マルウェアによる感染やWebサイト改ざんなどセキュリティの脅威として知られているサイバー攻撃はあくまで情報搾取のための”第一手段”です。
それらの手段は、まずは何らかの改ざんを達成しようとしているのであり、この改ざんを許してしまうことこそ情報漏洩に繋がってしまいます。
では攻撃者はどのようにしてファイルを改ざんしていくのか?その脅威と対策について解説していきたいと思います。
ファイル改ざんにつながる3つの脅威
1. 標的型メール攻撃
今や最もポピュラーとなったサイバー攻撃であり国内でも既に多大な被害が発生しています。最近では2015年に起こった日本年金機構と、2016年6月に起こった大手旅行代理店の情報漏洩事件が標的型メール攻撃の事例としてまだ記憶に新しいところでしょう。
標的型メール攻撃の対策が難しいのは、ターゲットを決め巧妙な手口で一般のビジネスメールを装うところです。攻撃者はターゲットの身辺調査や業界に関する知識を付け、あたかも取引先からのメールであるかのように装います。
日々大量のビジネスメールをやりとりする中でこうした偽装メールを判断するのは非常に難しく、開いたファイルからマルウェアがダウンロードされ情報搾取へと繋がっていきます。
また、最近ではターゲットと数度メールでやり取りした後でマルウェア感染ファイルを送信するなど高度に巧妙化していることから、今後も対策が難しいサイバー攻撃の一つなのです。
2. Webサイト改ざん
近年、急増しているサイバー攻撃と言えばWebサイト改ざん。WebサーバやWebアプリケーションのファイルを改ざんすることで直接的な情報搾取を行ったり、水飲み場攻撃へと繋げていきます。この脅威の恐いところは被害者だけでなく加害者にもなり得るということです。
Webサイト改ざんを利用した水飲み場攻撃とは、Webサイトに訪問したユーザに対しマルウェアに感染したドライバをダウンロードさせ、その後情報搾取を行うというもの。つまり自社Webサイトが踏み台にされることでユーザからの信頼を失うことになります。
また、最近の水飲み場攻撃はIPアドレスでユーザを判別する、役職の高いユーザを特定して攻撃することもあります。標的型メール攻撃同様に今後も巧妙化していくであろうサイバー攻撃なので十分な注意が必要です。
3. 脆弱性攻撃
脆弱性とはOSやソフトウェアにおける設計上のミスが原因で発生したセキュリティ上の欠陥であり、「セキュリティホール」とも呼ばれています。よくゼロデイ攻撃※1というサイバー攻撃を耳にすることがありますがこれは脆弱性を利用したもので脆弱性攻撃の一種です。
セキュリティ上の欠陥を攻撃者に突かれるとあっという間に情報搾取に繋がってしまうので対策が必要ですが、OSやソフトウェアの脆弱性を完全に無くすことは非常に困難です。だからこそベンダーは脆弱性が見つかる度にセキュリティパッチ(修正プログラム)を配信し対策を取っています。
※1:ゼロデイ攻撃とはOSやソフトウェアの脆弱性が発見されてからベンダーがセキュリティパッチを配信する前に情報搾取に乗り出すサイバー攻撃。
関連する脅威:ソーシャルエンジニアリング
ソーシャルエンジニアリングとは人間の心理や行動のミスに付け込み、情報を搾取する攻撃手法のことです。ただし、この手法で直接的に改ざんがされるようななことはありません。ソーシャルエンジニアリングは前述した標的型メール攻撃とよく併用されています。
つまり機密情報につながるような情報を得ようとするのではなく、標的型メール攻撃の成功率を上げるためターゲットの身辺調査として行うのです。
そこでソーシャルエンジニアリングでは前述した標的型メール攻撃とよく併用されています。つまり機密情報につながるような情報を得ようとするのではなく、標的型メール攻撃の成功率を上げるためターゲットに身辺調査として行うのです。
取引先、商談内容、業界特有の風習などなど、ターゲットに関わる情報が多いほど成功率は高まります。もしも皆さんの周囲で業務に関する情報を聞きだそうとしてくる人(信頼を置いていない)がいたら要注意でしょう。
ファイル改ざんの脅威への対策
組織全体のセキュリティ意識を高める
セキュリティ対策において多くの企業が「セキュリティ対策システムを導入すれば大丈夫だろう」という意識を持ちがちですが、まず大切なのは組織全体のセキュリティ意識を高めることです。
確かにセキュリティ対策システムでファイル改ざんをブロックすることは可能でしょうが、第一にそもそもリスクを減らすことが重要となります。
組織全体のセキュリティ意識を高めることができれば、標的型攻撃メールやソーシャルエンジニアリングは大部分を防止することができるでしょう。
そして意識を高めるためのポイントは“情報の共有”です。近年どのようなサイバー攻撃が頻発しているのか?自社にとってリスクの高いものは?など、サイバー攻撃に対する情報の共有を行うだけでもセキュリティ意識は高まります。
また、サイバー攻撃らしきもの(偽装メールなど)を発見したら即座に共有することも大切でしょう。
OSやソフトウェアの更新に対し迅速に対応
定期的に行われるOSやソフトウェアの更新を忙しいからと言って対応していないケースが非常に多くあります。それでも表面上はシステムが問題なく稼働しているので尚更対応は後回しになってしまうことでしょう。
しかし更新内容にセキュリティパッチが含まれていたら、OSやソフトウェアの脆弱性を放置しているようなものでかなり危険な状態です。
従って、OSやソフトウェアの更新は最優先事項として迅速に対応する必要があります。
攻撃されることを前提に変更を検知する
前述した3つの脅威をご覧いただき既にお気づきの方もいるかもしれませんが、サイバー攻撃に対して“100%の対策”というものはありません。つまりどんなに対策を取ったとしても情報搾取されてしまう可能性は常にゼロではないのです。
サイバー攻撃というのは私たちの知らないところで日々巧妙化されていたり、まったく新しい手法が生まれていたりします。セキュリティ対策の歴史はエンジニアと攻撃者のいたちごっこと言ってもいいでしょう。
そこで必要になってくるのが“攻撃されることを前提にした変更検知”対策です。「どんなに対策を取ってもファイル改ざんはいずれ起きる」という意識を持っていれば、サイバー攻撃をブロックするのとは別の視点から対策を取ることができます。
ファイル改ざんが起きてから数秒で情報搾取が始まるわけではありません。そこにはタイムラグがあるので、迅速に対応できれば次の一手をしっかりと防止することができるのです。
こうした対策を取るためには「ファイル改ざん検知」というセキュリティ対策システムが必要になります。企業システム全体のファイルやディレクトリなどあらゆるコンテンツを監視しファイル改ざんを瞬時に検知。そして必要な修正対応を行います。
ファイル改ざん検知、変更検知は今後最も重要なセキュリティ対策システムの一つであることは間違いないでしょう。
まとめ
いかがでしょうか?ファイル改ざんと情報搾取の脅威はどこにでも潜んでいます。もしかすると、攻撃は既に始まっているかもしれません。まずは、今できる対策を考えることが大切です。
今回紹介した対策ポイントは3つですが、これらを押さえるだけでもセキュリティ性は何倍にも上昇します。
本記事が皆さんの機密情報を守るためのお役に立てれば幸いです。