日立ソリューションズは8月31日、企業のセキュリティ対策の現状分析や運用体制の確立において、グローバルセキュリティエキスパート(GSX)と連携し、「サイバー攻撃対策ソリューション」のコンサルテーションメニューを9月1日から強化する。これにより、企業は、専門のコンサルタントによるセキュリティレベルの現状分析や脆弱性診断に基づき、より的確な情報システムの導入に加え、標的型メール訓練をはじめとする教育やセキュリティポリシーの策定など、情報セキュリティマネジメントの運用体制を強化することで、有効な多層防御を実現する。今回の両社の連携により、企業は、より的確な情報システムの導入が可能となるとともに、標的型メール訓練やマルウェア感染調査、CSIRTの設置支援など、情報セキュリティマネジメントの運用体制を強化することで、サイバー攻撃に対する有効な多層防御を実現する。また、両社は今回のコンサルテーション強化だけでなく、システム構築や運用支援についても、企業のセキュリティ強化をサポートするために協力していく。
2015年08月31日ファイアアイはこのほど、米国セキュリティ侵害の実例から見る最新のサイバー攻撃の現状と効果的なインシデント対応に関する記者説明会を行った。○中国が支援するサイバー攻撃者がアメリカのヘルスケア企業から個人情報窃取ファイア・アイは、新たなセキュリティサービス「FireEye as a Service」を発表した。高度なサイバー攻撃の検知と、セキュリティ侵害が起きた際の迅速な対応を支援するもので、国内のパートナー企業を介して提供する。このサービス提供にあたって、ファイア・アイのコンサルティング事業部であるMandiant(マンディアント:ファイア・アイが買収)のバイスプレジデント、チャールズ・カーマカル氏が、「世界のセキュリティ脅威状況」というレクチャーを行った。カーマカル氏は脅威の一例として、中国政府が支援するサイバー攻撃をとりあげた。中国政府の支援を受けた攻撃者の目的は、主に4つあると言う。知的財産の窃取:技術開発のコストをかけずに、特許情報や技術、設計図などを入手することが目的内部情報の入手:貿易交渉、合併・買収などに関する内部情報入手が目的アメリカの重要なインフラに対しての攻撃:ガスのパイプラインなど。インフラ破壊ではなく、情報を収集している状態政治的理由:民主化運動の妨害・情報入手などこのうち内部情報の入手では、中国の攻撃グループがアメリカのヘルスケア企業から大量の個人情報を盗み取る事件が起きている。狙われたのは、アメリカの病院や医療保険事業者で、米病院ネットワーク経営大手のコミュニティー・ヘルス・システムズ(Community Health Systems・CHS)や、医療保険大手のAnthemやCareFirstも含まれている。攻撃者は被害企業のVPNとバックドアを使って、被害企業のネットワークに継続的にアクセスしていた。データを盗みとられた形跡があるシステムは、マルウェアに感染せずに盗みとられており、ネットワークに深く継続的に侵入していることが伺える。カーマカル氏によれば「被害企業の多くは、Mandiantが侵害を知らせるまで、何ヶ月にもわたり侵害の事実を知らなかった」とのことだ。○POSマルウェアでの大手小売企業侵害に見る高度な攻撃ライフサイクル次にカーマカル氏は、大手小売企業に対するセキュリティ侵害の例をとりあげた。2013年から問題になっているPOSマルウェアの被害では、小売企業の取引先がセキュリティ侵害を受けて乗っ取られたことが起点だ。乗っ取った取引先を経由して、大手小売企業のCitrixサーバーにアクセス。システムに侵入し、本来は隔離されているシステムにアクセスできる権限を取得している。これによって攻撃者は、ドメインコントローラとWindowsドメインに対する特別なアクセス権を取得し、マルウェアに感染させた。その結果、POS端末8000台のメモリからクレジットカード情報を盗み取ったほか、保存されていた暗号化ファイルを入手している。数千万件のクレジットカード情報が闇市場で売買されるなど、大きな被害を出した。この例でわかるのは、企業が利用している正規のルートが、攻撃に利用されているということだ。たとえば、企業が利用する正規のVPNやCitrixを使ってアクセスし、2要素認証であっても突破する。またベンダー各社から盗み出した正規のデジタル証明書を、攻撃に使う不正なソフトウェアで使っている。また正規のウェブサイトを乗っ取ることで、標的の企業ユーザーがアクセスしたときのみマルウェア感染させる水飲み場攻撃を行っている。正規のウェブサイト改ざんについては、7月末に大きな問題となったFlashの脆弱性をついた攻撃についても取り上げた。国内の2組織のウェブサイトが改ざんされ、Flash Playerの脆弱性(CVE-2015-5122)を突いて、閲覧者にマルウェアを感染させるものだ。カーマカル氏は「これらの改ざんにより、日本の2つのハイテク企業もセキュリティ侵害を受けており、合わせて4つの日本の組織が被害を受けている」と分析した。○専門家の常時監視とインシデント対応による「FireEye as a Service」このような高度なセキュリティ侵害では、企業は被害に気付かないままでいることが多いという。ファイア・アイのシニアディレクター、ワイアス・イサ氏によると「標的型攻撃に対応した組織を調べたところ、攻撃者は平均205日も内部に潜伏していた」とのこと。イサ氏によれば「標的型攻撃の犯人は、多くが国家の支援を受けたプロフェッショナル。攻撃の段階別に分業制を採用し、資金も豊富で高度な戦術を利用している。また長期的に潜入することを狙っており、撃退してもまた戻ってくるなど執拗な攻撃を行う」としている。そこでファイア・アイでは、個別の企業に合わせたセキュリティ監視サービスとして「FireEye as a Service」を発表した。従来のセキュリティ対策に加えて、インシデント対応、復旧、攻撃者のプロファイリングなどを行うものだ。具体的には、ファイア・アイの脅威専門解析チームが24時間体制でネットワークとエンドポイントを監視し、セキュリティ侵害の兆候を見つけ出す。もし侵害の痕跡がみつかった場合は、詳細な解析を行い、具体的な対策を提示するという。これは、ホストの隔離、解析、回復などのインシデント対応を行うものだ。単なるセキュリティ監視だけでなく、緊急対応までを密着して行ってくれるサービスと言えるだろう。これにより攻撃の検知・インシデント対応にかかる時間を大幅に削減でき、従来のアプローチと比較して10分の1の時間で、検知・防御・解析・解決ができるサービスだとしている。この「FireEye as a Service」は、国内の協業パートナーから提供される。伊藤忠テクノソリューションズ、インターネットイニシアティブ、NTTコミュニケーションズ、ソフトバンク・テクノロジー、日立製作所、マクニカネットワークス、ラックなどから「FireEye as a Service」をベースにしたサービスが提供される見込みだ。価格や提供方法は追って発表されるが、2015年以内に提供される見込みとなっている。
2015年08月01日四国銀行は24日、昨今脅威となっているサイバー攻撃に対するセキュリティ対策を重要な課題ととらえており、これらの脅威に対応するチームを行内に設置して、監視活動や社内教育などの活動を通じて対策を強化する取組みを開始したと発表した。○セキュリティ対策の概要実施日:7月13日(月)から活動内容:CSIRT(Computer Security Incident Response Teamの略、シーサート。サイバーセキュリティ事案に特化した対応部門)といわれる対応チームを行内(システム部)に設置して、サイバーセキュリティに関する各種活動を開始した。また、金融機関間でこれらに関する情報を共有する民間組織「一般社団法人金融ISAC(Information Sharing and Analysis Centerの略、アイザック。サイバー攻撃対策の関連情報を共有する民間組織)」に加入して、最新情報の収集および脅威への機動的な対処を図る態勢を整備した主な活動内容(1)監視活動、情報収集、脆弱性診断及び対応、各種教育・訓練、共同演習等の活動を通じてサイバーセキュリティ対応スキルの向上を図る(2)地域の顧客や各種関連団体などと連携した講演会や勉強会などを通じて、これらの脅威に対応していくことも視野に入れていく予定
2015年07月28日サイバーエージェントの連結子会社でインターネットマーケティング事業を展開するサイバー・バズは7月23日、Instagram上での企業・商品・サービスに関する情報をリアルタイムに収集・分析するInstagram専門分析サービス「InstAnalyzer」を提供開始したと発表した。同サービスは、Instagram専門分析技術を提供するnotariと共同で企画・開発したもので、Instagramにおけるフォロワー数・投稿数・いいね!数・エンゲージメント率のリアルタイムでの推移計測、ハッシュタグ分析などのアカウント分析や、市場動向を調査することができる。利用料金は月額30万円(税別)。ひとつのアカウントで、何名でも、複数ブランドでも利用可能となっている。
2015年07月23日カスペルスキーは7月7日、小規模企業が重大なサイバー脅威から資産を守る方法を同社のブログ「Kaspersky Daily」で解説した。ブログによると、多くの小規模企業はセキュリティコストを抑える傾向にあるため、セキュリティ上の不備が多いと指摘している。同社の調査では、サイバー攻撃のうち最大31%が従業員数250名未満の企業を標的とすることがわかっている。サイバー攻撃を受けるのは大企業ばかりではなく、小規模企業もしっかりとした対策が必要になっている。一般的な対策としてはセキュリティ製品を使う、保護が必要な重要データを把握するなどある。さらに、同社は小規模企業に実践してほしい対策を3つ紹介している。1つ目は、経営者は、サイバー攻撃、マルウェア、フィッシング、悪意あるサイトなどについての知識を得て、具体的なセキュリティ対策を学習することだという。サイバー犯罪者が攻撃するとき、最初から重要データが保管される端末ではなく、従業員が日常的に使っている端末を狙うケースが多い。攻撃者は、罠を張り巡らせて社員が誤ってマルウェアを端末内にインストールするように誘導させる。罠に引っかかった端末があれば、それを起点として同じネットワーク内のさまざまな端末を次々と攻撃する。経営者は、自社の企業を守る立場であるため、同時にサイバー攻撃への具体的な対策を講じる立場でもある。セキュリティ対策への費用を捻出したり、従業員へのトレーニングを行う必要がある。2つ目は、強力なパスワードやパスワードマネージャーを使用すること。今でも「123456」や「password」をパスワードにするケースが多い。そういった解読されやすい脆弱なパスワードが使われていることを同社は「犯罪者の思うツボ」とし危惧している。パスワードの安全性を上げるには、パスワードの文字列を複雑にするしかない。数字や英字だけの覚えやすいパスワードを作るのではなく、記号と数字、辞書に載っていない単語を含ませるなどしてパスワード作りをする必要があるとしている。最後は、重要度の高いデータを一番安全な方法で保存すること。これまでの傾向から、サイバー犯罪者は大規模・小規模の企業問わず、興味のあるデータがあれば攻撃を仕掛けてくる。サイバー犯罪者が興味の持ちそう情報には、しっかりとした保護対策をしておく。重要なデータは、ネットワークに繋がっていないストレージに保存し、自社のインフラ全体は小規模企業向けのセキュリティ製品で保護するようにと呼び掛けている。
2015年07月08日カスペルスキーが調査したサイバー犯罪集団「Carbanak(カーバナック)」は、10億ドル(約1200億円)を銀行から盗みとったと推測されている。その手口は、システム管理者のデスクトップをビデオで記録・監視することだった。調査にあたったカスペルスキーのセキュリティリサーチャー、セルゲイ・ゴロバーノフ氏に話を聞いた。○100以上の金融機関から10億ドル窃取「Carbanak(カーバナック)」の謎2013年から2年に渡り、サイバー犯罪集団「カーバナック(Carbanak)」は、世界100以上の銀行・電子決済システムなどの金融機関を攻撃した。被害額はなんと10億ドル(約1200億円)にも及ぶ。日本では被害がなかったために話題にならなかったが、銀行へのサイバー攻撃では史上最高だと見られている。一連の攻撃グループをカスペルスキーでは「カーバナック(Carbanak)」と呼んでいる。カーバナックの調査を行ったカスペルスキーのセキュリティリサーチャーセルゲイ・ゴロバーノフ氏に話を聞いた。――10億ドルというのは想像がつかない被害額ですねゴロバーノフ氏「カーバナックの一連の攻撃は、APT攻撃(標的型攻撃)として高度で強力なものだ。彼らの目的は情報収集やソースコードの窃取などではなく、金銭そのもの。私が知るかぎりで、10億ドルの被害は史上最大の『サイバー銀行強盗』だと言える。1つの銀行で、1000万ドル(12億円)もの被害が出た例もあった」――どうやってそんな高額な現金を引き出せたのですか?ゴロバーノフ氏「私は世界各国の15~20の金融機関でカーバナックの調査を行ったが、恐るべきことにあらゆるシステムが被害にあっていた。銀行のトランザクションに使われているオラクルデータベースの制御が乗っ取られた例や、国際送金で使われるSWIFT(スウィフト:国際銀行間通信協会)のトランザクション、顧客のオンラインバンキングやATMにまで犯人がアクセスできた例もあった」――そこまで多種多彩な銀行内のシステムを乗っ取れるものですか?ゴロバーノフ氏「私も不思議に思った。色々なシステム、異なる言語のシステムが乗っ取られている。こんな多くのシステムと言語をあやつるのは、どんな天才なのか? と。しかし実際は単純だった。彼らは『ビデオ撮影』をしていたのだ」○デスクトップを1秒ごとにキャプチャ――ビデオ撮影? カメラをつけていたということですか?ゴロバーノフ氏「そうではない。捜査によってC&Cサーバー(指令サーバー)を押収できたが、ここに銀行内のシステム管理者のデスクトップを記録したビデオを発見した。犯人グループは、システム管理者のPCデスクトップ画面を、キャプチャ(スクリーンカム)してビデオにしていたのだ」――ビデオということはファイルが大きくなって露見しそうですがゴロバーノフ氏「カーバナックが使っていたスクリーンカムはとても巧妙なものだ。システム管理者の端末に侵入し、デスクトップキャプチャを行う。0.5秒ごとにデスクトップのキャプチャ画像を取り込み、解像度を落とし、グレースケール化して1秒ごとにC&Cサーバーに送っていた。ファイルが小さくなるため、システム管理者が気づきにくい」――具体的にはどのように動作するのですか?ゴロバーノフ氏「たとえばシステム管理者が朝出勤して、システムにログインする。その画面の様子は、犯人がリアルタイムで監視している。ログインパスワードはなにか、ATMをどうやって制御するか、オンラインバンキングの決済システムをどう操作するかまで、すべてが筒抜けだ。デスクトップキャプチャと同時に、キーボードロギング(キーボード入力監視ソフト)も行うので、入力データ・操作コマンド・パスワードがわかる。多種多彩なシステム・言語が被害にあった理由がこれでわかった。デスクトップキャプチャによって、銀行のシステムの動かし方をガイドする『チュートリアルビデオ』のようなものが完成する。これなら、どんなシステム・言語でも外から操ることができるというわけだ」――かなり高度なマルウェアですねゴロバーノフ氏「カーバナックが独自に開発したビデオプレーヤーがあるようだ。選択したアプリケーションを画面キャプチャし左側に表示。右側に盗みとったキー入力が表示される。RDP(リモートデスクトップ)の高度なバージョンと考えていい。このようなデスクトップキャプチャによる犯罪は、今まであまり聞いたことがない」○気付かれないようにシステム管理者を監視――システム管理者のパソコンがやられているのですが、なぜ気づかなかったのでしょうか?「監視しているシステム管理者を、カーバナックがさらに監視しているからだ。デスクトップキャプチャによって、カーバナックはリアルタイムにシステム管理者を見ている。たとえばシステム管理者が『なんか変だ。ログを見よう』と行動したとする。それすらもカーバナックには見えているので、作業をやめるか逃げる」――禁止されているはずのマルウェアを実行できてしまうのはなぜですか?ゴロバーノフ氏「銀行内では承認されていないアプリケーションは実行できないようになっているが、それもシステム管理者に見えないように操作し、マルウェアの実行を有効にしてしまう。また本人確認用のUSBメモリーが刺さっている場合のみシステムを動かせる制限があるなら、それを検知した時のみ攻撃する。システム管理者の操作がすべて筒抜けになっているので、USBメモリーが刺された時のみ攻撃するといったことが可能だ」――決済のシステムを乗っ取って、現金はどうやって送金していたのでしょうか?ゴロバーノフ氏「マネーミュール、つまり不正送金の中継を行う運び屋を使っていた。スパムメールなどで募集した第三者のマネーミュールの口座に送金し、そこから別の口座へ送金。最後は出し子が現金を引き出すパターンだ」――一連のマルウェアの入口となった感染源は?ゴロバーノフ氏「大きく分けて3つある。1つは標的型メールで、顧客から従業員のメール、企業向けセミナーの案内などを装って、添付ファイルを実行させるものだ。2つ目はWebサイトの改ざんによるドライブ・バイ・ダウンロード(表示するだけでマルウェアに感染させる手口)だ。ある大学のサイトで、株価分析の数式を公開していたページが改ざんされていた。金融機関のアナリストがよく見るサイトを狙っていた(いわゆる「水飲み場攻撃」)。複数のエクスプロイトキットが、脆弱性を攻撃して閲覧者にマルウェアを感染させる。ゼロデイではなかったが、最新の脆弱性を突くものだった。3つ目は既存のボットネット感染者をたどって、金融機関の関係者を探す方法だ。ランダムに感染させたマルウェアのボットネットをたどり、金融機関につながる関係者のボットをカーバナックが買い取る形だったようだ」○日本での被害はないが、同様の攻撃はありうるかもしれない――日本の金融機関は被害にあっていませんか?ゴロバーノフ氏「押収したC&Cサーバーを見た限りでは、日本のものはなかった。日本の金融機関への攻撃を試みた形跡はあったが、被害は確認できていない」――今後、日本の金融機関が攻撃される可能性はあるでしょうか?ゴロバーノフ氏「世界中の金融機関で、どんなシステムであっても、APTで攻撃によって侵入される可能性がある。極端な例では、ペネトレーションテスト(侵入試験)の担当者をカーバナックが雇い、侵入の手引をしたという事例もあった。日本が標的になりにくいとしたら言語だけの問題だろう。デスクトップキャプチャができてしまうので、日本語さえわかれば決済システムが乗っ取られる可能性がある」このようにカーバナックは、「デスクトップキャプチャ」という単純な手口を使いながらも、システム管理者をリアルタイムで監視することで、数ヶ月にわたって侵入を続けていた。カスペルスキーでは、カーバナック感染の例として、感染ファイルの例を上げている。金融機関のシステム管理者は、このファイルがPCに存在していないかチェックする必要がある。
2015年07月02日Palo Alto Networksは6月16日、東南アジア各国の政府や軍事機関を標的としたとみられる一連の国家的サイバー攻撃に関する調査結果を公開した。同社の脅威インテリジェンス調査チーム「Unit 42」によって発見された「オペレーション・ロータス・ブロッサム(Operation Lotus Blossom)」と呼ばれるこの攻撃は、3年前にまで遡り、国家的なオペレーションに関する内部情報の取得を試みていると想定され、香港、台湾、ベトナム、フィリピン、インドネシアが標的とされている。この攻撃には、50回以上の個別攻撃が確認されており、すべて「エリーゼ(Elise)」と呼ばれるカスタマイズされたトロイの木馬を使用している。このマルウェアは標的を絞ったスピアフィッシングメールを配信して、標的システム上で最初の足場を生成するが、Unit 42は、攻撃と無関係なところでも使われていると考えている。Unit 42は、同攻撃に、特注ツールの使用、豊富なリソース、複数年にわたる継続性が確認されていることから、背後に潤沢な資金を持つ組織的な団体が存在すると考え、これらの要素と標的の性質を考慮し、サイバースパイ行為が攻撃の動機であり、背後には東南アジアの地域情勢に強い関心を持つ国家の関与、あるいは資金提供があると推測している。Unit 42チームは、最近発表された同社のサイバー脅威インテリジェンスサービス「AutoFocus」を使用してこの一連の攻撃を発見。AutoFocusにより組織のセキュリティ担当者は、6,000以上の脅威インテリジェンスクラウドWildFire加入者やその他の情報源経由でセキュリティ脅威を相関して検索できるという。Palo Alto Netoworksは、同社の脅威防御およびWildFireのサブスクリプションを持つすべての顧客は、これらの攻撃から自動的に防御されるとしている。サブスクリプションサービスに加入していない場合は、自社ネットワークで侵入の兆候を確認し、関連する指標を自社のセキュリティ制御へ追加することを勧めている。
2015年06月18日ラックは16日、同社「サイバー救急センター」にて対応した標的型サイバー攻撃の調査結果から、日本国内において多数の組織が同様のサイバー攻撃による被害を受けていると判断し、注意喚起を行った。調査で浮上した攻撃マルウェアEmdiviの詳細に関しては、マクニカネットワークスが説明を行った。○日本の組織を幅広く狙うマルウェア「Emdivi」確認された標的型攻撃は、シマンテックが2014年11月に同社ブログで公表したものや、今月6日にカスペルスキーが公開と同じものと言われている。特徴は、日本の組織を幅広く狙っていることと、攻撃指令を出すC&Cサーバーが日本に存在していることで、後者は既に攻撃され支配下にあると推測されている。説明会の冒頭では、ラックの内田法道氏が、企業や官公庁向けの同社緊急対応部署「サイバー救急センター」を紹介するとともに、Emdiviと呼ばれる遠隔操作マルウェアによる攻撃が再度増えつつあることを説明。今回の注意喚起の背景を解説した。○偽装アイコンによるexeファイルで攻撃Emdiviの詳細に関してはマクニカネットワークス セキュリティ研究センターの政本憲蔵センター長が解説した。今回の一連の攻撃ではドキュメントファイルにアイコンを偽装したexeファイルが使われており、このexeファイルの中には「ドロッパー」と呼ばれるマルウェア本体と、偽装のための文書が含まれている。偽装文書はおおむね日本語として意味が通るが、中国語フォントSimsunが使われており、一部の文字が日本語ではないという特徴がある。また、確保したマルウェア(65種類)のファイルの生成日時に注目して調査すると、北京時間の月曜日から金曜日までの9-17時に集中していることがわかったという。○まずは現状を確認する「身体検査」を最後にラック CTOの西本逸郎氏が登壇し、同じようなサイバー攻撃を受けた日本年金機構の個人情報流出事例は、C&Cサーバー側の調査も行われたため、日本で初めて実害が確認された事例と紹介。対策は破られるという認識とその後の対応が重要であり、感染を直前で食い止める"水際作戦"、重要データの情報を撹乱する"無力化作戦"、指令サーバへの通信を遮断する"封じ込め作戦"を一体とした対策が、企業で求められると強調した。
2015年06月16日IPA(独立行政法人情報処理推進機構)は10日、標的型サイバー攻撃の被害事案が増えていることを受け、企業・組織の経営者、システム管理者向けに、サイバー攻撃の確認やコンピュータウィルスの感染確認を促す注意喚起を行った。IPAは、サイバー攻撃の確認方法として、ファイアウォールやプロキシサーバーのログ確認を挙げている。数秒、数分間隔で外部C&Cサーバー(感染PCへ命令を送るサーバー)へ継続的に通信するなど、通常では起こりえない通信があるか確認する。合わせて、外部へ接続する際にプロキシサーバーを経由させている場合、直接外部へ接続するといった、業務上想定していない通信がないかを確認する。また、サーバーから外部へ不審な通信がないか、あれば正常な通信か確認すると同時に、想定されていないアカウント、端末やサーバー、管理者からのログインがないかチェックを行う。組織内でActive Directoryサーバーやファイルサーバーなどを利用している場合、見覚えのないタスクがタスクスケジューラーへ登録されていないか、あるいはイベントログに見覚えのないタスクが実行された形跡がないか確認する。上記のポイントを確認し、万が一不審と思われる事柄を発見した際は、被害を最小限に抑えるために、該当端末をネットワークから切り離し、端末や通信ログなどの詳細な調査を行う。加えて、不審な通信先を発見した場合は、さらなる通信を防ぐため、ファイアウォールやプロキシサーバー、Webフィルタリングシステムを用い、不審な通信先とのアクセスをブロックするといった対策が必要となる。該当端末を踏み台にして、既に他の端末へウイルス感染が広がっている可能性も考えられるため、不審な通信を発見した場合はセキュリティベンダをはじめとした専門家に相談するなど、正確な被害範囲や感染原因を把握した上で対策を進めることが重要だとしている。また、一度攻撃を受けて侵入されてしまうと、Active Directoryサーバーなどの内部サーバーの脆弱性も悪用されてしまうため、継続的な脆弱性対策として、クライアント端末だけでなく、サーバーにもソフトウェア更新プログラム(パッチ)の適用を呼びかけている。
2015年06月11日NICTは6月8日、FFRI及びディアイティの協力を得て、標的型攻撃等のサイバー攻撃に対抗するための統合分析プラットフォーム「NIRVANA改(ニルヴァーナ・カイ)」で機能追加を行ったと発表した。追加された機能は、エンドホスト(PC)の集中制御やマルウェア感染プロセスの特定が可能な「エンドホスト連携機能」、ネットワーク機器と連動して異常な通信の遮断や感染ホストの隔離が可能な「自動防御機能」。これらの機能により、ネットワーク系とエンドホスト系の2系統のセキュリティ対策が統合されるとともに、自動的な防御策の展開が可能となり、組織内における情報セキュリティインシデントの詳細な原因究明と迅速な対応の実現が期待できるという。エンドホスト連携機能は、FFRIの標的型攻撃対策ソフトウェア「FFR yarai」と連動し、組織内のエンドホスト群の各種情報を収集するとともに、マルウェアプロセスを特定し、そのプロセスの親子関係や通信履歴等をリアルタイムに導出するだけでなく、エンドホスト群のマルウェア検出感度の一斉変更などの集中制御もできるもの。また、ディアイティの協力で開発した自動防御機能は、インシデント発生時に、事前定義したアクチュエーション(動作)ルールに従って、ファイアウォールやスイッチ等のネットワーク機器を自動的に制御し、感染ホストの隔離や異常通信の遮断等が可能とするもの。エンドホスト連携機能と連動し、エンドホスト内の特定プロセスの停止等の精緻な制御もできる。さらに、「NIRVANA改」の可視化機能も強化し、ネットワーク系のドリルダウンに加え、エンドホスト内部にまでシームレスに没入できるようになり、セキュリティオペレーションがより円滑になったという。
2015年06月09日情報処理推進機構(IPA)は6月2日、複雑化したサイバー攻撃の被害を防ぐために、企業は「多層防御」を考慮したセキュリティ対策が必要であると呼びかけた。IPAは、サイバー攻撃による企業の情報漏えいや金銭窃取の被害の多くは、メールの開封(添付ファイルを開く、リンクのクリック)やウェブサイトの閲覧によるウイルス感染が主な原因であり、特定のセキュリティ対策製品を導入しただけでは防ぐことができない場合があると説明している。企業においては、個人情報や機密情報を扱う業務やその他重要な業務において、ウイルス感染予防だけでなく、感染してしまうことを想定して感染後の被害の回避や被害を低減させるために、複数の対策(多層防御)を多層で行う必要があるとのことだ。多層防御は、ウイルス感染や内部不正が発生しても、被害を回避・低減にできるシステム設計や運用ルールになっているか、ルールが徹底されているか、PDCAサイクルに沿って見直していくことが重要だという。具体的なポイントとして、「ウイルス感染リスクの低減」「重要業務を行う端末やネットワークの分離」「重要情報が保存されているサーバーでの制限」「事後対応の準備」を挙げている。ウイルス感染リスクの低減は、脆弱性を狙ってウイルス感染させる攻撃からPCやサーバを保護するために、ソフトウェアの更新による脆弱性の解消を習慣化させること。ソフトウェア更新の習慣化および徹底、セキュリティソフトウェアの導入、メールの添付ファイルのブロック、Webフィルタリング、教育や訓練を徹底する必要であるとしている。重要業務を行う端末やネットワークの分離は、万一ウイルス感染があった時に被害を緩和できるよう、端末単位やネットワークで分離すること。一般の端末と重要業務システムの分離、部署など業務単位でのネットワークの分離する方法が有効だと説明している。重要情報が保存されているサーバでの制限は、共有フォルダのアクセス権の設定重要な情報が保存されているフォルダは、その情報の機密性の格付けや閲覧範囲を決定し、その範囲の業務担当者のみが閲覧できるようにアクセス権を設定すること。共有フォルダのアクセス権の設定、データの暗号化やパスワードによる保護といった対策を求められる。事後対応の準備は、有事の際に迅速に対応できる手順書や関係省庁や調査会社などの連絡先を準備しておくことが重要だと説明している。なお、前日には日本年金機構が標的型攻撃を受け、個人情報125万件が流出している。
2015年06月03日6月20日に公開されるアニメーション映画『攻殻機動隊 新劇場版』が、6月下旬より日本サイバー犯罪対策センターとコラボレーションしたポスターを、日本全国の交通機関、公共施設、大型商業施設などで掲示する。製作サイドによれば、「情報ネットワークやサイボーグ(義体)技術の発達により人々の意思が電脳につながれた近未来を舞台に、多発する電脳犯罪を未然に察知し、それを除去するために組織された『攻殻機動隊』の活躍を描く」映画のストーリーと、「サイバー犯罪に関する情報を集約・分析し、その脅威を除去する」という日本サイバー犯罪対策センターの活動目的がリンクすることから発案。ポスターを通して、サイバー犯罪の脅威について認識してほしいというメッセージが込められているという。このタイアップポスターは、6月上旬から7月下旬に交通機関、公共施設、大型商業施設などで掲示予定。ポスターのコピーには、「サイバー犯罪を撲滅せよ。」という力強いメッセージが添えられている。映画『攻殻機動隊 新劇場版』は、総理大臣暗殺という戦後最大の事件が発生した2029年3月を舞台に、主人公・草薙素子は、バトーやトグサたち寄せ集めのメンバーとともに捜査を開始し、「洗脳・ゴーストへの侵入、・疑似記憶の形成」を一度に行う電脳ウィルス「ファイア・スターター」の存在も見え隠れする中で、自分の生い立ちにもつながる手がかりにたどり着く。暗躍する謎のサイボーグ、総理大臣暗殺の真相、"第三世界"の存在、その先に待ち構えるワナ――素子の過去と攻殻機動隊結成の物語が描かれる。(C)士郎正宗・Production I.G/講談社・「攻殻機動隊 新劇場版」製作委員会
2015年06月02日トレンドマイクロは5月18日、Web広告配信ネットワーク「MadAdsMedia」がサイバー攻撃を受けたと発表した。Webサイトを閲覧したユーザーは、Adobe Flash Playerの脆弱性を利用した被害を受けた。このサイバー攻撃により、1日あたり12500人に及ぶユーザが影響を受けている可能性が指摘されている。そのユーザーの半数以上が、日本、米国、オーストラリアの3か国で占められている。今回の攻撃では、JavaScriptライブラリのURLで異常が確認された。このURLは、本来はWebサイト上で正規の広告を表示させるために設置されたものだ。トレンドマイクロの調査で、このURLが「Nuclear Exploit Kit」があるサーバへ誘導される場合があることが確認された。JavaScriptライブラリを保存しており、同社の広告配信ネットワークに使用されているサーバーを攻撃。対象のWebサイトを閲覧したユーザーがこの「Nuclear Exploit Kit」をホストするサーバーへ誘導されており、今回は、特にアニメや漫画に関連する複数のサイトが影響を受けたとされる。また、今回の攻撃では、感染に伴う最終的な被害が「BKDR_GLUPTEBA.YVA」によりもたらされることも判明した。なお、攻撃に関する情報は、すでにトレンドマイクロが「MadAdsMedia」に報告している。攻撃はAdobe Flash Playerの脆弱性「CVE-2015-0359」を悪用しているがが、この脆弱性は2015年4月にセキュリティ更新プログラムが公開されている。そのため、更新前のAdobe Flash Playerを使用しているユーザーは、サーバー攻撃のリスクにさらされている。今回の攻撃では、「Nuclear Exploit Kit」が利用されているが、Adobe Flash Player の脆弱性をねらう脅威は常に改良されている。また、こうした脅威はファイルを暗号化して身代金を要求する「Cryptoランサムウェア」との関連も疑われている。なお、今回の攻撃の影響を受けた URL は、5月9日時点で「Nuclear Exploit Kit」に利用されることはないと確認されている。
2015年05月21日ファイア・アイは5月19日、マイクロソフトのTechNetを悪用した中国のサイバー脅威グループ「APT17」の新たな手口を公開した。2014年後半、ファイア・アイのThreat IntelligenceチームとマイクロソフトのThreat Intelligence Centerは、中国を拠点とするAPT(Advanced Persistent Threat)グループ「APT17」が、マイクロソフトの提供する技術者向けWebポータル「Microsoft TechNet」をサイバー攻撃の踏み台として活用していることを発見し、検証を開始した。APT17は、BLACKCOFFEEと呼ばれるバックドアを2013年から使用しており、米国の政府、法律事務所、IT企業など、さまざまなターゲットのネットワークに侵入している脅威グループで、Deputy Dogとしても知られている。同グループはMicrosoft TechNetフォーラムへ投稿してプロフィールページを作成することで、BLACKCOFFEEの亜種を攻撃者のC2サーバーに送りつけると思われるC2 IPアドレスをホスト。通常、他の脅威グループは、C2 IPアドレスをホストするために正規のWebサイトを使用するが、APT17は、情報セキュリティ業界で「デッド・ドロップ・リゾルバー(Dead Drop Resolver)」と呼ばれる、「エンコード済み」のC2 IPアドレスを正規のMicrosoft TechNetページに埋め込むという手法を用いている。Microsoft TechNet上でIPアドレスのエンコードを行うことで、攻撃者の真のC2サーバーの位置の特定が難しくなるのだという。こうした攻撃は、TwitterやFacebookなどのSNSをも悪用してマルウェア配信・外部通信を行っているケースも有るとしており、このトレンドは今後も続くとファイア・アイは分析している。
2015年05月20日ファイア・アイは5月13日、マイナンバー制度の運用開始に伴う企業のセキュリティリスクを鑑み、今後予想されるマイナンバーの窃取を狙った高度なサイバー攻撃に関して注意喚起を行った。これに伴い、事前に取り組むべき対策について、大企業から中堅企業までさまざまな規模の企業や組織に対して幅広く啓蒙し、求められる対策の提案を進めていく。マイナンバーに関して、ファイア・アイでは、米国ですでに行政や民間サービスに活用されている「社会保障番号(Social Security Number)」は、マイナンバー同様に個人を特定する番号だが、過去さまざまな重大な情報漏えい事件が発生している。例えば2014年には大手病院チェーン、今年に入ってからも大手医療保険会社が標的となり、社会保障番号を含む個人情報が流出したことが明らかになっているという。この二つの事案は、特定のターゲットに狙い撃ちをする、いわゆる標的型攻撃による被害事例で、標的型攻撃では、攻撃者は目的とする情報を窃取するまで時間をかけ、執拗な攻撃を繰り返す。マイナンバーの開始に伴い、こうした高度なサイバー攻撃の標的となる企業が今後ますます増加すると考えられると、ファイア・アイは予想している。早急に求められるセキュリティ対策とファイア・アイの取り組みについて、ファイア・アイのプレジデント茂木正之氏は、「取り扱いに細心の注意が求められるマイナンバーが開始されると、すべての企業は経営リスクとしてサイバー攻撃の脅威をとらえ、そのセキュリティ対策に取り組む必要があります。標的型攻撃など高度なサイバー攻撃の手口が巧妙になっている中、企業は新たな脅威に対するセキュリティ対策を根本から見直さなければならない時期にきています。ファイア・アイは「テクロノジー」、「サイバー攻撃に対する専門的知識・知見」、「脅威情報」の3本柱を軸に、標的型攻撃の検知にとどまらず、被害を未然に防ぎ、セキュリティ侵害が起こったときに迅速に対応、解析が可能な適応型防御により、お客様のマイナンバーセキュリティ対策を支援いたします」とコメントしている。
2015年05月14日ファイア・アイとPFUは5月12日、エンタープライズ向け次世代サイバー攻撃対策で協業すると発表した。FireEyeでは、入り口・出口対策ソリューションを提供しており、FireEye NXシリーズがマルウェアを検知してアラートを出す。一方で、PFUのiNetSecがそのアラートに基づいて、感染端末からの通信を遮断することで、内部ネットワークにおける感染拡大の防止を行う。PFUはかねてより社内ネットワークのセキュリティ強化ソリューションを提供。北米でもセキュリティアワードを獲得するなど、日本発の数少ないセキュリティベンダーとしても展開している。両社の協業は、日本だけでなく、北米やその他地域においても、5月末より製品の展開を行う。なお、13日から15日に東京・有明の東京ビッグサイトで行われるJapan IT Weekの情報セキュリティExpo(春)でソリューションの参考展示を行う予定。
2015年05月12日カスペルスキーは5月1日、小規模企業がサイバー攻撃を受けた2種類の事例を同社のブログ「Kaspersky Daily」に公開した。○競合企業からマルウェア攻撃を受け、瀕死の状態にとある宝石を販売する企業は、外部からセキュリティ侵害を受け、自社サイトの訪問者が次々とマルウェアに感染する事態に陥った。企業内にマルウェアを対策できるスタッフがいなかったため、外部のITスペシャリストに問題を解決してもらうように依頼した。マルウェアはWebサイトから駆除できたがすぐに復活した。犯人はサイトへのアクセス権を持っていたため、コードを消されても復活できたためだ。そのため、企業は完全復旧までに多くの時間がかかった。検索エンジンのインデックスや検索結果の表示順位を取り戻す必要があったためだ。Googleはこの企業のサイトをマルウェア感染サイトとしてブラックリストに載せ、インデックスから削除した。別の検索エンジンでも同じことが行われていた。その間、企業の業績は大きく落ち込み、感染前まで回復するまでは1年ほどかかったという。調査の結果、最初に感染したのは経営者のPCだったことがわかった。経営者が使っていたのは無料のアンチウイルスソフトで、十分に機能していなかったという。ハッカーは経営者のPCにマルウェアを埋め込み、会社のサイトのアクセス情報を盗み出した。経営者は、競合からの標的型攻撃だと確信していた。経営者はこの経験を通じ、企業データのセキュリティに直接関係すること(パスワードの安全な管理、トラッキングやキー入力監視を行うマルウェアの存在)を数多く学ばならけばならなかった。○暗号化マルウェアに攻撃され、すべてのデータを失うとある会計事務所がランサムウェア「CryptoLocker」の攻撃を受け、すべてのデータに強力な暗号がかけられた。これによりデータにアクセスできなくなり、事業が継続が困難になった。CryptoLockerは、侵入したPCのデータを手当たり次第に暗号化し、暗号解除と引き換えに巨額の身代金を要求してくる。非常に強力な暗号化技術が使われているため、身代金を支払うか、それがダメなら暗号化前のデータをバックアップから復元するしかない。事務所のIT管理者は、ランサムウェアが見つかった途端に社内サーバーのデータをすべて削除した。これにより、ランサムウェアウェアを消去できたものの、重要なデータも一緒に削除されてしまった。結果的に重大なミスをした管理者はクビになってしまった。その後、データ復旧を試みたがすべて失敗に終わり、最終的には事務所は倒産したという。これらのケースはいずれも欧米諸国だが、日本でも中小企業を狙ったサイバー攻撃は増加している。対岸の火事と思わず、対策を講じることが最善の方法だろう。
2015年05月05日サイバー犯罪者は次に何を狙っているのか? 「ギャング達はこれまで以上にターゲットを広げて攻撃する方法を編み出している」とSophosのセキュリティリサーチ担当グローバルトップのJames Lyneは警告する。古い手法を改善することでさらなる収益をあげることを狙っているという。Wall Street Journalの動画に登場したLyneは、サイバー犯罪分野でこのところ見られる新しいトレンドを強調した。また、モノのインターネット(IoT)分野でのセキュリティが今後重要になるとも語った。動画でLyneが話したポイントは次の通りだ。ランサムウェアを利用するギャングは、ファイル暗号化マルウェアでファイルとネットワークを人質にすることでBitcoinで大きな収益を上げている。一般ユーザー、企業、政府や公共機関が罠にかけられている。・攻撃集団Lizard Squadは、ユーザーのホームルーターから武器を作るという新しい手法でMicrosoftやソニーなど大企業に対する攻撃を行った。これがネットワーク障害を引き起こし、多数のユーザーが影響を受けた。・モノのインターネット(IoT)分野が急速に進展している。IoTでは防犯カメラ、産業システム、スマートホーム、コネクテッドカー、それに「Apple Watch」のような新しい/既存のウェアラブル製品・・・と、数百万台もの端末がインターネットに接続されることになる。サイバー犯罪者たちはIoTデバイスをどのように悪用するのかを考える必要がある、とLyneは警笛を鳴らした。
2015年04月17日Kasperskyは4月15日、サイバー犯罪者同士が対立し、互いの組織を攻撃し合うケースを確認したと発表した。対立しているのは「Hellsing」と「Naikon」という二つのサイバー犯罪グループ。Hellesingは主にアジアの政府組織や外交機関を攻撃対象とし、一方のNaikonは主にアジア太平洋地域の組織のスパイ活動を行っている。サイバー犯罪者が標的とするのは通常、大企業や金融機関、政府などの巨大な組織。サイバー犯罪者同士が憎み合い、互いに攻撃を繰り返すケースは例がないという。前代未聞のこの珍事、Kasperskyのセキュリティ研究を進める「Kaspersky Lab」がNaikonを調査する上で偶然見つけた。Hellsingが2014年に、とあるサイバー犯罪グループからサイバー攻撃を受けたことがすべての始まりだった。突然の攻撃に対しHellsingは応戦の構え。とはいえ、自分たちを攻撃した相手を正確に掴めなかったため、スピア型フィッシングメールで20の組織に攻撃した。具体的な攻撃は、マルウェアを添付したメールを各組織に送り、組織がそのメールを開封するとマルウェアがPCに侵入し、バックドアに感染させるというもの。感染したPCの制御権を奪い、外部からのリモート操作でファイルのダウンロード/アップロード、マルウェアの更新などを行ったという。Hellsingから不審なメールが届いたと判断したNaikonは、メールの意図を確認する返信を行ったが、納得のいく回答が得られなかっため、添付ファイルを開くことはなかった。その後、Naikonは独自のマルウェアをメールに添付しHellsingに送信した。Kaspersky Labのディレクターであるコスティン・ライウ氏は、HellsingによるNaikonへの攻撃に対して「ある意味で復讐心を持った『帝国の逆襲』スタイル」だとコメントし興味を示した。続けて「これまでもAPT(標的型攻撃)グループ同士が誤って互いを攻撃したことはあった。今回は攻撃対象の選択や発生源を考えると、故意の攻撃であるという可能性が高い」と述べた。Kaspersky Labでは、これがサイバー犯罪活動における新たなトレンド「標的型攻撃戦争」の兆しだとも分析している。
2015年04月16日トレンドマイクロは4月13日、フランスで4月8日(現地時間)に起きたテレビ放送局「TV5Monde」を狙った大規模なサイバー攻撃の実態を同社セキュリティブログで解説した。攻撃に利用された不正プログラムは「Remote Access Tool(RAT)」の一種である「Kjw0rm」の亜種で、「Sec-wOrm 1.2 Fixed vBS Controller」と呼ばれるハッキングツールで作成されている。PCに入り込んだ「Kjw0rm」はバックドアとなり、外部のコマンド&コントロール(C&C)サーバーからの指令でPCを遠隔操作できるようになる。トレンドマイクロでは、「Kjw0rm」を2015年1月に「Njw0rm」のソースコードの流出により初めて確認した。確認できたのは、さまざまな不正プログラムを提供する「dev-point.com」のアラビア語ページだったという。その後、南アフリカやインドなど少なくとも12カ国で次々と確認したという。バックドア経由で指令を送るコマンド&コントロール(C&C)サーバーは、別のバックドア型の不正プログラム「BKDR_BLADABINDI.C」との関連性が指摘されており、両者が同一のグループによって作成されたと推測されている。また、他のVBScript系不正プログラムも活動中であることも示唆しており、「Njw0rm」が利用するものとは異なる4つのC&Cサーバーが確認されており、「JENXCUS」を利用した過去の攻撃と関連している。「JENXCUS」は、中南米地域で確認された「DUNIHI」を利用した攻撃と関連するVBScript系不正プログラム。○放送中止に追い込んだサイバー攻撃の影響力サイバー攻撃の被害の実態を見ていこう。サイバー攻撃は、2015年4月8日午後10時頃(現地時間)に始まり、同ネットワークにおける11の関連各局が放送を中止せざる負えない状況に追い込まれた。また、TV5Mondeのソーシャルメディアアカウントにも被害が及んだ。Facebookのアカウントが乗っ取られ、公式のFacebookページには、攻撃者によって「イラク・レバントのイスラム国」からとされる宣伝活動のメッセージが投稿された。さらに、Twitterのアカウントのうちの1つが乗っ取られ、攻撃者から米国やフランスに向けたメッセージ、フランス兵の家族に対する脅迫文が投稿された。さらに、フランス兵の身分証明書やパスポートなども公開された。なお、今回の事件における不正プログラムの侵入経路などはまだ明らかになっていないという。トレンドマイクロは、「RAT作成ツールは複数のフォーラムから入手可能で、どのような攻撃者でも利用することができる。また、このツールを利用するのに、技術的な知識はほとんど必要ない」とコメントしている。
2015年04月15日米PaloAlto Networksは3月31日(現地時間)、顧客がサイバー脅威との闘いに明確な優位性を持てるよう、優先度付きの実用性の高いサイバー脅威情報を提供する、サイバー脅威インテリジェンスサービス「Palo Alto Networks AutoFocus」を発表した。サービスによりセキュリティ担当者は、日常的に高度な標的型攻撃の標的となる5000以上のグローバル企業、サービスプロバイダ、政府機関から収集された何十億ものファイル分析結果から得られた実用的な詳細情報へ即座にアクセスできるようになる。また、個々の脅威の発生源や独自性、同業種での関連性といったコンテキストを提供することにより、「攻撃者によって使用される最新の脅威戦術、技法、手順の公開」「攻撃者と具体的な敵対者との関連づけ」「個々の攻撃が大規模な組織的攻撃にどのように組み込まれているかを特定」「一般的なマルウェアと、高度にカスタマイズされた標的型マルウェアとを区別」といった情報提供を実現する。提供時期は、コミュニティ・アクセスプログラムを通じ、2015年4月よりPalo Alto Networksの一部の既存の顧客が利用できるようになる。サービスにご興味がある場合には、プログラム(英語)に登録する必要がある。また、価格および一般提供開始時期は2015年後半を予定している。なお、4月9日に米Paloalto NetworksのCMO レネー・ボンバニー氏が来日し、最新セキュリティプラットフォーム戦略について解説するセミナーが行われる。
2015年04月02日パロアルトネットワークスとNECは3月30日、不正端末の通信を自動で検知し、サイバー攻撃を抑止する「サイバー攻撃自動防御ソリューション(次世代ファイアウォール連携)」をNECが販売すると発表した。新ソリューションは、NECのSDN対応製品「UNIVERGE PFシリーズ」のネットワーク制御機能と、エンタープライズセキュリティプラットフォームの一部であるパロアルトネットワークスの次世代ファイアウォール製品による未知・既知の脅威抑止機能を連携。サイバー攻撃の検出精度の向上に加え、自動で攻撃を検知し防御する。パロアルトネットワークスのエンタープライズセキュリティプラットフォームの検知機能により、サイバー攻撃を受け不正通信を行う端末に加え、不正通信を疑われる端末を検出し、動作を抑止する。これにより、未知のウイルス感染の場合でも外部との疑わしい通信や挙動を検知できる。さらに、疑わしい通信に対して、SDNコントローラからネットワーク全体を制御することで、精度の高い検知ネットワークへの切り替えやネットワーク上での隔離を実現し、被害拡大を防止する。また、検知した不正通信端末や、不正通信が疑われる端末に対し、SDNコントローラが端末情報をもとにネットワーク制御を行い、通信経路の遮断や隔離を自動化できる。これまでのセキュリティ対策では問題が発生した際の対応には最低でも数分、長い場合は数日かかっていたが、新ソリューションは、検知からの初動対応を数秒に短縮することが可能で、2次感染等の被害拡大リスクを低減する。さらに、ユーザのポリシーに従い、特定のIPアドレス(スパイウェアサイト)へ頻繁にアクセスしていたり、実行ファイルを頻繁にダウンロードしていたりする疑わしい端末の通信を遮断できるほか、経路変更により自動で精度の高い検疫ネットワークを通せる。価格は1100万円からで、最小構成は、SDNコントローラ×1台/SDNスイッチ×2台/次世代ファイアウォール×1台/SDN連携アダプタ×1。なお、4月9日に米Paloalto NetworksのCMO レネー・ボンバニー氏が来日し、最新セキュリティプラットフォーム戦略について解説するセミナーが行われる。
2015年03月31日カスペルスキーは3月17日、ボードゲーム形式でサイバー攻撃を体験・学習できる対サイバー攻撃演習サービス「Kaspersky Industrial Protection Simulation(KIPS、キップス)」の国内提供を3月20日より開始すると発表した。製造業や重要インフラ事業者などを対象に販売する。所要時間は約2時間で、最小催行人数10名、価格は30万円(税別)~。KIPSは、サイバー攻撃による重要インフラへの影響をボードゲーム形式で体験しながら、システムの運用上のリスクや投資に見合った有効な対策を学習できるサービス。これまでに米国、ロシア、マレーシア、英国など10カ国以上で提供しており、2015年2月には欧州原子核研究機構(CERN)で利用された。参加者は数名ずつのグループに分かれ、条件や指示が書かれた30枚のカードと決められた予算、作業時間を有効に使いながら、サイバー攻撃を受けている水処理施設を守るための効果的な対抗策を実施する。5週間の仮想期間内で最も高い生産高を維持したチームが勝ちとなる。ゲーム終了後には、どのような対応が適切だったのか、攻撃者のシナリオと各チームの打ち手を比べながら、参加者全員がゲーム上で発生した事象に対する考察と理解を深められる。試験提供での利用者からは「ゲーム形式で楽しく学ぶことができた」などのフィードバックがあったという。今後、発電施設などへのサイバー攻撃のシナリオを用意し、より専門性の高い重要インフラ事業者に演習の提供を拡大する予定だ。
2015年03月18日NECと同社の子会社であるインフォセックは3月16日、サイバー攻撃情報サービス会社の米Norse Corporation(以下、Norse)と提携し、サイバー・セキュリティ事業における重要な情報(サイバー・インテリジェンス)を強化すると発表した。NECは、情報とスピードを重視し先読みして対策を打つ「プロアクティブサイバーセキュリティ」の実現に向けて、攻撃者からの攻撃を先読みするサイバー・インテリジェンスの強化を進めているという。今回、Norseが独自に世界中に配置した数百万のセンサーからの情報を分析しリアルタイムに提供されるサイバー攻撃情報を、NECの収集情報に組み入れる。これにより、世界の幅広い攻撃者の行動パターンを分析し攻撃プロセスなどをいち早く検知する情報を提供する。インフォセックはNorseと全世界対象の1次代理店契約を締結し、まず、国内及びASEAN各国にNorseのサービスを3月16日から販売する。
2015年03月17日サイバー攻撃は近年ますます巧妙になってきており、攻撃者は対策の隙を突き、ユーザーのシステムや端末に悪質なプログラムを潜ませるようになっている。攻撃側の地政学的な動機に加えて、データ主権やデータローカライゼーション、暗号化に関して各国の法規制が課す要件の食い違いが絡むことで、昨今のセキュリティ対策は国を越えてさらに複雑な様相を呈している。シスコシステムズは3月10日、こうした現状を踏まえ、高度化するサイバー攻撃から組織や企業を守るサイバーセキュリティ対策の現状と、最新のセキュリティソリューションについて、報道関係者に向けた説明会を開催した。○ますます高度化するIoT時代のサイバー攻撃とその対策企業は近年、セキュリティ対策への投資を強化しており、自社の策定したセキュリティ・ポリシーに多くの企業が自信を持っているという。一方で、実際にセキュリティ・ポリシーを運用していくうえではさまざまな困難があり、54%の企業が自社のシステムに公開されている脆弱性を引き続き抱えているという現実がある。さらに端末に関して言えば、Internet of Things(IoT:モノのインターネット)が進化を続けており、「つながっている」ことが当たり前の環境になってきている。デジタルインフラの成長はさらに加速し、2015年で約250億、2020年には約500億のスマートオブジェクトがネットワークにつながった状態になると予想されている。さまざまなサービスや機能が提供され利便性が増す一方で、これらのすべてが攻撃の対象となってくるため、時代に沿ったセキュリティ対策を講じていくことが急務である。こうした状況を踏まえて、シスコシステムズのセキュリティ事業部長 桜田仁隆氏は、今日のセキュリティ課題として、「急速に変革していくビジネスモデルへの追随」「新たな脅威への継続的な対応」「多様化する攻撃に対するさまざまな環境への適応」の3つを挙げた。また、「問題の本質を把握すること」「組織としてリスクを理解すること」「守るべき対象を明確にすること」「準拠すべき法令を理解していくこと」「どこに投資するべきか理解すること」といったサイバーセキュリティに関して重要となる5つの項目を挙げ、組織を上げてセキュリティ問題を解決していくことの必要性を説明した。○シスコが提言する新しいセキュリティモデルとその実現そうしたなか、シスコシステムズは、セキュリティの整備・堅牢化から、攻撃者侵入の防御・検知、侵入を許した際の対応までを包括的にサポートする新しいセキュリティモデルとして「BEFORE DURING AFTER」を提案。このモデルをベースとした多層制御を実現するセキュリティ製品群を用意している。BEFORE(整備・堅牢化)とAFTER(対応)のフェーズでは、ユーザーにとっての可視性を重視。セキュリティ・ポリシーの管理および制御プラットフォームである「Identity Services Engine(ISE)」を中心としたデバイスのネットワーク接続時点での状況を把握し、誰が何を使ってどこに行こうとしたのかを精査しつつ、マルウェアすらも見える化することで、次のセキュリティ投資に備えていくことができる。DURING(防御・検知)のフェーズにおいては、できるだけ未知の脅威を把握するための仕組みが必要となる。シスコシステムズでは、メールセキュリティアプライアンス「ESA」、Webセキュリティアプライアンス「WSA」、次世代ファイアウォール製品である「ASA with FirePOWER Service」、サンドボックスの機能を備えたマルウェア解析アプライアンス「ThreatGRID」のハードウェアに加え、マルウェア防御ソリューション「AMP」などのクラウドベースのソリューションも提供している。ISEを含め、これらの製品を連携させることで、多層制御の実現が可能となる。シスコシステムズ セキュリティ事業 テクニカルソリューションズアーキテクト 西原敏夫氏は、「こうしたさまざまなセキュリティ対策が1つの製品に集約されていればよいが、それは現実的に不可能。よって、複数の製品を併せて使っていくことになるが、管理の複雑さを軽減するために、できるだけプラットフォームをそろえ、単一の画面で管理できるような製品を開発していきたい」と述べた。
2015年03月11日カスペルスキーは2月18日、サイバー犯罪集団の「Carbanak(カーバナック)」が世界各地の金融機関から合計10億ドルを盗み出したと発表した。被害額は、カスペルスキーと国際刑事警察機構(インターポール)や欧州刑事警察機構(ユーロポール)などが協力し、Carbanakへの捜査を実施してわかったもの。Carbanakは、多国籍サイバー犯罪者集団によるものとされているが、その実態は明らかになっていない。組織のメンバーはロシアやウクライナほか、欧州諸国や中国にもいるものと見られている。攻撃は2013年から確認されており、ロシア、米国、ドイツ、中国などの30カ国100の銀行、電子決済システム、金融機関が被害を受けている。被害総額は、金融機関へのハッキング史上最大で、1度の攻撃で最大1000万ドルが盗み出したこともある。Carbanakが関わる事件の特徴は、標的型攻撃によって銀行から直接金銭を盗み出すことだ。これまで、金融機関を狙った攻撃は、金銭を預ける利用者の口座を狙ったものが主流であったため、比較的被害が小規模なものが多かった。攻撃手法はある程度パターン化されており、まず、スピア型フィッシングメールによって銀行のコンピューターにCarbanakマルウェアを感染させる。次に、行内ネットワークに侵入し、管理者のコンピューターを探し出してビデオで監視し、送金システム担当者の画面で行われているすべてを目視、記録する。その操作を模倣して、送金や引き出しを行っている。銀行内のコンピューターを感染させてから、現金を盗み取るまでの期間は平均2~4カ月であった。カスペルスキーは金融機関に対し、行内ネットワークをスキャンしてCarbanakが存在しないことを確認するとともに、万が一検知した場合は捜査当局への報告を呼びかけている。
2015年02月19日EMCジャパンは2月6日、2月1日に始まったサイバーセキュリティ月間にあわせ、米RSA会長のアート・コビエロ氏の「サイバー攻撃に対する提言」を公開している。アート・コビエロ氏は「2015年のセキュリティ動向(2014年12月3日発行)」の中で、「国家によるサイバー攻撃は加速度を増して進化し続けるが、その被害は民間企業が受けるケースがますます増える、2014年、世界各国の政府は自国民のコントロールと他国を秘密裏に監視するため、サイバー攻撃の許容範囲を次第に押し広げてきた。ハーグ条約やジュネーブ条約のような規範が、世界のデジタル社会で策定されないうちは、このような隠密な駆け引きが続くことが予想できる。民間企業は、このデジタル戦争に巻き込まれ、攻撃の標的となったり、知らぬうちに他社を攻撃する踏み台として利用されたりすることが次第に増えていくことになる」と述べている。この頃は、ソニー・ピクチャーズ エンタテインメントとFBIが、北朝鮮の関与が考えられる、前例に無いサイバー攻撃の究明に慌てふためいている最中であることなど、誰もが知り得なかった。ソニー・ピクチャーズ エンタテインメントへの攻撃では、100テラバイト近くのデータが秘密裏に盗み出され、何百万ドルもの損害を被った。同社のインシデント分析をサポートしたチームは、彼らが受けた攻撃に対し「あらかじめ打つ手を講じる準備が出来る企業はない」というほど、高度な攻撃であったと結論づけた。また、攻撃への備えとして今すぐ出来ることは、古典的な境界型セキュリティの考え方から、「デジタル環境をくまなく可視化し、起こっているアクティビティを厳密に分析する」といった新たなセキュリティ戦略へ移行する必要性を指摘。「我々が行動しなければ、我々が失うものは映画と電子メールだけでは済まなくなってしまうだろう」と、今回のニュースレターで警告している。
2015年02月06日富士通と富士通研究所は1月19日、メールやWebなどのPC操作から、サイバー攻撃の被害に遭いやすいユーザーを判定する技術を開発したと発表した。社会心理学の知見を活かし、サイバー攻撃の被害に遭いやすいユーザーをPC操作上の行動から判定する。ウイルス被害・詐欺・情報漏洩という3種類の被害に対して、社会心理学の専門家に助言を受け、ネット上のアンケート調査で被害に遭いやすい人の心理特性を分析した。被験者は全国の20~60歳代の会社員(男女)約2000名で、業務の大半を自分専用のパソコンで行い、かつ、そのうち半数が被害の経験がある。分析の結果、例えば、リスクよりもメリットを優先する人(ベネフィット認知が高い人)はウイルス被害に遭いやすいことや、PCを使いこなしている自信の強い人は情報漏洩のリスクが高いなどの傾向が明らかになった。また、PC操作による行動上の特徴と、サイバー攻撃の被害に遭いやすい心理特性との関連を明らかにし、行動からユーザーの被害リスクを算出する技術を開発。ユーザーのPC操作ログ(メール操作やWebアクセス、キー・マウス操作など)を収集するツール、PCフリーズなどの疑似的な異常状態を作り出すツールなどもあわせて開発した。これらの技術・ツールを活用して、富士通の 従業員約250名にアンケート調査を行い、被害に遭いやすいユーザーの心理特性と行動特性の関連を分析して数値化した。例えば、PCを使いこなしている自信の強いユーザーは、PCを擬似的にフリーズ状態にしてキーを動かなくすると、キー操作が多いことや、ベネフィット認知の高いユーザーはプライバシーポリシーを読む時間が短いことがわかった。富士通ではこの技術により、個人や組織のセキュリティリスクを見える化。ユーザーのリテラシーを向上させ、組織に合わせた予防的なセキュリティ対策に繋げるという。例えば、URLをよく確認しないユーザーに対して個別に注意喚起のメッセージを表示することでフィッシングメールによる情報漏洩を予防したり、詐欺被害に遭いやすい人が多い部門に対して不審メールの警戒レベルを上げたりといった予防的なセキュリティ対策が可能になる。
2015年01月20日カスペルスキーは1月15日、2014年のサイバー脅威を総括したレポートを発表した。同社がブロックした攻撃の数は、モバイルデバイスの増加などに伴い、2013年より10億件増えたという。モバイル端末を狙ったマルウェアは200カ国・全29万5500件が確認され、2013年の2.8倍だった。モバイルバンキングを狙ったトロイの木馬は2013年の9倍に増え、この数は「驚異的なスピードだ」とまとめている。Androidユーザーは、19%が1年間に少なくとも1回の脅威に遭遇したことになる。金融分野への攻撃は、ネットバンキングを狙ったものが大半を占めた。バンキングマルウェアは「Zeus」「ChePro」「Lohmys」の順に多く出回った。そのほか、Bitcoinウォレットを盗むマルウェア、コンピューティングリソースを使ってBitcoinを生成するマルウェアなど、Bitcoinに関連するマルウェアも目立った。そのほかの脅威のトピックは以下の通り。コンピューターユーザーの38%が、1年間に少なくとも1回のWeb攻撃を受けた。無害化されたWeb攻撃の44%が、米国(攻撃全体の27.5%)、ドイツ(同16.6%)、オランダ(同13.4%)に置かれた悪意のあるWebリソースによって実行された。銀行口座への不正なオンラインアクセスによって金銭を搾取しようとした、約200万件の攻撃がブロックされた。1日当たりのインターネットベースの攻撃は、平均390万件。ウェブアンチウイルス機能が検知した1億2,300万種類以上の悪意あるオブジェクトの内、74%は特定された悪意あるURLで発見された。OS Xを狙った370万件の攻撃をブロックした。Macユーザーは、平均して1年間に9件の脅威に遭遇したことになる
2015年01月16日2013年における日本国内の企業・団体に対するサイバー攻撃の件数は約128億件にも上ると言われている。近年の傾向から見て、2014年はさらに増加していることは確実だろう。「今、日本は世界中から格好の標的として狙われています」と警告を発するのはサイバーセキュリティ対策の専門事業者である株式会社サイバーセキュリティクラウド 代表取締役である横田武志氏である。同社が提供するサイバーセキュリティ対策ソリューション「攻撃遮断くん」はGMOクラウド株式会社が提供するパブリッククラウドサービス「ALTUS」において、セキュリティ対策の一翼を担っている。本記事では、横田氏とGMOクラウド 技術部に所属する森田幸人氏と立山恵士氏が、「2014年のサイバーセキュリティのトレンドとその対策」について話し合った座談会の模様を紹介する。○セキュリティ意識は低いがお金がある、世界中から標的とされる「日本」横田氏: 近年、サイバー攻撃で特に増えてきているものはWebページの改ざんです。IPA(独立行政法人 情報処理推進機構)が公開している情報セキュリティ10大脅威※1でも、2位から4位までがWebに関わるものとなっています。また、第5位にある「オンラインバンキングからの不正送金」も、2014年は上期だけで18億円と前年上期と比べて約6倍※2になっており、注目が集まっています。森田氏: われわれサービス事業者の立場で見ると、最近特に増えたと感じるものは、管理者を装って侵入し、IDやパスワード、IPアドレスを変更してしまう「ドメインの乗っ取り」です。ただ、侵入パターンもたくさんあり、われわれの内部だけでは対処できない問題もあります。立山氏: ほかにも印象に残っているものといえば、ShellShock問題※3ですね。これが発生した時はアクセスログを見て青ざめ、エンジニアが大急ぎでアップデート作業を行いました。ただ、これがわれわれのシステム内の話であれば自分たちの手で対処できるのですが、お客さまのOSやアプリケーションの脆弱性だと手が届かないので、そこが悩ましいところです。横田氏: 特に日本では「セキュリティはサーバー会社が全部やってくれているもの」と思い込んでいる人がいまだに多いようです。サーバー側だけでは不可能なことがたくさんあるのですが、切り分けが曖昧で、企業内のセキュリティ対策が手付かずのまま残ってしまっているケースが少なくありません。例えば、2014年の2月にFlashPlayerの脆弱性をついた攻撃がありましたが、その90%以上が日本※4へ向けたものでした。先ほど不正送金の例を挙げましたが、実はオンライン銀行の取引を標的とした攻撃についても日本が世界で1位※5となっています。しかも、犯人はほとんど捕まっていません。お金はあるのにセキュリティ意識が低い日本は、世界中から格好の標的として狙われている、それが今の現実です。○サイバーセキュリティ対策は企業の社会的責任森田氏: インターネットは世界中とつながるツールです。つまりWebを作って公開した時点で、世界中に向けて発信したことになり、同時に世界中から攻撃を受けることになります。となると当然、セキュリティは世界基準で考えなくてはなりません。そのための啓蒙活動がもっと必要なのかもしれません。横田氏: 確かに、その辺りの意識は日本では低いようです。例えば、米国では多くの企業が有価証券報告書にサイバー攻撃に対するリスク開示の項目があります。残念ながら、日本ではそこまでやっている企業はほとんどありません。ですが、2014年にはサイバーセキュリティ基本法が成立するなど、徐々にではありますが日本国内でも意識は高まってきているようです。立山氏: 2020年のオリンピック開催を控え、今後の日本に対するサイバー攻撃は間違いなく増えるでしょう。法整備も進み、企業としても社会的責任としてセキュリティ対策が求められてくるようになるはずです。ただ、実際にお客さまのお話を伺うと、セキュリティの重要性は理解していても、なかなか手が回らない方々が多く、そこには人手の問題やコストの問題などいろいろありますが、やはり意識の問題が一番大きいようです。○基本的な防衛策で、大半のサイバー攻撃は防ぐことができる横田氏: 例えば標的型のような、大企業や官公庁を狙う大がかりな攻撃を想定してしまうと、対策のハードルは高くなります。ですが、実際に発生しているサイバー攻撃の96%は、最低限の基本的な防御策で防ぐことができます。例えば、IDやパスワードの管理、ソフトウェアのアップデート、サーバーやWebアプリに対する不正アクセスの遮断、ログの監視など、それらを定期的に実行するだけでも、ほとんどのサイバー攻撃は防御可能です。特別なことをするのではなく、基本的なことを徹底する、われわれの提供する「攻撃遮断くん」も基本的な防御策の一つです。立山氏: クラウドにも対応している「攻撃遮断くん」は、「ALTUS」のセキュリティを高める重要な存在です。かつては、クラウドに対してセキュリティの不安を訴える方も多かったのですが、最近では実績も広がってきたためか、そのような声も少なくなりました。横田氏: ただサービスを導入しただけでは、あまり効果はありません。せっかく監視ログを取得していていも、日々しっかりと確認する体制ができていなければ、攻撃を受けていることすら気が付かないでしょう。森田氏: 外からの攻撃だけではなく、内部からの漏洩にも対処するためには、監視体制とルール作りは大切です。ただ、このことはセキュリティ担当の皆さんもとっくにご存知かと思います。でも、それを訴えてもなかなか経営層には伝わらない、そこがつらいところです。○まず可視化から、そうすれば現在の状況が一目瞭然に横田氏: 森田さんがおっしゃる通り、悩んでいるセキュリティ担当の方が非常に多いです。「セキュリティの必要性を訴えても、なかなか会社に理解してもらえない」にも関わらず、「何か問題が起きたら責任を取らされてしまう」、本当に損な役回りです。でも実際にどれだけ攻撃を受けているか可視化できたら、どんなに楽観的な経営者の方でも恐ろしさを感じるはずです。立山氏: 実際、中小と呼ばれる規模の企業でも、世界中から月に数百件レベルの攻撃を受けているケースがあります。それを目の当たりにすると、セキュリティに対する意識を変えざるを得ないでしょう。森田氏: 「攻撃遮断くん」のレポートを見ると、サーバーを立ててインターネットに接続した瞬間に攻撃のグラフが表示されます。現在のインターネットが、どれだけ危険な状況にあるのか、それを知ることこそが、セキュリティ対策の第一歩になると思います。横山氏: 現在「攻撃遮断くん」では、調査レポート付きの一カ月無料トライアルを受け付けています。まずはこちらを試して現在どのような状況なのかを知っていただきたいと思っています。驚かれると思いますよ。***※1 2014年版 情報セキュリティ10大脅威(IPA:2014年3月31日発表)※2 平成26年上半期のインターネットバンキングに係る不正送金事犯の発生状況について(警視庁:2014年9月4日発表)※3 ShellShock:UNIX系OSで使用されているbashというプログラムに重大な脆弱性が発見された問題※4 平成26年上半期のインターネットバンキングに係る不正送金事犯の発生状況について(シマンテック:2014年5月30日発表)※5 「国内の銀行・クレジットカード会社37社を狙う自動不正送金ツールを徹底解析」(トレンドマイクロ社:2014年9月10日発表)
2015年01月08日