韓国の放送局や大手銀行を狙った大規模なサイバー攻撃はまだ記憶に新しい。こうした標的型攻撃の勢いは増すばかりで、日本にとっても対岸の火事ではない。とはいえ従来型の防御手段では防ぎきれないのも事実。どうすれば最新の脅威に立ち迎えるのか。チェンCEOを直撃した。
標的型攻撃(APT)、水飲み場型攻撃といった新たな脅威が次々と登場している。
その通りだ。当社のユーザー調査では21.6%が標的型攻撃を受けた経験があることが分かった。さらに毎週1.8ケースの標的型攻撃が成功していることもつかんでいる。新しいタイプの攻撃が常に発生しているので、守る側も新しい方法で迎え撃つしかない。
これまでの脅威といえば、1つのウイルスが数百万というコンピューターに感染するというものだった。ウイルス対策ソフトのパターンファイルは1個で済んだ。最近の標的型攻撃では、その企業用に特別に製造したウイルスで攻撃を仕掛ける。企業ごとにプロファイルが異なる。従来のウイルス対策ソフトでは太刀打ちできない。
具体的にはどのような攻撃なのか。
標的型攻撃では通常、ハッカーが攻撃したい会社の社員が使っているFacebookやGoogleのアカウントをまずは検索する。そして、その社員に対する攻撃を仕掛ける。具体的には標的を絞ったメールを送りつける。例えば高校時代の同級生を装う。そうすると社員は喜んでクリックする。クリックしてしまうと攻撃サーバーとセッションを張るようなウイルスがドロップされる。
攻撃サーバーに接続すると、そこから別のウイルスのコンポーネントがダウンロードされ実行されてしまう。そうすると今度はユーザーの認証情報を使ってその企業内にあるサーバーにログインを試みる。通常、企業の機密情報や重要な情報はサーバーに存在するからだ。
ログインを試みたが失敗した場合、ハッカーは“横方向”に動く。最初はCEOをターゲットに攻撃を仕掛けようとするが、CEOのメールはそもそもセキュリティが高くて簡単には攻撃が成功しない。そうすると横方向に動いて、CEOの秘書やアシスタントを狙う。ここで足がかりを作ったうえで改めてCEOを狙っていく。つまり、権限が高いほうへと徐々に向かっていくわけだ。
どうしてそういう状況になってしまったのか。
3つある。1つはデータの価値が高まっていること。クレジット情報や個人の健康に関する情報など大量のデータが電子化された。そこからはお金が取れることをハッカーは知っているので、時間をかけても攻撃してくる。
2つ目はインフラだ。最近では、社外のモバイル端末からサーバーに格納されているデータに直接アクセスできる。以前は社内ネットワークの中だけからデータにアクセスしていたが、ユーザーがネットワークから出てしまい、外からデータにアクセスしてくる。
3つ目はパブリッククラウドの登場だ。これはシステムやオペレーションの所有権を変えた。昔はデータとシステムは同じ人が所有していた。システムのオペレーションとデータは同じ会社の人間が扱っていた。ところがSaaS(Software as a Service)やIaaS(Infrastructure as a Service)を使うケースでは、サーバー、ストレージ、ネットワークの運用は別の会社が行う。データはユーザーのものなので、所有権が分離することになった。
