随分時間が空いてしまいましたが、vForum2016@Tokyoで講演した「マルウェア・標的型攻撃への対策に、本当に必要なインターネット分離」というセッションについて、実際に利用したスライドを用いて、実際にご来場頂けなかった方にも見ていただけるように書き起こしてみました。
講演が終わった後にも、多くご質問を頂いただけでなく、「良かった」「とても良い内容だった」と直接お声掛け頂いたり、担当のお客様が聞いて感銘を受けたので資料をいただけないかと打診いただいたり、時間を掛けて作っただけの反応があり、嬉しい限りでした。
この内容を説明するには、1記事でまとめてしまうと、とても長くなってしまいますので、数回に分けてお話しようと思います。第1回は、「マルウェアとは何か? 守りたい情報とは何か?」を整理します。
- 第1回:「マルウェアとは何か?を理解する 」
- 第2回:「守りたい情報を設定し、インターネット分離に適した画面転送方式を検討する」
- 第3回:「マルウェアの特性とインシデントレスポンス」
- 第4回:「マルウェアへの対策に求められるインシデントレスポンスとは?」
では、始めて行きましょう。
インターネット分離の引き金となった被害と今後
そもそも、なぜ世の中が「インターネット分離」に注目して導入しようと考えているのでしょうか。それは不幸にも既に起きてしまった情報漏えい事例と同じ轍を踏まないためです。標的は特定の業種だけでないため、多くの方々が注目しているのです。個人情報の漏洩は、信頼を失うだけでなく、民間企業においては多大な機会損失を伴います。実際に事例ができてしまった自治体は国をあげて今年度実施しています。また、元々セキュリティ意識の高い金融機関などが導入を急速に進めています。今後は、教育機関や病院にもこの流れは広がろうとしています。
情報漏えいしてしまった例を見てみると、その謝罪・報告会見の際には、必ずその団体もしくは企業のトップクラスの人間が表に出ています。つまり、これは情報システム部門の問題ではなく、組織として対応が必要な問題として捉えられてきているのです。情報漏えいをしてしまうことが、世の中に大きく影響を与えるということを表しています。
標的型攻撃の位置関係 – マルウェアの侵入経路と流出の仕方のおさらい –
では、そもそも標的型攻撃というのは、どのような流れで情報漏えいまで至ってしまうのでしょうか。こちらのスライドのように、攻撃者は特定の団体・企業を狙って、ブラウザの脆弱性を突いたり、メールの添付ファイルを開かせるといった形で、オフィスの中に侵入を試みます。感染してしまったPCがあれば、そこから機密情報を持った業務サーバから情報を窃取し、C&Cサーバと言われる攻撃者配下のサーバへ情報を流出させます。
標的型攻撃への対応策「インターネット分離」
このような標的型攻撃に対して、事務用PCから直接インターネットにアクセスさせるのではなく、インターネット用の仮想デスクトップを用意し、そこからのみインターネットにアクセスさせます。もしインターネット用仮想デスクトップがマルウェアに感染してしまったとしても、事務用PCとの間は画面転送に必要な通信ポートのみしか許可されていないため、マルウェアが事務用PCに到達することはなく、ひいては業務サーバから情報漏えいすることもなくなります。
これがインターネットを事務用PCから”分離”するということで、「インターネット分離」と呼ばれている所以です。
本当の標的型攻撃の位置関係
しかしながら、細かく言うと、標的型攻撃はこんなにシンプルではないのです。改めてこちらのスライドを利用して整理します。
攻撃者はもっと巧妙
まず、攻撃者はブラウザ脆弱性やメールの添付ファイルを介して、オフィス内部に侵入しようとしますが、思っているよりずっと巧妙な仕掛けをしてきます。様々なセキュリティを施していたとしても、いとも簡単に破られているのです。メールの送信先の人物(名前や部署・電話番号・メールアドレス)について理解しているのは当たり前です。これらはWEBページや名刺情報から簡単に手に入れられるものです。これらの情報を利用して、攻撃者は不審に思われないように信頼を得ようとしてきます。
実例では、実在する打ち合わせの時間まで把握されていて、その打ち合わせの時間や場所が変更されたので、こちらをご覧くださいというように、メールの添付ファイルに誘導されたということがありました。自分の名前を知っていて、実在する打ち合わせまで知られている状況で、全従業員がその添付ファイルを開かないように教育するということを、100%保証するのは難しいでしょう。
攻撃者は内部に一度侵入することができれば、情報を流出させることはそんなに難しいとは考えていません。そのため、海外では従業員を買収して侵入を試みることもあるそうです。
マルウェアは真っ暗闇の中
苦労してマルウェアを内部に侵入させることに成功したとしても、攻撃者は内部のネットワークまで把握しているわけではありません。つまり、マルウェアがPCに感染して初めて、そこにPCがあったということに気づくのです。また、感染したとしても、あたりは真っ暗闇です。マルウェアに感染したPCからのみ情報を窃取しても良いですが、せっかく侵入したにも関わらず、窃取できる情報量および貴重性が限定的なので、必ず内部システムを把握しようとします。
そのため、自分のIPアドレス前後に対してPingを打ったり、ポートスキャンをすることで、どこにどんなコンポーネントがあり、どんなサービスを利用しているかを把握しようとします。これは、どんなマルウェアにも共通する動きです。業務サーバにある機密情報にたどり着くまでには、多くのハードルがあるのです。
C&Cサーバへのアクセス
もし業務サーバから情報を窃取されたとしても、C&Cサーバのような不審なサーバにアクセスされる前に、URLフィルタリングなどで回避できるといったことを耳にすることがあります。しかしながら、これも実は防ぎきれないケースがあります。URLフィルタリングはホワイトリスト方式で制御されることが多いと思いますが、実は信頼している企業の外部公開サーバが、既に乗っ取られているケースもあるためです。そのような場合には、URLフィルタリングなどの入口出口対策は全く意味を成しません。
なぜインターネット分離をする必要があるのか?
今回は、標的型攻撃がどのようなものなのかを整理しました。ここで重要なのは、なぜインターネット分離をする必要があるのか?です。多くの場合、今までに起きてきた情報漏えい事件のようなことを防ぐためです。目的をきちんと設定すれば、自ずと必要なソリューションというのが見えてくるはずです。それが、インターネット分離のあるべき姿だと思っています。
本当にインターネット分離を仮想デスクトップで実現すべきなのか、安易なソリューション選択をしないように、次回以降で「どんな情報を何から守りたいのか」を整理したいと思います。
