特集
» 2014年10月01日 10時00分 公開

5分で絶対に分かる標的型攻撃 (4/5)

[高橋睦美,@IT]

4分:標的型攻撃への対策は?

標的型攻撃が目的達成のために使う手段の1つが、ゼロデイ脆弱性です。セキュリティパッチの存在しない脆弱性を狙ってくるため、たとえOSやアプリケーションを最新の状態にしていても防ぐことはできません。2014年4月に報じられたIEを狙った攻撃もその一例です。

 それでなくとも、攻撃者側はあらかじめウイルス対策ソフトなどを用いて、対策をすり抜けられるかどうかを検証した上でマルウェアを送り込んできます。従って、シグネチャベースの防御に代表される従来型の対策で、標的型攻撃に使われるマルウェアの侵入を防御することは困難といっていいでしょう。

 そこで注目が集まっている手法の1つが、サンドボックスによるものです。疑わしいファイルが送り込まれてきた場合、サンドボックスと呼ばれる仮想環境上でその挙動を確認し、システムに変更を加えるなど不審な動作をする場合は警告するという仕組みで、未知のマルウェア対策として期待されています。

 とはいえ、それでも100%の防御ということはあり得ません。むしろ、入り込まれることを前提にして、なるべく深刻な被害に至らない前に見つけ出し、封じ込めるという方向を考えることが、コスト面、労力面からも望ましいといえるでしょう。

 そもそも標的型攻撃の目的は、マルウェアに感染させることではありません。感染は手段にすぎず、マルウェアを通じて何らかの情報を盗み出すことが目的です。ですから、たとえマルウェアに感染してしまったとしても、最終目的である情報を盗み出される前に見つけ出し、外部への通信を遮断すれば、最悪の事態は免れます。

 そのためには、日頃からの監視体制が重要です。労力などの面で全てのログをチェックすることは無理でも、大まかにでも通常のトラフィックの傾向(どの端末とどのサーバーとの間が多いか)などをつかんでおけば、普段とは異なる通信に気付きやすくなります(これは「出口対策」などと称されています)。

 わざとメールを送り付ける「標的型メール訓練」も、開封率を下げるためという面ではあまり意味がないでしょうが、「もし疑わしいことがあったとき、誰にどのように連絡し、対処すべきか」をユーザー一人一人が確認し、入り込まれた後の組織的な対応をスムーズにするという意味では有効といえるでしょう。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。