昨年1年間に発覚した標的型攻撃による企業・各種機関の被害件数は23件。流出情報は、公表分だけで110万件近くに及ぶ。注目したいのは、そのうち18件が外部からの指摘で初めて被害に気づいたという事実である。
　トレンドマイクロの報告によると、同社が依頼を受けて行った調査でマルウェア感染が発覚した事例の多くは、調査依頼の5カ月以上前に最初の侵入を許していたという。また、全調査事例の約1/4で標的型攻撃の痕跡が発見されている。自主的な調査依頼という点で多少割り引いて考える必要はあるが、現時点においてすでにマルウェア侵入を許しているエンドユーザー様も少なくないはずだ。
　標的型攻撃が増え続ける背後には、データを人質に身代金を得るランサムウェアの登場によって、攻撃者が金銭的利益を得やすくなったという現実がある。ランサムウェアとは、感染PCをロックしたり、ネットワーク内のファイルを暗号化し使用不能にしたうえで、元に戻すことと引き換えに身代金を求める不正ソフトの総称。企業経営者などの身代金目的の誘拐が日常化する中南米を中心に、被害額が年間十数億ドルに及ぶ一大産業に成長しているという。
　標的型攻撃対策として、ぜひ提案したいのが多重防御という考え方だ。セキュリティ対策としてエンドポイントへのアンチウイルス導入が広く普及しているが、それだけでは標的型攻撃を防ぐことは難しい。アンチウイルスによる防御は既に検知されたマルウェア情報に基づいて行われるが、標的型攻撃の場合、新たなマルウェアを生成したうえで攻撃を開始することが一般的だからだ。標的型攻撃は、�@事前準備、�Aメール添付ファイル等によるネットワークへの侵入、�Bさらなる内部侵入、�C重要情報の収集、�D重要情報の外部への送信というプロセスで行われることが一般的である。その対策としては、�@入口対策、�A内部対策、�B出口対策、�Cデータ保全という四つのフェーズで行うことが効果的だ。



　入口対策とは、インターネットと社内ネットワークの境界やエンドポイントにおいてメール送受信やWebアクセス通信をチェックし、ネットワーク内部を守る仕組みの総称。インターネットとの境界に設置されたファイアウォールがその名のとおり塀とするなら、入口対策は塀を守る警備員や監視カメラと考えることができる。
　入口対策においてまず注目したいのが、受信メールに添付されたファイルを仮想環境で実行し、そのふるまいを見極めることでマルウェアを検知する「サンドボックス」と呼ばれる仕組みだ。サンドボックス（Sandbox）とは、子供たちの遊び場である砂場を意味する言葉。システムから隔離された環境を用意し、そこでファイルを自由にふるまわせることからこの名が付けられたといわれる。
　サンドボックスは未知のマルウェア検知が可能だが、残念ながら万能というわけではない。分析に一定の時間が必要であり、業務に支障を生じさせないためにもファイルのコピーを分析対象にすることが一般的だからだ。つまりマルウェアを検知したときには、すでにオリジナルはエンドポイントに到達しているのだ。サンドボックスは、ネットワーク内部へのマルウェア侵入をいち早く知ることができる優れた仕組みだが、それだけでは情報を確実に守ることはできない。また、仮想環境では挙動を変えるという進化したマルウェアの登場も報告さ
れているため、内部・出口対策を合わせて行うことが大切になる。
　入口対策にはそのほかに、不正侵入検知／ 防御システム（I D S／IPS）、ゲートウェイ型アンチウイルス、Windows 10にも実装される未知のプログラムの実行制御などがある。
　エンドポイント型アンチウイルスは軽快な動作性との両立が求められるため、セキュリティ機能のみを追求するのは難しい。ゲートウェイ型であれば動作の軽快性を考慮することなく最高水準のセキュリティ機能を提供できることから、導入を進めるエンドユーザー様も少なくない。エンドポイントとゲートウェイに異なる製品を導入することで、二重チェックが可能になるというメリットも備えている。


続き、「サンドボックスとクラウドバックアップが効果的　標的型攻撃とランサムウェアの最新対策」は 本誌を御覧ください