SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day レポート(AD)

Windows API監視技術を用いた抜本的な標的型攻撃・情報漏えい対策―ハミングヘッズ石津氏が講演

標的型攻撃、内部情報漏えいの実際――近年の事例から脅威を振り返る

 石津氏は、直近の具体的な事例から近年の脅威を振り返る。言わずもがなであるが、一度企業が事故を起こすと、その後の信頼回復は相当困難となる。事故が情報流出となるとなおさら深刻である。一度流出した情報は追跡して消すことができないからだ。

事例1:小売り大手のPOSネットワーク攻撃

 2013年12月には米国小売大手企業が攻撃されクレジットカード情報など7千万件の顧客情報が流出、2014年9月には同じ手法で別の米国小売大手企業が攻撃され最大6千万件の顧客情報が流出した。いずれも使われたのは「BlackPOS」というマルウェアの亜種。  

 一般的にマルウェアにはアンチウィルスソフトで検知するものの、対応の要となるパターンファイルは過去事例の蓄積であるため、新種や亜種に即応できない。もし攻撃先が1社に限られていれば、そこで発見されない限りパターンファイルに盛り込まれることはなく、半永久的に気づかないということも起こりうる。

事例2:インターネットバンキング不正送金

 近年特に被害額が増えているのがマルウェアによりブラウザが乗っ取られ、インターネットバンキングで不正な宛先に送金されてしまうケース。警視庁の発表によると2014年度上半期の被害額は18億5200万円であり、被害の30.9%が法人口座とある。被害は個人だけではないのだ。  

 マルウェアによるブラウザ乗っ取りなのでMITB(Man in the Browser)攻撃と呼ばれている。このケースの難しさは通信を監視していても、通信相手が正規の銀行なので異常と検知しにくいことだ。また最近はマルウェアを実行させるための巧妙な「やりとり型攻撃」も出てきている。

出所:Security Online Day 201

事例3:内部の人間による情報流出

 2014年7月、教育大手企業にてデータベース管理を委託されていたエンジニアが顧客情報を持ち出した。データが流出したことはしばらく気づかれず、その間にエンジニアから名簿屋に売り渡され、ダイレクトメールで利用されたことで情報流出が発覚した。被害者からの指摘で発覚するという、企業としては致命的な事態を引き起こした。流出した情報は名前や住所など2895万件、対応費用は200億円と言われ、社会事件へと発展した。  

 データはスマートフォンへのデータコピーという形で持ち出された。USB経由への書き出し対策に不備があったと指摘されている。また大量データの書き出しに警告がないことやアクセスログのチェックが不十分であることなどが、長期の未検出につながった。  

 ほかにも2014年3月には半導体大手で機密がUSBメモリから不正持ち出しされ、競合他社に漏えいする事件が起きた。損害は1千億円以上と言われている。  

 事例1と2は標的型攻撃、事例3は内部情報漏えいとなる。どちらも一般的な対策はあるものの、完全に防ぐのは難しい。標的型攻撃はマルウェアが利用されることが多いため、対策としてよく言われているのはOSのアップデート、アンチウィルス、侵入検知システム、統合脅威管理など、セキュリティに関するソフトウェアを最新版にすることだ。ただし事例に見るようにこれでは新しい脅威には対応できない。  

 内部情報漏洩えいは、力ずくで守る方法もあるにはある。データを暗号化する、端末の持ち出しを一切禁止する、ログをリアルタイムに全てチェックするなどだ。ただし、やり過ぎては利便性を犠牲にしかねない。費用もばかにならない。人間への対策もある。例えば不正行為について周知徹底する。就業規則で誓約書を書かせる、罰則規定を設けることで従業員や関係者に圧力をかけるなど。  

「どれも抑止にはなりうるが、やはりそれでは防げない」と石津氏は言う。

出所:Security Online Day 201

次のページ
Windows API監視技術を用いた、抜本的な標的型攻撃対策・内部漏えい対策

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6420 2015/05/07 16:59

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング