サイバー攻撃手法の進化と対策の変遷
以前のセキュリティ対策は、「いかに脅威を社内ネットワークに侵入させないか」を考え方の基本としていた。いわゆる“入口対策”あるいは“境界型対策”と呼ばれるものである。しかし、標的型攻撃の増加にともない、どんなに入口対策を行っても侵入されてしまうケースが相次いだ。むしろ、“侵入されること”が当たり前の時代になっているのだ。米Tech Target社の調査部門 Enterprise Strategy Group(ESG)のレポートでは、過去2年間だけでも、グローバルの調査対象の組織の4分の3以上(76%)がランサムウェアによる攻撃を受け、3分の2(66%)が少なくとも1回のソフトウェアサプライチェーン攻撃を経験していることがわかっている。日本でも回答者の53%が、侵害されるということを前提にしたオペレーションを行っていないという。
たとえば標的型攻撃では、標的となる企業ごとにカスタマイズしたメールなどでマルウェアに感染させ、攻撃者は「コマンド&コントロール(C&C)サーバー」経由でマルウェアをコントロールする。攻撃者はC&Cサーバーを介してマルウェアに指示を送り、必要があれば追加のマルウェアをダウンロードさせながら、社内ネットワークを水平移動(ラテラルムーブメント)していく。そして、重要なファイルにアクセスできる端末を探し出し、侵入、潜伏。標的となるユーザーが重要なファイルにアクセスするタイミングで、そのファイルを盗み出す。
サイバー犯罪者の世界では、標的型攻撃に使用されたマルウェアやツールは安く販売されている。こうした背景もあり、標的型攻撃の手法だけを採用したサイバー攻撃が急増した。この傾向は、現在のEmotetなどのマルウェアにも受け継がれ、ランサムウェア攻撃にも活用されている。サイバー攻撃者によるエコシステムの劇的な進化が、気づかれずに企業に侵入する脅威が増えた大きな要因だ。
また、セキュリティ対策の考え方も従来の入口対策だけでなく、出口対策も検討されるようになった。たとえ侵入され重要なデータにアクセスされても、攻撃者がそれを外部に持ち出す際に検知しようという対策だ。しかし、出口対策もイタチごっこと化している。たとえば、盗んだ重要なデータを外部へ送信する際に、以前は空いているポートを使用していたが、そこで検知するようになると、今度は一般的に使用されるポート80(http)を使用するといった具合だ。さらに、脅威は外部からとは限らない。従業員による故意のデータ持ち出しといったことも企業にとって大きな脅威となる。内部犯罪は正規ユーザーが行っているため、それを把握することは難しい。
