標的型攻撃、不正ログイン……巧妙化する脅威から身を守る術は：＠ITセキュリティセミナーレポート（1/2 ページ）

　2014年前半を振り返ると、OpenSSLやApache Struts 2の脆弱性が発覚し多くの企業が対応に追われたのをはじめ、サポートが終了したばかりのWindows XPにも影響を与えるInternet Explorerの脆弱性とそれを悪用した攻撃、さらには、国内サービスをターゲットとした相次ぐ不正ログイン（リスト型攻撃）と、息つく暇もないほどさまざまなセキュリティインシデントが発生した。

　6月6日に都内で開催された＠IT主催セミナー「標的型攻撃、不正ログイン……巧妙化する脅威から身を守る術は」では、こうした最近のセキュリティインシデントを振り返りながら、必要な戦略や対策を考察、提案する講演が行われた。その模様を紹介する。

基調講演〜楽天が取り組むサイバー犯罪対策

　基調講演「楽天が実践する不正ログイン対策＋セキュリティ施策」では、楽天 サイバー犯罪対策準備室長 鴨志田昭輝氏が登壇した。同氏はシステムセキュリティとサイバー犯罪対策の業務を兼務する形で、同社のセキュリティ運用やグループ会社のセキュリティガバナンスなどを担当している。

不正ログインに対する取り組みについて語った楽天 サイバー犯罪対策準備室長 鴨志田昭輝氏

　鴨志田氏によると、楽天ではアプリケーションやミドルウェアの脆弱性を悪用するセキュリティ攻撃だけでなく、不正ログイン、クレジットカード詐欺、模倣サイト（楽天の偽サイトから銀行振り込みさせるなど）といった不正行為に対しても対応を強化しているという。

　国内におけるサイバー犯罪の中で、2013年前半から後半までの間に急増したものがある。それが不正ログインだ。同社も一連の不正ログインの標的の一社となり、2013年7月10日、一部ユーザーの楽天スーパーポイントが不正取得されていることを発表した。楽天における調査と警察の働きにより、犯人逮捕につながり、それによって犯行の一部始終が明らかになった。

　この件ではリスト型攻撃が使われていた。逮捕された犯人は、アングラサイトで購入したID／パスワード一覧ファイルと攻撃ツールを使い不正ログインをしていた。そして、楽天スーパーポイントを電子マネーの楽天Edyに交換するキャンペーンに申し込み、薬局などの店舗で紙おむつなどの商品を楽天Edyで購入、現金化していたという。

　「同一IPアドレスから大量のアクセスがあれば強制的にパスワードリセットするなど、楽天側でもさまざまな対策は講じている。しかし、IPアドレスを1分間に4回変更するなど手口も巧妙になっており、しかもIPアドレスの起点がほぼ国内のため、単に国外のIPを遮断するといった手段も使うことができない」（鴨志田氏）

　「不正ログインのモニタリングもこれまで以上に強化していく必要があるが、たとえ不正ログインされてしまったとしても、注文などのタイミングでサービスごとにチェックするなど、さらなる警戒が必要となっている」（鴨志田氏）。

　開発したアプリケーションの脆弱性を狙ったセキュリティ攻撃についても対策を強化している。同社では、脆弱性を防ぐセキュア開発プロセスを徹底している。前工程で脆弱性の発生を抑止し、最後まで入念な安全確認を怠らない。その最後の安全確認では、アプリケーションに攻撃を加えて脆弱性を洗い出すブラックボックステストに加え、ソースコードなど内部仕様をある程度把握し、改善を行うグレイボックスアプローチを導入している。

　もともと内製中心で開発してきた楽天は、設計段階でのセキュリティレビューの実施や、品質保証段階での脆弱性検査ツールによる検証、開発者向けのセキュリティセミナー実施など、前工程で脆弱性を取り除くための対策と教育を実施してきた。2012年までは最終的な安全確認としてのセキュリティ診断の半数は外部事業者に委託するブラックボックステストだったが、外部事業者のエンジニアも常駐して作業を実施するグレイボックススタイルに切り替えている。

　「アプリロジックが分からなければソースコードを参照し、不明な点があれば開発担当のエンジニアにヒアリングするといったように、セキュリティ診断プロセスも改善を繰り返している。今後も、よりセキュアな開発体制を推進していきたい」（鴨志田氏）

セッション1：分単位でリスクにさらされる企業、多層防御で対策を

　続くセッション1では、「今そこにある危機！ 最新のセキュリティ診断で見えた組織内のリスクとその解決策」と題し、チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）システム・エンジニアリング本部 セキュリティ・エキスパート 宮川淳一氏が登壇した。

チェック・ポイント・ソフトウェア・テクノロジーズ システム・エンジニアリング本部 セキュリティ・エキスパート 宮川淳一氏

　チェック・ポイントでは、無償のオンサイトネットワーク診断サービス「Check Point Security Checkup」を提供している。2013年に同サービスを利用した9240組織のイベントデータを分析したところ、脅威の現状が判明した。

　「これらの組織では、1分に1回はコンピューターが悪意あるWebサイトにアクセスし、3分に1回はボットがC＆Cサーバーと通信し、10分に1回は既知のマルウェアがダウンロードされ、27分に1回は未知のマルウェアがダウンロードされていた」（宮川氏）

　こうしたリスクは、ゲートウェイだけで全て防げるものではない。昨今話題となったOpenSSLのHeartbleed脆弱性、Apache Strutsのゼロデイ攻撃、Internet Explorerの脆弱性など、攻撃される要素は企業システムの各階層に散らばっている。対策には、各階層にアプローチする多層防御が重要だ。

　チェック・ポイントは、最新の脅威データをリアルタイムかつ動的に更新し、同社製品と連携してフィードするクラウド型インテリジェンスデータベース「ThreatCloud」を軸に、ファイアウォールやIPS、アンチウイルス、アンチボットなどの各種セキュリティ機能を統合プラットフォームで提供している。

　標的型攻撃で利用される新種のマルウェアについては、サンドボックス型のThreat Emulation機能で対策する。同機能は、不審なファイルを検知すると仮想環境の中でエミュレーションし、マルウェアによく見られる挙動をチェックする。例えば、PDF形式の職務経歴書に見せかけたマルウェアは、レジストリの変更やシステムプロセスによる実行ファイルの読み込み、不正サイトへのアクセス試行などを実行する。こうした挙動をチェックすることで、マルウェアを検出する仕組みだ。

　「Threat Emulationは、あるEU機関に送られたマルウェア仕込みのPDFファイルを早期検出した他、Microsoft Wordの脆弱性を悪用してZBOTの亜種をインストールさせるスピアフィッシング攻撃を検出するなど、さまざまな実績がある」（宮川氏）

　Threat Emulationは、クラウドまたはオンプレミスの両方で提供されており、オンプレミスであればインライン／タップ形式やMTA形式など複数の導入オプションから選択できる。

　「まずは、無償のSecurity Checkupで内部ホストのトラフィックを可視化し、どんなリスクが内在するかを知ってほしい。そうすることで、本当に必要なセキュリティ対策が見えてくるはずだ」（宮川氏）

セッション2：クラウド型WAFでWebサイトの脆弱性に備えを

　セッション2「Apache Strutsの脆弱性対策はお済みですか？ 最短1週間で導入可能なクラウド型WAF」は、シマンテック・ウェブサイトセキュリティ SSLプロダクトマーケティング部 上席部長 安達徹也氏がクラウド型WAF（Webアプリケーションファイアウォール）による脆弱性対策を紹介した。

シマンテック・ウェブサイトセキュリティ SSLプロダクトマーケティング部 上席部長 安達徹也氏

　シマンテックの「インターネットセキュリティ脅威レポート2013」によると、同社のWebサイト診断サービスを実施したWebサイトの78％では何らかの脆弱性が発見され、そのうち16％では重大な問題が検出されたという。

　「セキュリティインシデントで情報漏えいが発生した場合、損害賠償額は平均7500万円、調査費用やセキュリティ再構築費用は1億円近くに及ぶ。また、2013年のApache Struts 2の脆弱性を狙ったインシデントでは、半年近くWebサイトをシャットダウンするケースもあり、一度のインシデントで受けるダメージは広範かつ深刻だ」（安達氏）

　Webサイトに端を発するセキュリティ対策として、シマンテックでは「Check（点検でリスクを可視化）」「Act（必要な対策を見直す）」「Plan（計画）」「Do（実施）」の「CAPD」を提唱する。例えば、SSLサーバー証明書の無料付加機能「マルウェアスキャン」や「脆弱性アセスメント」、リモートまたはオンサイトでプロが診断を行う有料の「シマンテック セキュリティ診断サービス」などは、リスクの可視化に役立つ。

　ただし、可視化できてもすぐに対策を実施できないこともある。IPAが2012年第2四半期に実施した調査によると、約48％のWebサイトでは脆弱性対策に3カ月以上を要している。「ビジネス要件とセキュリティ対策を天秤にかけたとき、セキュリティは後回しになりがちだ。対策せずに危険な脆弱性を放置すると決め込む企業も少なくない」（安達氏）

　こうした状況でも対策できるよう、シマンテックはクラウド型WAFを用意している。「500サイト以上のベストプラクティスが反映されており、最新の攻撃にも素早く対応できる」。そう説明する安達氏は、最近ではリスト型攻撃の抑制機能も追加され、特定IPアドレスレンジから短時間・多数のアクセスがあるなど、通常のログインと異なる場合は遮断することができると話す。

　クラウド型WAFは、システムに変更を加えることなく、最短1週間で導入できる。実際、同サービスを導入したエムティーアイでは、1カ月で50サイトへの導入に成功しており、運用負担も軽減できたそうだ。同社では、1カ月のクラウド型WAFトライアルサービスを提供しており、実際の効果を検証できる。

ランチセッション：脅威を正しく理解し、怖がることから始めよう

　昼食を挟んだランチセッションでは、＠ITの人気著者でもあるソフトバンク・テクノロジーの辻伸弘氏が「セキュリティ対策以前 正しく知り、正しく怖がる第一歩」と題して講演を行った。

　「セキュリティ対策で、まず伝えたいことが2つある」と辻氏。1つは企業システム内のどこにある何を守りたいのかを明確にすること、もう1つは、できることを全てやり切った後に「明らめる」ことだ。「明らめる」とは、「諦める」のではなく、現状をきちんと把握した上で、「100％の防御は無理だ。感染は起こり得る。その前提に基づき、守りたいものに対して対策を講じてほしい」という意味合いだという。

ソフトバンク・テクノロジーの辻伸弘氏

　この2点を踏まえて標的型攻撃を考えると、今まで見えていなかったことが見えてくるという。

　IPAによると、標的型攻撃は、「計画立案段階」「攻撃準備段階」「初期潜入段階」「基盤構築段階」「内部侵入・調査段階」「目的遂行段階」「再侵入」の7つのステージに分けられる。

　「各ステージの手法を見ていくと、古いタイプの攻撃を組み合わせているだけで、特に目新しいものはない」。そう分析する辻氏は、こうした古い攻撃の「点」をつなぎ合わせて「線」を描き、時間やリソースを加えて「面」に展開するのが標的型攻撃であると解説。そして、それぞれに対応する「古いタイプの対策」で点をつなぐ線を断ち切り、時間とリソースをかけて面を破ることが対策になると示す。

　また、例えば標的型攻撃メール対策訓練も、「メールを開かないこと、引っかからないこと」を目標にしてはいけないと指摘。「開いてしまった場合に何をすべきかを訓練することが重要」であり、事後にどう動くかの訓練を実施すべきと辻氏は言う。

　「開封率1％と10％とでは、一見すると前者の方が良いように思える。しかし、1％に広いアクセス権限を持つ役員やシステム管理者が含まれていた場合、1％の方が圧倒的にリスクは高い。開封させないことばかりに注力するのではなく、開封した後に担当者へすぐ通報できるようにすることを訓練した方がいい」（辻氏）

　“侵入はあるものだ”と考え、事後対策や早期発見、再発防止などの予防対策を考える。そして、情報に振り回されて慌てないよう、信頼できる／できそうな情報源で適切に取捨選択することが、これからは重要だと辻氏は説く。

　「セキュリティ対策は柔道と似ている。技ありを2本とられると負けるが、有効であればまだ戦える。（これに照らし合わせると）マルウェア感染は『有効』といってもいいだろう。また、押さえ込みも30秒経過しなければ一本にはならない。つまり、早期発見と正しい対応ができれば、一本とられることはない。そのような対策が必要だ」（辻氏）