アンチウイルスを越えて:サイバー前線の今

2015年10月8日

こんにち企業が直面しているサイバーセキュリティの課題は、5年前とは比べものにならないほど大きなものとなっています。主な理由は、警戒すべき「攻撃の媒介」が増えたことです。また、すぐに使える不正なツールを利用して他人の金銭やデータを横取りしようとする犯罪者も、確実に数を増やしています。たとえば、つい3年前まで、「Advanced Persistent Threat」(APT)という言葉を聞いたことがある人はほとんどいませんでしたが、今では、数あるITセキュリティ用語の1つとしてすっかり定着しました。今回の記事では、現在の「脅威の動向」(ちなみにこれも新しい用語ですね)の中から企業に関係するものを見ていきましょう。その前に、少しばかり過去を振り返ります。

2

過ぎ去った良き時代…

Small」マルウェアファミリー:標準的な常駐型ウイルスであり、メモリに.comファイルがロードされるとファイルの末尾(ただし、Small-114Small-118Small-122はファイルの先頭)に追加されます。このウイルスファミリーのほとんどは、80×86プロセッサのコマンドPOPAPUSHAを使用します。

コンスタンティン・ゴンチャロフ(Konstantin Goncharov)はこの一節を、ユージン・カスペルスキー著、1992年発行の『Computer viruses in MS-DOS』(MS-DOSのコンピューターウイルス)から引用しました。

何とも良き時代でした。当時活動していたウイルスは、かなり薄い本の中に網羅できたのですから。当時の主なサイバー脅威はウイルス(唯一ではないとしても)でした。今やウイルスはサイバー犯罪界のメインストリームではなく、最大の問題でもありません。仮にそうだとしたら、みんな気が楽になるでしょう。もちろん、悪意あるソフトウェアを使って利益を得ている犯罪者は別ですが。

押し寄せる脅威:モバイル

この5年ほどで起きた最大の変化は、モバイルデバイスがビジネスプロセスで広く活用されるようになったことです。それによって多数の問題が生まれました。Bring Your Own Device(BYOD:個人デバイスの業務利用)を認める企業も増えていますが、課題もあります。

まず、モバイルデバイスを狙うマルウェアは非常に多く、特にAndroidで蔓延しています(現在、99%ものモバイルマルウェアがこのOSを標的としている – 英語記事)。モバイルバンキングもかなり普及しており、当然ながら犯罪者の関心を引いています。「窃盗ツール」が多数開発され、バンキングの認証情報の盗取や、他人の口座(個人も企業も)への侵入に利用されています。

しかも、スマートフォンやタブレットにセキュリティ製品をインストールしている人は、ごくわずかです。モバイルデバイスが企業インフラの一部になれば、つまり業務目的で使用されるようになれば、そこからリスクが生じることも考えられます。機密データの漏洩、企業インフラストラクチャへの不正アクセス、というリスクです。

また、仕事上のデータや認証情報の保存に使われていたモバイルデバイスを紛失したり、盗難に遭ったりした場合は、重要データの「持ち主が変わる」事態を避けるために、デバイスの回収やデータのリモート消去が急務となります。

対策: 「アンチウイルス製品」をモバイルデバイスにインストールしただけでは(されることはまれですが)、あまり効果はありません。必要なのは、一元的なモバイルデバイス管理ソリューション。IT担当者が、ネットワーク内のモバイルデバイスで起きていることを常に把握できる製品です。端末一元管理ソリューションについては、こちらをご覧ください。

押し寄せる脅威:標的型攻撃とAPT

APTは比較的新しく、やや曖昧な概念です。最初のころは、特定の標的に対し長期にわたって執拗に攻撃を繰り返すハッカー集団を指す言葉でした。今では一般に、特定の種類の悪意あるサイバー活動を意味するようになっていて、標的に危害を加えること、または重要情報を盗むことを目的とした一連の活動がこれに当たります。こうした攻撃を行う集団は、「APT集団」と呼ばれるようになりました。

APTレベルの攻撃や活動は当初、非営利組織や政府を含むさまざまな大規模組織を標的としていましたが(最新のAPTであるBlueTermiteについて、ご確認ください)、今年はすでに、銀行だけを狙うAPT集団、Carbanakをはじめ、中堅中小企業に的を絞ったGrabitというサイバースパイ活動が確認されています。APTが小規模企業でもよく見られる問題となる日は、そう遠くないように思えます。

実際、APT集団が最初の攻撃で使う手口は他の犯罪者と同じで、フィッシング、トロイの木馬、一般的な脆弱性やゼロデイ脆弱性を突くエクスプロイトなどですが、その名に違わず非常に執拗(Persistent)です。

APTの詳細については、当ブログの『APTについて知っておくべきこと』という記事をご覧ください。

対策: 何よりもまず、考えられるセキュリティホールをすべて塞ぐ必要があります。つまり、PC、サーバー、モバイルデバイスの脆弱性を余すところなく修正するということです。また、フィッシング、その見分け方、被害に遭わないようにする方法について、社員を教育することも大切です。その他にも必要となるのは、フィッシング攻撃をブロックする機能や不正アクセス検知機能、誰も気づかなかったソフトウェア脆弱性が悪用された場合でもシステム内でエクスプロイトの実行を阻止する機能などを備えた、総合的なセキュリティソリューションの導入です。

脅威は去らず

ここで挙げたのは企業が直面する一般的な問題のうち、ごく一部でしかありません。他にも、スパム、詐欺、DDoS攻撃暗号化を使うランサムウェアなど、「押し寄せる脅威」と言えるものは相当数に上ります。ITの発展がさらに進むにつれて、まだ見ぬ脅威が新たに登場することは間違いないでしょう。しかし、その大半はソフトウェア脆弱性を利用するものであるため、予測は可能です。

残念ながら、サイバー脅威の大部分を生み出しているソフトウェア脆弱性が、近い将来になくなるとは思えません。企業内で使用されているビジネスソフトウェアを漏れなく追跡するのは大変な負担になりますし、自動化ソリューションを導入しない限り、重大度の高い緊急パッチがリリースされてから実際にインストールされるまでに、かなり時間がかかってしまうこともあります。その期間こそが犯罪者にとっての好機なのです。

自動アップデートと併せて自動パッチ管理ツールを使用することは必須であり、そうしなければインフラが長期間にわたって無防備な状態になってしまいます。

個人にも企業にも、「優秀なアンチウイルス製品」さえあればどんなセキュリティの問題も解決できる、という考えが今でも残っています。しかし、セキュリティの脅威は数だけでなく、複雑さも増しています。世界中の企業や組織が、複雑かつ多層的な防御を一様に整え、身を守る必要に迫られています。単一目的のセキュリティ製品では十分に対処できないでしょう。

アンチウイルスは、将来的になくなるわけではなく、今でも中核を占めています。しかし、「アンチウイルス」という呼び名は、もはやふさわしくありません。「アンチウイルス」と呼ばれていたものは、今や現代ビジネス向けの多目的セキュリティスイートであり、マルウェアに限らず幅広い脅威から企業を保護できるように設計されています。この呼び名では誤解も生まれます。スパムやフィッシングからの保護機能やパッチ管理ツールが「アンチウイルス製品」に搭載されていると思う人などいるでしょうか?ほとんどいないはず。「アンチウイルス企業」は、変化の激しい現在のビジネスインフラに適した多層的な保護を提供すると考えられているでしょうか?いないでしょうね。したがって、今は「セキュリティソリューション」や「セキュリティベンダー」という呼び名の方が適切です。

アンチウイルス製品がなくなるということではありません。今も使われていて、重要な役割を果たしていますが、現代のセキュリティソリューションにおける唯一のコンポーネントではなくなりました。同様に重要なコンポーネントが他にもたくさんあります。適切なソリューションはそれらすべてを網羅しているのです。