サイバー攻撃として1番の脅威となる「標準型攻撃」とは?情報漏洩までのステップと対策を紹介
日本でもサイバー攻撃による事件が発生し、さまざまなITサービスが一次停止、もしくはサービスの閉鎖という事態に陥っています。そして、NRIセキュア社の調査によると「自社において最も脅威となる事象は何か」という質問に対して、1位に挙がったのが標準型攻撃による情報漏洩です。いったい標準型攻撃とはなんなのでしょうか。
今回は標準型攻撃とはなんなのか、また標準型攻撃をどのように防げばいいのかをご紹介します。自社システムのセキュリティを強化したいと考える担当者の方は参考にしてみてください。
ハッキングを受けた例についてはこちらをご覧ください。
今後のセキュリティ市場の動向について詳しく知りたい方はこちらをご覧ください。
パッチ適用などのセキュリティについてはこちらをご覧ください。
標準型攻撃とは
近年、サイバーセキュリティ分野で最も脅威となっている標準型攻撃とはいかなるものなのでしょうか。一般的なサイバーウイルスなどとの違いについてご紹介します。
なお、標準型攻撃を含めた情報漏洩の危険性に関してはこちらでもまとめていますので、ご興味のある方は参考にしてください。
セキュリティ脅威の増加についてはこちらをご覧ください。
ターゲットを絞って攻撃するのが標準型攻撃
一般的なサイバーウイルスやランサムウェアは、「ばらまき型」といわれる形式をとることが多いです。「ばらまき型」では広い範囲に不正なプログラムをばらまいて、セキュリティの弱い不特定多数のシステムを攻撃するのです。
サイバーウイルスを強盗に例えるのであれば、ターゲットを決めずにセキュリティの弱い店を見つけたら盗みに入るようなものです。よほど強いウイルスでない限り、一般的なセキュリティ対策をしておけば防ぐことは難しくありません。
一方で、特定の組織を狙ってサイバー攻撃を仕掛けてくるのが「標準型攻撃」です。「標準型攻撃」ではターゲットにした組織のことをよく調べ、長期間にわたりさまざまな手法で攻撃を行います。ばらまき型と違い、ターゲットのセキュリティに対してさまざまな手法で攻撃するため、防ぐのが難しいとされています。
標準型攻撃を入り口で防ぐのは難しい
一般的な「ばらまき型」のサイバー攻撃であれば、一般的なセキュリティツールでも防ぐのは難しくありません。一方で標準型攻撃は、ターゲットにされてしまうと一般的なセキュリティシステムで防ぐことはできません。
セキュリティツールとしてよく使われる「マルウェア検知」は、予めリストに載っている危険なソフトウェアを発見すると警告してくれます。 しかし、標準型攻撃は、ターゲットがどのようなセキュリティ対策をとっているのか把握しています。そのため、残念ながら標準型攻撃を100%防ぐことが難しくなっているのです。
マルウェアから保護するための情報を知りたい方はこちらをご覧ください。
標準型攻撃への対策
マルウェア検知で標準型攻撃を防ぐのが難しいとはいえ、何も対策できないわけではありません。標準型攻撃にどのような対策が必要なのか見ていきましょう。
侵入されても実際に被害が出るまでに食い止める
標準型攻撃を防ぐ上で重要になってくる考え方が、「多層防御」という考えです。標準型攻撃を検知するのは難しいとご説明しましたが、システムに侵入されたからといってすぐに被害があるわけではありません。マルウェアが侵入したとしてもサーバー接続に制限を設け、暗号化をすることで被害を防げます。
セキュリティ対策に不可欠なパッチのベストプラクティスについてはこちらをご覧ください。
ITのセキュリティにかける時間について知りたい方はこちらをご覧ください。
資産管理によるセキュリティ対策についてはこちらをご覧ください。
具体的な標準型攻撃の段階
ここでは、具体的にどのような手順で標準型攻撃による情報漏洩が行われていくのかについてご紹介します。
ウイルスがどのようなステップを踏んで被害を及ぼすのかを分からなければ、どの段階でどのようにセキュリティを強化すればいいのかが分かりません。必ずしも決まった段階を踏むとは限りませんが、一般的な段階については知っておきましょう。
偽装したメールで侵入
最初のステップとして一般的に用いられるのが、メールによる侵入です。メールを開封することでウイルスをダウンロードしてしまいます。
不審なメールを開かなければいいと考えるかもしれませんが、実在する取引先や関係者を装うため、100%防ぐのが難しいのが現状です。とは言え、仮にメールを開いてウイルスをダウンロードしてしまっても、即座に情報が流出されるわけではありません。実際に情報流出されるまでは時間がかかるため、早期発見できれば情報漏洩を食い止めることができます。
サイバー攻撃に必要なツールをダウンロード
メールによってウイルスに侵されたPCは、外部にある標準型攻撃をするためのサーバーと通信をはじめます。そしてサイバー攻撃に必要なツールを次々にダウンロードして、攻撃の準備を着々と進めていくのです。もし社内のPCから外部サーバーへの接続になんらかの制限があれば、この時点で異変に気づくことができる可能性があります。
社内LANで大事な情報を調査
メールによって侵入したウイルスは、社内LANを使って「調査」をはじめます。どこに大事な情報が格納されているのか、物色をするのです。もしも大事な情報を暗号化していれば、そう簡単に見つけられることはありません。しかし、暗号化せずに大事な情報をおいていると、容易にアクセスされてしまうのは想像に難くないでしょう。
サーバーに不正アクセス
大事な情報を暗号化しているからとはいえ、安心するにはまだ早いです。社内LANで大事な情報を見つけられなかったウイルスは、今度はファイルサーバーやデータベース・サーバーそのものに不正アクセスしようとします。定期的にサーバーの脆弱性対策やアクセス監視対策を行っていれば、不正アクセスを発見することもできるでしょう。
情報を外に持ち出す
大事な情報を見つけられたからといって、すぐに情報漏洩につながるわけではありません。もし情報を見つけられても、それを外部に送るのを阻止できれば情報漏洩を阻止できます。そのために通信を制限するなどの対策を練っておきましょう。
社員教育も大事
セキュリティを高めるとなるとツールに頼るのが重要ですが、PCを扱う社員を教育するのも重要です。
たとえば、標準型攻撃の第一ステップとして偽装メールを使われることが多いですが、偽装しているとはいえ、何かしら不自然なポイントはあるものです。もし社員自身がその不自然さに気づければメールを開封しませんし、サイバー攻撃があったことにも気づけるでしょう。また、仮に開封してしまったとしてもサイバー攻撃にあったことに気づければ、早期発見して情報漏洩せずに済みます。セキュリティを高めるには、ツールの導入と同時に社員一人ひとりへのセキュリティ教育にも力を入れてみてはいかがでしょうか。
まとめ
サイバー攻撃に備えてセキュリティを強化するには、セキュリティツールの実装はかかせません。さまざまなセキュリティサービスがある中でおすすめなのが「Ivanti Software株式会社」のサービスです。
95%ものサイバー攻撃を軽減させるセキュリティの強さだけでなく、現在利用しているコンソールからサードパーティアプリのパッチを適用させます。
新たにインフラストラクチャを追加する必要もなければ、トレーニングをする必要もありません。手間をかけずにセキュリティを強化したいと考えている担当者の方は、ぜひお気軽にご相談ください。
サービスについて詳しくは下記よりご覧ください。
Ivanti「セキュリティ対策」ページ