「標的型攻撃」と聞くと、組織内の人間にビジネスメールや他人を装いマルウェアを含んだメールを送信し、不正ファイルを開かせることで攻撃を仕掛ける「標的型メール攻撃」を思い浮かべる方は少なくないと思います。事実2015年に最も注目されたセキュリティ事件でもある「日本年金機構情報漏洩事件」もこの標的型メール攻撃によるものでした。
ちなみに同年の標的型メール攻撃件数は3,828件と過去最多となっています。
参考:平成27年におけるサイバー空間をめぐる脅威の情勢について
組織の機密情報を守るためにセキュリティ対策を講じる上で、この標的型メール攻撃に意識が向きがちですが、実は他にも注意すべき標的型攻撃があるのをご存知でしょうか?
それは「水飲み場攻撃」と呼ばれる、近年急速に被害が増加している標的型攻撃です。
「水飲み場攻撃」とは何なのか?この標的型攻撃に対して企業はどのような対策を取ればいのか?など、今回は「水飲み場攻撃」を中心に今後検討すべきセキュリティについて解説していきます。
「水飲み場攻撃」とは?
「水飲み場攻撃」という攻撃手法が認識されたのは2012年とごく最近であり、米国のセキュリティソフトウェアベンダーのRSAセキュリティによる発表で明らかになりました。この名称は水飲み場(Webサイト)で獲物(ユーザ)を待ち伏せするライオン(攻撃者)にちなんで名づけられています。
Webサイト改ざんで待ち伏せ
具体的な攻撃手法に関してはまず攻撃対象となる組織が普段アクセスするWebサイトを特定します。次に、攻撃対象がアクセスした際にマルウェアを含んだ不正プログラムをダウンロードするようWebサイトに改ざんを加えます。そして、それに気付かぬままWebサイトにアクセスした攻撃対象は知らぬ間に不正プログラムをダウンロードし、コンピュータがマルウェアに感染するというものです。
狙われるのは主にサーバOS、Webサーバ、CMSなどの脆弱性であり、直接コンテンツを改ざんするケースやバックドアを設置して遠隔操作するケースなどバリエーションは様々です。
「水飲み場攻撃」は防御が難しい
「水飲み場攻撃」の被害が拡大している理由は、防御の難しさにあります。
まず企業内の不特定多数のユーザにばらまくようにマルウェアを感染させようとする標的型メール攻撃と異なり、「水飲み場攻撃」では企業内の特定の組織にのみマルウェアを含んだ不正プログラムをダウンロードさせます。これはIPアドレスによりユーザの所属組織を識別した上で攻撃対象を限定しているのです。
このため、改ざんされたWebサイトの管理者がアクセスした際は不正プログラムのダウンロードをさせないので、発見が非常に困難になります。これが「水飲み場攻撃」は防御が難しいと言われている所以です。
標的型メール攻撃の代替として
標的型メール攻撃は「身に覚えのないメールは開封しない」「怪しいファイルは開かない・リンクはクリックしない」など、ユーザのセキュリティ意識を高めることでリスクを大幅に減少させることができます。(この手の標的型攻撃に関しても年々巧妙化しているので注意は必要です)
年数が経過するにつれユーザのセキュリティ意識も次第に高まってきているので、攻撃者からすればこうした攻撃手法の効果は年々薄れていっているのです。
しかし「水飲み場攻撃」は話が違います。改ざんされるのはユーザが普段から閲覧するWebサイトであり、そこには“信頼性”という大きなセキュリティホールがあるのです。この信頼性を狡猾に突いた標的型攻撃だからこそ、防御が難しく標的型メール攻撃の代替として被害が拡大しているのです。
「水飲み場攻撃」は企業が加害者になる可能性も?
前述したように「水飲み場攻撃」は、Webサイト改ざんによってアクセスしたユーザへマルウェアを感染させる標的型攻撃です。そして標的型メール攻撃との決定的違いは“自社が情報漏洩事件の加害者になる可能性がある”ということ。
オンラインマーケティングが重要とされている現代ビジネスにおいて、多くの企業は自社メディア(オウンドメディア)を運営してビジネス情報を発信していることかと思います。そしてメディアを閲覧する多くのユーザはビジネスシーンで活躍する人であり、中には企業の重要なポジションに付いている人もいることでしょう。
こうしたオウンドメディアは攻撃者からすれば格好の“水飲み場”であり、攻撃を仕掛ける価値が十分にあります。これに対し「うちのメディアのアクセス数はそこそこだから」と安心してしまってはいけません。「水飲み場攻撃」の標的となるのは何も大規模Webサイトだけではないからです。
これらのことを踏まえると、管理者が気付かない間にWebサイトが改ざんされマルウェアをばらまく加害者になってしまうこともあるのです。自社メディアから「水飲み場攻撃」の被害に遭ったユーザが一人でもいれば、企業自体の信用問題にもなりかねません。
加害者にも被害者にもならないために、今後「水飲み場攻撃」に対するセキュリティ対策の重要度は急速に増していくでしょう。
セキュリティ意識の喚起は無意味?攻撃されることを前提にセキュリティ対策を
では「水飲み場攻撃」に対するセキュリティ対策をどのように講じていけばいいのか?
まずはじめに言えることは、組織内の人間にセキュリティ意識を高めるよう呼び掛けるのはほぼ無意味ということです。
前述したように標的型メール攻撃ならば「身に覚えのないメールは開封しない」「怪しいファイルは開かない/リンクはクリックしない」といったセキュリティ意識を高めるだけで攻撃を回避することができます。しかしこれはあくまで「身に覚えのない」や「怪しいファイル・リンク」といった目でみて判断できる要素があるからこその対策です。
一方「水飲み場攻撃」によってWebサイトが改ざんされても、ユーザが目視でそれと気付くのは不可能でしょう。なぜなら、Webサイトの外見的にはなんら変化がないのですから。問題はWebサイトへ不正に埋め込まれた記述であり、一般ユーザが視覚的にこれを見極めるのは至難の業なのです。
かといって「社用端末からのWebサイト閲覧禁止」のお触れを出すわけにもいきません。業務上においてもWebサイトの閲覧は大切な情報源であり、閲覧を禁止することは労働生産性の低下にも繋がります。また、私用端末による社内ネットワークの不正利用も横行しかねないので新たなセキュリティリスクを生んでしまいます。
そこで重要なのが“攻撃されることを前提にセキュリティ対策を講じること”です。
「改ざん検知」が実現する高速かつリアルタイムなセキュリティ
ユーザのセキュリティ意識を高めるだけでは不十分。改ざんされたWebサイトを見極めることも難しい「水飲み場攻撃」において明暗を分けるのは、攻撃されてから対策を講じるまでの速度です。
つまり、攻撃されることを前提とした上で攻撃から対策までの迅速性を高めることで「水飲み場攻撃」による被害を喰い止めます。
そしてこのような対策を実現するために重要なのが検知の速度を極限まで高めることであり、そこで「改ざん検知」が登場します。「改ざん検知」とはサーバやネットワークデバイスを対象に、不正に変更されたファイルやディレクトリなどを検知して警告、かつ修復まで行えるセキュリティツールです。
「水飲み場攻撃」によってダウンロードされたマルウェアは感染後、必ず何かしらのシステム変更を試みます。多くの企業ではこの変更を察知できないことから、甚大な被害へと繋がってしまっているのが現状です。
しかし裏を返せば、マルウェアによるシステム変更をいち早く検知できれば強力なセキュリティ対策になります。「改ざん検知」を導入することで不正なシステム変更から警告、修復までを自動化したセキュリティを構築することができるのです。
加害者にならないためにも
自社メディアが「水飲み場攻撃」の踏み台にされ、知らず知らずのうちに加害者になってしまう可能性は必ずあります。しかしこれに対しても「改ざん検知」を導入していればWebサーバの改ざんをいち早く検知できるため、自社メディアを踏み台にすることを許しません。
信頼性を維持するためにも「水飲み場攻撃」の被害者にならぬようセキュリティ対策を講じるだけでなく、加害者にならないためにもセキュリティ対策は欠かせないのです。
「改ざん検知」ならセキュリティソリューションのTripwire® Enterprise
Tripwire Enterpriseは1997年から米国で提供が開始された「改ざん検知」のためのセキュリティソリューションであり、現在では世界9,000社以上の企業で導入されています。国内においても「Tripwire Enterprise」が経済産業省の情報処理推進機構(IPA)に採用推奨されるなど、1,000社以上の企業や官公庁などで導入されているソリューションです。
今回紹介した「改ざん検知」を含め、あらゆるサイバー攻撃に対応したセキュリティ対策を講じるためのキーマンとなるでしょう。
まとめ
いかがでしょうか?近年急上昇中の「水飲み場攻撃」は被害に遭うだけでなく加害者になる可能性もある恐ろしい標的型攻撃です。セキュリティ意識を高めるだけでは対策を取れない分、今後どのようなソリューションで対策を講じるかがリスクの高さを左右するでしょう。
また、標的型攻撃は年々多様化・巧妙化していることから対策を講じるのが難しく、全ての攻撃を100%防御することは事実上不可能と言われています。だからこそ、前述したように攻撃を受ける前提でのセキュリティ対策が必要なのではないかと思います。
コンプライアンスを強化しセキュリティリスクを軽減するためにも、是非今回紹介した「改ざん検知」について検討してみてはいかがでしょうか。
