セキュリティアラートが鳴りやまない!サイバー攻撃を「見える化」して最新の手口に対応する方法とは?

2020.2.20

最新の標的型攻撃には、各攻撃段階の異常を検知する従来のツールで対応すると、なんらかの異常を検知してセキュリティアラートが鳴るにも関わらず、その正体がわからないため適切な対応が困難という課題があります。

セキュリティアラートに振り回されずに、最新の標的型攻撃に適切に対応するにはどうしたらよいのでしょうか?

標的型攻撃の共通シナリオに注目

サイバー攻撃の件数・被害額とも最多とされる標的型攻撃は、多くの場合、悪意あるコマンドを仕掛けたメールを送り、受信者にリンククリック・添付ファイルの開封などをさせてコマンド実行に導く手口を用います。ソーシャルエンジニアリングの手口が組み合わされ、さも正常なメールであるかのように装われており、手法は巧妙化しています。

標的型攻撃の目的は、個人情報、特にクレジットカード情報や銀行情報など財産にかかわる重要情報の窃取、悪用です。ひとたび被害にあうと、適切な処理に多額の費用と相当の労力を要します。

日本での標的型攻撃の被害

ここ数年の間に発生した大型の個人情報漏えい事案は、メールによる標的型攻撃の被害例であり、特に100万人規模での個人情報漏えい事案は社会に大きな衝撃を与えました。

これらの事案では、もしも漏えいした情報を悪用されて被害額が拡大することがあれば、莫大な損害賠償請求事件にも発展しかねませんでした。現在でも、潜在的には漏えいした個人情報悪用の懸念は残ったままです。

社会的にも影響が大きく、深刻な被害をおよぼす標的型攻撃を予防、検知し、排除することは、個々の企業ネットワークを守るだけでなく、デジタル社会への信頼感を守るためにも必要なことです。

現在のところ、多くの企業では、ネットワークの各レイヤに有効である技術を重ねて利用し、ネットワークを守っています。ネットワークの入り口でファイアウォール、Webアプリケーション層にWAF、内部ではIDSで検知、そして異常な通信を検知したデバイスはIPSで隔離、という具合です。

標的型攻撃からの防衛のため、何重にもセキュリティ技術が利用されている状況といえるでしょう。

しかし、攻撃者も、正常なメールを装う、攻撃を時間差で仕掛けるなど、各検知システムやネットワークからの遮断をすり抜ける技術で対抗しており、攻撃者と企業の関係はいたちごっこの様相を呈しています。

攻撃側も、ターゲットを絞って、どのように情報窃取すればよいか常に最適化を試み、ときにはAIを利用して攻撃を仕掛けている模様です。

攻撃のシナリオとは?

いたちごっこを終わらせる手段として、「攻撃のシナリオ」に着目する考え方があります。

標的型攻撃は、おおまかにいえば、メールなどで内部侵入し、内部侵入後は、攻撃基盤をネットワーク内部で形成するという共通の攻撃シナリオを持ちます。

つまり、ネットワークへ侵入→遠隔操作で内部の情報収集→攻撃基盤の形成→内部での拡散という展開が共通しているのです。

攻撃シナリオが共通していることを利用して、経緯の異常性の発見から早期検知・通信の遮断による早期排除を行うことができれば、同一のシナリオである限り、最新の標的型攻撃にも対応可能になるはずです。

従来のツールのアプローチ、攻撃を「点」で把握するだけで十分か?

ところが、上述の攻撃シナリオに従来のツールで対応しようとすると、それぞれの攻撃段階で問題点に対する個別の対応しかできないため、限界があります。

検知ツールの感度が高い条件下で対応すると、セキュリティアラートの過検知で鳴りやまなくなります。検知ツールを実務上、過剰反応にならない程度にチューニングすると、アラートの抑止の危険も含むため、異常発生の捕捉・通信の遮断が遅れ、適時適打の対応が難しくなります。このどちらかになりがちなのが現実でしょう。

しかし、課題の本質は検知ツールのチューニングにあるのではなく、今までの「点」でとらえるツールの技術的アプローチの限界にあります。ツールのありようを根本から考え直す必要があるのです。

攻撃の経緯の「見える化」とツールの自動連携で標的型攻撃に対応

従来の「点」で異常をとらえるツールの欠点を克服するのが、シナリオでサイバー攻撃に対抗するソリューションです。

攻撃シナリオを使って外敵に対抗するソリューションのポイントは2点あります。攻撃の「見える化」と、各ツールの自動連携です。これらをそろえることにより、今までの各ツールが抱えていた問題を解決することができます。

攻撃の見える化の効用

ソリューションは、「点」から一連の攻撃のシナリオそのものに対応する必要があります。そのため、異常な外部との通信を同時に見えるものにする必要があります。

「機器」、「C&Cサーバ」、「マルウェア配布サーバ」、「情報窃取サーバ」とそれぞれの監視状況を見える化し、タイムラインでも表示することにより標的型攻撃が識別できれば、速やかに対応する前提ができます。

ツールの自動連携の効用

ひとたびシナリオを把握したら、速やかにデバイスをネットワークから遮断することが最も効果的です。

どのデバイスにリスクがあるのか、ネットワークの中で探索活動を行ってデバイスの特定を行う間に脅威は拡散してしまいます。この点、ツールが自動で連携できれば、時間のロスを避けて脅威の拡散をストップすることが可能です。

デバイスの監視と外敵・異常な通信の検知・異常な通信の遮断をすべて自動で連携できれば、攻撃シナリオに合わせた防御が可能になります。

「見える化」とリアルタイム自動連携を実現するソリューションとは

攻撃の経緯の「見える化」とリアルタイムの対応を同時に実現するソリューションの例が「iNetSec MP 2040 (アイネットセックエムピー)」です。各セキュリティツールの自動連携で攻撃シナリオをまるごと捉え、攻撃の経緯を「見える化」して、リアルタイムで攻撃者を通信から切り離すことが可能です。シナリオで把握するため、シナリオが共通する最新の攻撃にも対応することができます。

このようなソリューションを導入すれば、鳴りやまないアラートに振り回されずに、早期に最新の攻撃に対応することが可能になるので、各企業のセキュリティの運用が効率的なものになります。

標的型攻撃による深刻な被害発生も、もちろん抑えることができるようになるでしょう。

トータルソリューションで、攻撃も鳴りやまないセキュリティアラートもストップ

標的型攻撃からの防衛のため、セキュリティツールを使い何重にも防御の手段を重ねても、攻撃者はそれぞれの防御点に対してすり抜ける手段で日々対抗しています。一連の攻撃にトータルで対応するソリューションで標的型攻撃に備え、効率的な運用をめざしましょう。

SHARE