SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

もはや予防型のソリューションでは、APT攻撃は止められない―米EMC RSA最高情報セキュリティ責任者 エディ・シュワルツ氏が解説


 APTとはAdvanced Persistent Threatの略。さまざまな手法で継続的に企業や政府組織などにサイバー攻撃を仕掛けるもののことで、ここ最近その数は大きく増えている。このAPT攻撃の動向とその具体的な内容、さらには対策について、EMCのセキュリティ部門であるRSAディビジョンに所属し、同社の最高情報セキュリティ責任者(CISO:Chief Information Security Officer)であるエディ・シュワルツ氏が来日し解説した。

さまざまな要素で継続的に攻めてくるAPT攻撃

 米EMCのセキュリティ部門、RSA最高情報セキュリティ責任者(CISO)エディ・シュワルツ(Eddie Schwartz)氏
米EMC セキュリティ部門
RSA最高情報セキュリティ責任者(CISO)
エディ・シュワルツ(Eddie Schwartz)氏

 来日したエディ・シュワルツ氏は、CISOとしてEMC社内のすべてのセキュリティに関する責任者であると同時に、企業などで同じ立場のCISOに会い、どのようなセキュリティ対策を行っているかの話をする役割も担っている。さらに、米国、イスラエルに設置されているサイバー犯罪やATP攻撃などに関する高度な分析を行う調査チームも、彼の管轄だ。

 今回EMCでは、『The Cyber Espionage Blueprint Understanding Commonalities in Targeted Malware Campaigns』(PDF)というドキュメントを作成し公開している。この中でAPT攻撃の具体的な攻撃について説明しており、シュワルツ氏はこのドキュメントに沿って解説した。

 APT攻撃は、いくつもの構成要素が組み合わされているのが特徴。最初に挙げられるのは、ネットワークへの侵入だ。

 「企業などがAPT攻撃を受けるかどうかは、企業のセキュリティチームがなんらか失態を犯したからではありません。セキュリティチームの行動とは別プロセスでの失態によるものがほとんどです」(シュワルツ氏)

 たとえば社員の誰かが、Webサイトに行きマルウェアをダウンロードしてしまったり、SPAMメールを誤ってクリックしてしまったりすることをきっかけに、侵入を許してしまう。

 ネットワーク侵入のきっかけの多くは、スピアフィッシング(Spearfishing)や水飲み場型攻撃だ。小規模な銀行、ニュースなどのサイトがそういった攻撃の場となる。こういったサイトは小規模なためにあまりセキュリティが徹底されていないためだ。会社で利用しているPCを持ち出し、そんなサイトにアクセスしてしまう。そして、マルウェアに感染。そのPCを会社に持って行き、その企業のネットワークがマルウェアの侵入を許してしまうわけだ。

 PCがマルウェアに感染した次のステップが、リモートアクセス型のトロイの木馬による攻撃だ。このトロイの木馬は、インターネット上で無償で手に入るようなものもあれば、それらのカスタム版などがある。さらに、APT攻撃を仕掛けてくる犯罪者は、リモートアクセストロイの木馬を使い、ネットワークにバックドアを仕掛けるのが常だ。

 3つめは、標準ポートや標準的なプロところを利用するということ。つまりはHTTP、DNS、SMTPなど、インターネットを利用するならば必要となるサービスのプロトコルやポートを利用するのだ。これら「標準」を使うことで、進入しやすく検知されにくくしている。「1日に何百万通というDNSメッセージが飛び交うようなネットワークで、問題あるものと正常なものを見分けるにはどうしたらいいでしょうか?」とシュワルツ氏は問いかける。これらを区別するのは、そう簡単なことではないのだ。

 4つめは、ランダムなファイル名が使われることだ。これは、たとえばHTTPでランダムなURLを使ったり、ファイルシステムでランダムなファイル名を使う。ファイル名がランダムだとシグネチャ型アンチウィルスソフトなどでは、マルウェアを見つけ難くなる。さらに、脅威の発信元がダイナミックDNSなどを使ってコミュニケーションすることも問題だ。たとえば、防御側が不審なサイトなりからのアクセスを、特定のIPアドレスを指定してブロックしようとしても、何千もあるIPやドメイン名を利用しているので、それをくぐり抜けてしまうのだ。

次のページ
さまざまな要素で継続的に攻めてくるAPT攻撃

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

谷川 耕一(タニカワ コウイチ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5203 2013/10/01 13:05

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング