SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

S&J三輪信雄のセキュリティ ニュースレター

標的型攻撃というモグラたたきゲームを攻略する


 ゲームセンターでモグラたたきゲームをするとして、例えば、モグラが100匹いたらどうだろう。そんなゲームだとすれば、いくら集中していても、モグラが顔を出した事さえ気がつかないだろう。これは、1万台のPCでメールを読んだりWebサイト閲覧ができる環境で、標的型攻撃に備える体制がある場合の状態と同じかもしれない。もちろん、モグラが顔を出す前に「振る舞い検知」や「サンドボックス」で検知することも可能かもしれないが、一定の効果は期待できるものの万全とはいえない。

モグラたたきのルールを変える

 このモグラたたきゲームを続けるなら、さらに精度の高い検知技術や、モグラが顔を出したことを複数のログで検知するSIEMなどを取り入れなければならない。そして、その検知アラートに即応できる理想的なCSIRT、そして最先端のSOCなどを備えなければならないし、それでも、「情報漏洩」を検知したり防いだりすることは容易ではない。

 では、このモグラたたきゲームのルールを変えたらどうだろうか。100匹は無理でも10匹ならどうだろうか。10匹のモグラたたきならなんとか戦うことができるのではないだろうか。これは、LANにおいて、攻撃対象となるPCを減らす、ということで実現できる。標的型攻撃であれば、メールやWebで感染して、その後、ほとんどの場合HTTPやHTTPSでコールバック(C&Cサーバとの通信)を行う。攻撃対象のPC、すなわち、メールやWebを閲覧するPCを減らしてはどうだろうか。これは、モグラを減らすのと同じ効果がある。

 ただし、メールやWeb閲覧を行ういわゆるインターネット接続端末を減らしても、同一LAN上にPCがあれば、結局間接的に感染、あるいは、情報漏えいの可能性があるので、端末単位ではなく、LAN単位での分離を検討するべきである。

 これまで、多くの組織でLANの統合が行われてきた。そして、Web閲覧が業務で必要ではない端末でも当然のようにWeb閲覧ができる環境の普及、メールの普及も影響して、社内LANからインターネットにアクセスできるのは当たり前、になってきた。お昼休みには、自由にインターネットにアクセスし、社内ネットワークの通信量のピークが昼休みである組織は少なくない。当然の権利のように利用している社員が多い。FacebookやTwitterを立ち上げっ放しの社員もいるだろう。

 そのような状態で、標的型攻撃や待ち受け型攻撃を防ぐのは至難の業である。現在、多くのセミナーで「防ぐことはできない」と専門家が話しているくらいだ。マルウェアが添付されたメールが、社内PCに届くというのは、検知できない爆発物が自分の机の上まで届けられるということと同じで、それを前提としたSOCやCSIRTの整備は、とても高度な機能を備えなければならない。

 では、極端な例として、社内でたった10台だけインターネットに接続できるように制限したらどうだろう。当然、その10台は独立したLANに設置されていて、他の業務用LANとは隔離されているとする。そして、その10台には、個人情報などの機密情報が無い状態にしてあればどうだろう。そのような状態であれば、守りきることは容易であり、感染しても大きな被害にはなりにくい(マルウェアつきの標的型攻撃メールを送ってしまう、メールをコールバックでC&Cサーバに送ってしまうなどの可能性が残る)。

 つまり、漏れては困る情報を保持しているPCをインタネット接続を許可しているLANに置かないことにより、モグラたたきゲームを容易なものにすることができるのだ。このようにネットワークを分離する考え方は、銀行などの金融機関では当たり前のことである。サンドボックスや振る舞い検知の導入も効果的ではあるが、そもそものPC数、個人情報などの機密情報をインターネットに接続できるPCから極力減らす努力をするべきだ。

 たとえば、マイナンバーはこれからどの会社でも取り扱うことになるのであるから、そのような端末は、別のLAN上に設置するべきであろう。顧客情報や設計などの情報を取り扱うネットワークも分離されるべき対象であろう。しかし、設計や開発部門では、市場調査や技術調査のためにネット接続が必要だ、と言われ、その要求のために結局は「守りきれない危険な状態」を生み出している。

次のページ
モグラたたきを楽にする

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
S&J三輪信雄のセキュリティ ニュースレター連載記事一覧

もっと読む

この記事の著者

三輪 信雄(ミワ ノブオ)

日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7131 2015/08/20 14:21

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング