今日のリンク

記者の眼 – 標的型攻撃は“防げない”:ITpro

 特定の企業や組織を狙ったサイバー攻撃である「標的型攻撃」。標的型攻撃の常とう手段は、標的とした企業・組織の従業員にウイルス(マルウエア)を添付したメールを送信すること(図)。従業員がウイルスを実行するとPCに感染して、攻撃者にPCを乗っ取られる。そして攻撃者は、ウイルス感染PCを足掛かりにして、社内ネットワークを“物色”し、機密情報を盗み出す。

 Web経由の標的型攻撃も出現している。いわゆる「水飲み場型攻撃」だ(関連記事:ITproまとめ「水飲み場型攻撃」)。この攻撃では、攻撃者は一般のWebサイトに侵入して“わな”を仕掛け、標的とした企業の従業員がアクセスしたときにだけウイルスをダウンロードさせる。

 しかも、2013年8月(ベンダーによっては2013年9月としている)に国内で確認された水飲み場型攻撃では、Internet Explorer(IE)のゼロデイ脆弱性が使われた。ここでのゼロデイ脆弱性とは、ベンダーが対策(セキュリティ更新プログラムなど)を用意していない脆弱性のこと。つまり、セキュリティ更新プログラムをきちんと適用しているユーザーでも、被害に遭う恐れがあった。

 「最近の攻撃を見ていて感じることは、どのような防御体制を取っている企業や組織でも、やられるときにはやられてしまうということだ」(JPCERTコーディネーションセンターの分析センター長を務める真鍋敬士 理事)。同様のコメントをする専門家は多い。コストをかけた巧妙な攻撃のターゲットになったら、侵入を防ぎきれないのが現状なのだ。

 もはや、どれだけ対策費用をかけても、侵入を確実に防ぐことは困難になっている。もちろん、以前から100%防ぐことは不可能だったが、攻撃の巧妙化に伴い、防御することがより難しくなっている。侵入された後の対策を考慮していない企業・組織は、すぐに検討すべきだ。「侵入を防ぐための『壁』を突破されてからが、本当の戦いだと思ってほしい」(真鍋理事)。

続きを読む 今日のリンク