「IT犯罪対策としての法律は未整備な部分が多い」
ハミングヘッズ株式会社 顧問 石津 広也氏
あらゆる業務システムのIT化、モバイル端末の普及など、企業のIT依存比率は否応なしに高まりつつある。一方、システム管理の複雑化や高度なシステム人材の必要性も高まっている。ビジネスにおけるシステムの必要性が高まる一方なのに、それを支える仕組みを維持する難易度が上がっているという状況だ。
企業に迫るリスクとして特に課題となるのがIT犯罪対策。近年IT犯罪は遠隔操作や検出を回避する技術など、ますます巧妙に複雑化し、対策を困難にしている。必要な対策をどう講じればいいか。対策の高コスト化も頭の痛い問題だ。潤沢に予算があればいくらでも対策に費用を投じることができるが、現実的には予算は限られている。必要な対策を見極めるには高い知見が必要だ。どこから知見や人材を獲得していけばいいのか。セキュリティ担当者の悩みはつきない。
技術的に難しい部分を法律でけん制するという方法も考えられるが、石津氏は「IT犯罪を前提とした法律はまだ少ない」と法整備について指摘した。つい最近、2014年11月6日にサイバーセキュリティ基本法が可決、成立したものの、まだ基本法でしかない。内閣に「サイバーセキュリティ戦略本部」が設置され、実効性のある取り決めがなされていくのは来年以降だ。実質的には法律が現実的な対策としての役割を果たしていけるのはこれからと考えていい。
実在する法律でIT犯罪に有効なものとなると「不正アクセス行為の禁止等に関する法律」や「不正指令電磁的記録に関する罪」などがあるものの、これらは急速に拡大するIT犯罪すべてを網羅できているとは言えない。公訴時効も3年と短い。そのため現実的には「不正競争防止法」を根拠にするケースが多いという。これなら公訴時効は7年と長く、金銭を目的としたIT犯罪への有効性が高いからだ。石津氏は「IT犯罪対策としての法律は未整備な部分が多い」と現状に苦言を呈する。
標的型攻撃、内部情報漏えいの実際――近年の事例から脅威を振り返る
石津氏は、直近の具体的な事例から近年の脅威を振り返る。言わずもがなであるが、一度企業が事故を起こすと、その後の信頼回復は相当困難となる。事故が情報流出となるとなおさら深刻である。一度流出した情報は追跡して消すことができないからだ。
事例1:小売り大手のPOSネットワーク攻撃
2013年12月には米国小売大手企業が攻撃されクレジットカード情報など7千万件の顧客情報が流出、2014年9月には同じ手法で別の米国小売大手企業が攻撃され最大6千万件の顧客情報が流出した。いずれも使われたのは「BlackPOS」というマルウェアの亜種。
一般的にマルウェアにはアンチウィルスソフトで検知するものの、対応の要となるパターンファイルは過去事例の蓄積であるため、新種や亜種に即応できない。もし攻撃先が1社に限られていれば、そこで発見されない限りパターンファイルに盛り込まれることはなく、半永久的に気づかないということも起こりうる。
事例2:インターネットバンキング不正送金
近年特に被害額が増えているのがマルウェアによりブラウザが乗っ取られ、インターネットバンキングで不正な宛先に送金されてしまうケース。警視庁の発表によると2014年度上半期の被害額は18億5200万円であり、被害の30.9%が法人口座とある。被害は個人だけではないのだ。
マルウェアによるブラウザ乗っ取りなのでMITB(Man in the Browser)攻撃と呼ばれている。このケースの難しさは通信を監視していても、通信相手が正規の銀行なので異常と検知しにくいことだ。また最近はマルウェアを実行させるための巧妙な「やりとり型攻撃」も出てきている。
事例3:内部の人間による情報流出
2014年7月、教育大手企業にてデータベース管理を委託されていたエンジニアが顧客情報を持ち出した。データが流出したことはしばらく気づかれず、その間にエンジニアから名簿屋に売り渡され、ダイレクトメールで利用されたことで情報流出が発覚した。被害者からの指摘で発覚するという、企業としては致命的な事態を引き起こした。流出した情報は名前や住所など2895万件、対応費用は200億円と言われ、社会事件へと発展した。
データはスマートフォンへのデータコピーという形で持ち出された。USB経由への書き出し対策に不備があったと指摘されている。また大量データの書き出しに警告がないことやアクセスログのチェックが不十分であることなどが、長期の未検出につながった。
ほかにも2014年3月には半導体大手で機密がUSBメモリから不正持ち出しされ、競合他社に漏えいする事件が起きた。損害は1千億円以上と言われている。
事例1と2は標的型攻撃、事例3は内部情報漏えいとなる。どちらも一般的な対策はあるものの、完全に防ぐのは難しい。標的型攻撃はマルウェアが利用されることが多いため、対策としてよく言われているのはOSのアップデート、アンチウィルス、侵入検知システム、統合脅威管理など、セキュリティに関するソフトウェアを最新版にすることだ。ただし事例に見るようにこれでは新しい脅威には対応できない。
内部情報漏洩えいは、力ずくで守る方法もあるにはある。データを暗号化する、端末の持ち出しを一切禁止する、ログをリアルタイムに全てチェックするなどだ。ただし、やり過ぎては利便性を犠牲にしかねない。費用もばかにならない。人間への対策もある。例えば不正行為について周知徹底する。就業規則で誓約書を書かせる、罰則規定を設けることで従業員や関係者に圧力をかけるなど。
「どれも抑止にはなりうるが、やはりそれでは防げない」と石津氏は言う。
Windows API監視技術を用いた、抜本的な標的型攻撃対策・内部漏えい対策
ではどうしたらいいか。セキュリティの世界に「絶対」や「万全」はありえないものの、有効な対策を石津氏は紹介した。一般的な対策とは仕組みや発想が抜本的に異なるため、効果が高い。標的型攻撃対策には「Defense Platform(DeP)」、内部漏えい対策には「Security Platform(SeP)」で実装している防衛策だ。
標的型攻撃対策「Defense Platform(DeP)」
基本的に「人は信頼する。プログラムの自動動作を疑う」という理念で動作する。言い換えると、ユーザー自らの操作は許容し、プログラムが自動で行う動作は疑うようにできている。
どのように実現しているかというと、鍵はWindows API。これを監視することで挙動を判別し、ユーザーの行為ではない破壊、改ざん、漏えいにつながる処理や動作を停止する。これであれば、未知のマルウェアを使った標的型攻撃でも有効だ。
アンチウィルスソフトとの大きな違いはパターンファイルを必要としない点だ。パターンファイルがなければアンチウィルスソフトがやるようにスキャンの必要がなく、実行するコンピューターに高い負荷をかけなくてすむ。ホワイトリスト型なので誤検知も少なく、トラブルが起きにくいことも挙げられる。
ポイントをまとめると、自社で認めていないプログラムは動かさず、不審な処理が走る前に動作を止める、ユーザーが意図しない処理(データ送信など)は止めることになる。加えてログは改ざんできないようになっている。
内部漏えい対策「Security Platform(SeP)」
基本的に「人はミスをする。人は間違いを犯す」という理念でできている。そのため、ミスは起こしにくいように、起きても安全網でカバーするような仕組みになっている。
例えばユーザーが社内ネットワークから出たらデータは自動的に暗号化し、うっかり漏えいしても暗号化が施されているため第三者にデータが渡りにくくなっている。社内ネットワークに戻れば自動的に複合する。社内では常に平文で運用ができるため、社内文書が暗号キーの不具合で読めないということがなくなる。なお社内、社外の判定は自動的に行われる。
データの外部持ちだしは強力にガードされている。USB、CD、メール、Webなどは全てブロックし、許可されたリリースフォルダ経由でのみ持ち出し可能とデータの出入口を制限して厳しく守る。ブラウザのコピー&ペーストも制御可能だ。うっかり漏えいするトラブルはほぼ防ぐことができる。
ログも強力だ。キー入力内容は全てログに保存可能。そして操作ログは裁判の証拠にも使えるように詳細かつ改ざん不能になっている。ログを取得していることを告知しておけば、悪意ある人間へのけん制効果も高い。
* * * * *
DePとSeP、前者は外部攻撃対策、後者は内部攻撃対策とも言い換えられる。両者に共通しているのはWindows API監視以外にも、純国産のセキュリティソフトという安心材料もある。またSePはISO15408のEAL3認証を取得しており、DePも現在申請中である。クライアント端末はXPからWindows 8.1まで対応し、Windows Server 2003から2012 R2まで対応しているのも大きな特徴だ。同時利用すれば効果はより高くなる。
