ここ1、2年、企業の機密情報を狙うサイバー攻撃が急増しています。攻撃には、従来型の攻撃とメールを悪用する新しいタイプの攻撃があり、ともに対策が求められています。これらの攻撃には複数の対策が必要ですが、監視機能やセキュリティ対策機能が充実したホスティングサービスの活用で負担を大きく減らすことができるのです。
企業の機密情報を狙う、2種類のサイバー攻撃手法
一連のソニーグループへのサイバー攻撃は記憶に新しいところですが、ここ1、2年、企業を標的とするサイバー攻撃が急増しています。攻撃手法は複数確認されていますが、サーバに不正アクセスを行うものと、標的型メールを使用するものに大きく分けることができます。ともに最終的な目的は企業がもつ業務情報や顧客情報といった機密情報で、アプリケーションやサーバの脆弱性を悪用することが共通しています。
サーバの脆弱性を狙う攻撃の多くは、ハッカーグループがその技術を鼓舞するために実行されるケースが多く、このため機密情報を盗み出した事実はハッカーグループによって公表されます。サイバー攻撃によって入手した情報の一部を公開することはありますが、ハッカーグループはそれで満足し、次のターゲットを探します。
ハッカーグループによる攻撃の多くは「SQLインジェクション」という手法を使用しており、データベースと連携しているWebアプリケーションの脆弱性を悪用しようとします。SQLインジェクションは、Webアプリケーションを使用したWebページのフォームなどにSQL文の断片として解釈できる文字列を含めた書き込みを行うことで、プログラムが想定していないSQL文を合成させるという攻撃です。これによりプログラムは、作成者の意図に反してデータベースの内容を表示したり、データの改ざんや消去といった操作を外部から受け付けてしまいます。
こういった不正操作は以前からよく知られており、Webアプリケーション側もフォームに入力される文字列をチェックし、SQL文として特別な意味をもつ文字を削除したり、別の文字に変換する(エスケープ)といった処理を行っています。しかし、Webアプリケーションなどの脆弱性により、エスケープが正常に行われない、あるいはSQL文の挿入が容易に行えるなどの行為が可能になってしまうことがあります。Webアプリケーションやデータベースのパッチ適用やバージョンアップを確実に実施していないと、脆弱性の悪用でデータベースを操作されてしまうのです。
一方、標的型メールを使用する最近の攻撃は、IPA(情報処理推進機構)が「新しいタイプの攻撃」と呼んでいるもので、「APT攻撃」や「ターゲット攻撃」「標的型攻撃」と呼ばれています。最終的に金銭を得ようとする攻撃で、その背後にはネットマフィアがからんでいると言われています。ハッカーグループによる攻撃と異なり、実際に情報を盗み出す動作はシステムの深いところで行われるため、被害に気づきにくいという特徴があります。盗み出された機密情報はブラックマーケットで取引され、それをネタに企業を恐喝するケースもあります。情報漏えいへの対応は、どちらの攻撃でも求められますが、新しいタイプの攻撃の方が企業にとってより深刻であると言えるでしょう。
新しいタイプの攻撃では、初期段階で「なりすましメール」が使用されます。上司や知人の名前でメールが届き、添付ファイルを開かせようとしたり、メール本文にあるURLリンクをクリックさせようとします。何も問題がないように見える添付ファイルやURLのリンク先にはウイルスが仕込まれており、利用者が気づかないうちに感染し悪意ある行動を起こします。具体的には、利用者のキー入力を記録したり、社内ネットワークを使って別のPCやシステムにアクセスしようとします。また、PCに「ボット」を仕込んで乗っ取ろうとします。ボットに乗っ取られたPCは他の企業などへのDoS攻撃やスパムメールの送信など、踏み台として利用されてしまいます。
さらに、企業のサイトを改ざんされるケースも多くなっています。サイトを見ただけでは改ざんに気づきませんが、実際にはウイルスが仕込まれており、閲覧者のPCを感染させます。改ざんしたサイトは標的型メールのURLリンク先として悪用されます。どちらの攻撃も、サーバをはじめInternet ExplorerやFirefoxといったWebブラウザ、Adobe Acrobat、Adobe Reader、マイクロソフトOffice、Javaなどといったアプリケーションの脆弱性を悪用します。このため、それぞれつねに最新のバージョンを使用することはもちろん、脆弱性情報もチェックし対応することが最低限の対策となります。
ホスティングサービスのセキュリティ機能を最大活用
10年ほど前、企業のインターネット利用が一般化した頃には、ホスティングサービスがサイバー攻撃の標的にされた時期がありました。その多くはサイトの改ざんで、やはりハッカーグループが自身の技術を鼓舞することを目的に行われたものでした。当時はトップページをハッカーグループが用意した画像に置き換えるという単純明快なハッキングだったため、改ざんはすぐに判明しました。また、ハッカーたちはIPアドレスの情報を元に改ざん候補を探していたと見られ、ホスティングサービスのラック単位で改ざん被害に遭うケースが多発しました。そのため、一度に数十というサイトが改ざんされたのです。
ホスティングサービスでは、こういったサイバー攻撃を経験しているだけに、多くのノウハウを蓄積しています。その結果、最近ではホスティングサービスを使用している企業のサイトが大量に改ざんされるケースは非常に少なくなっています。また、改ざんや不正アクセスは企業にとって大きなダメージとなるため、ホスティング事業者もつねに最新の攻撃傾向を把握し、対処できるように機能を拡充しています。
最新の攻撃への対策を考えると、まずサーバやWebアプリケーションの脆弱性対策が挙げられます。ホスティングサービスでは、「脆弱性診断」メニューを用意しているケースが多くなっています。これは、SQLインジェクションだけでなくクロスサイトスクリプティングなどといった脆弱性の有無を提供会社やセキュリティ専門会社が診断し、レポートを作成するというものです。どの部分に脆弱性があるかが明確になるので、自社開発のアプリケーションの脆弱性チェックにも有効です。Webアプリケーションの脆弱性を解消することで情報漏えいや不正アクセスを防止し、安全性を高めることが可能になります。
また、Webサービスの場合は脆弱性対策のためにサービスを停止することが難しいという現実もあります。脆弱性診断を行っておくことで脆弱性を把握し、暫定的な対策を行うことも可能になります。たとえば特定のポートを閉じたり、特定の通信を遮断するといったことで、脆弱性への攻撃から保護することができます。さらにIaaSに対応したホスティングサービスであれば、サーバを複製してサービスを継続し、その間に元のサーバのパッチ適用などを実施するといった選択肢も出てきます。
標的型メール対策には、高精度なウイルスチェックが必要になります。利用者にとっては問題ないようなファイルに見えても、その裏で不正な行動をする添付ファイル、またメールの本文に記載されているURLのリンク先のチェックは、ウイルス対策機能の中でも「振る舞い検知」や「レピュテーション」といった機能などで検出することができます。
振る舞い検知は、ファイルを実行したときのプログラムの動作を監視して、不正なプログラムを検出するという技術です。たとえば、テキストファイルなのにシステムにアクセスしたり、外部と通信を行おうとするものはマルウェアの可能性が高いと言えます。
また、レピュテーションは評価システムで、URLアドレスの安全性の評価を大量に収集し、リアルタイムに更新していきます。ウイルスのダウンロードに悪用されたURLアドレスは危険なアドレスとして評価され、IPアドレスやサイト名なども関連情報として記録されていきます。これらの機能により、PCからの不正侵入やボット化を未然に防ぐことができます。多くのホスティングサービスでは通常のウイルス対策のほか、セキュリティ専門会社の高機能なウイルス対策機能も用意されています。高機能なセキュリティ対策を活用することで、最新の手法によるサイバー攻撃にも対応していくことが可能になるのです。
改ざん対策には、改ざん検知サービスが用意されています。一般的には、Webサイトのファイルに変更があった場合に管理者に通知するというもの。更新を行う時間帯をあらかじめ決めておけば、それ以外の時間帯の更新は不正な行為と判断できます。これにより改ざんを検知し、すばやい対策が可能になるのです。
また、万一不正アクセスを実行された場合には、データを暗号化しておくことで情報の漏えいを防ぐことができます。こういったサービスを積極的に利用することで、最新の脅威にも対応できます。しかもホスティングサービスであれば、セキュリティ対策費用をサーバ運用コストに合算できるため、コストの面でも高い効果が得られるのです。
