータ暗号化が非常に重要である事がお分かりいただけるかと思う。
関連記事
バックナンバー
この記事の筆者
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
