Global Knowledge Japan

Win Win Windows
ホーム > Win Win Windows > セキュリティ

Win Win Windowsコラム
標的型攻撃は避けられない
執筆:横山哲也

「標的型攻撃」というセキュリティ攻撃手法が話題になっています。特定の組織を標的にした攻撃で、多くは電子メールを偽装します。「不用意に添付ファイルを開いた人が悪い」という声も聞こえますが、セキュリティの専門家の意見は違います。


標的型攻撃は避けられないと思え

不特定多数からのメールを受け付ける部署で、標的型攻撃を回避するのは極めて困難です。たとえば、食品メーカーのお客様相談窓口に以下のようなメールが来たとします。


御社の商品を購入しましたが、カビのような白い粉が付いていました。現物は後ほど送りますが、送付中に状態が変化すると思います。写真を添付しますので、まずは現状を見てください。


標的型攻撃のウイルスは、専用のものが作成されることが多く、ウイルスチェッカーでは検出できないのがふつうです。


添付ファイルを開くと、スクリプトを実行するとともに通常のJPEGファイルを表示するものもあります。先のメールを開いて表示された写真を見て、白い粉は食品由来の結晶で、正常な状態であることが明らかだったとします。窓口の担当者は、これは正常ですので安心してお召し上がりくださいと返信して終わるでしょう。


しかし、写真とは別にスクリプトが実行されており、ここから情報流出が始まります。大量の情報流出は、比較的容易に検出できますが、ネットワークが高速になった現在、気づいたときには数万件の情報が流出しているかもしれません。


最近は、メールではなくWebフォームで相談を受け付ける企業が多いようです。これなら不正な添付ファイルのリスクは相当減らせます。


しかし、こういうのはどうでしょう。


From: YOKOYAMA Tetsuya <yoko123@yokoyama-planning.com>

Subject: 演習中に質問がありました

大阪に出張中の横山です。インターネット回線の状態が悪く個人メールで失礼します。

演習中、お客様から質問がありました。私ではちょっと分からないので、添付ファイルの画面を見て確認してもらえますか。


一般的な常識として、訪問企業の名前をSNSなどに書き込むことはありませんが、地域くらいは書くかもしれません。公開セミナーやイベントの場合は宣伝を兼ねて詳細に書くこともあります。


メールアドレスの収集はそれほど難しくありませんし、類推することも容易です。


最近は、正規の質問をして、担当者と何度かやりとりをしたあとで攻撃してくるケースもあるそうです。こうなると単なるウイルスというより「詐欺」です。


詐欺の場合は、お金を払う直前で気づくことも多いのですが、ネットワークを使った攻撃は、気づいたときには遅いかもしれません。


標的型攻撃は、組織に対する十分な下調べがあり、会社の組織情報や社員の個人情報を事前に入手しています。こうした情報を元に偽の問い合わせをします。


これを避けられる人はまずいないでしょう。複数の人間によるチェックをすれば回避できるかもしれませんが、現実的ではありません。


標的型攻撃を避けるのは無理」と思うべきです。


精神論ではなくデータを隔離する

セキュリティの専門家は、標的型攻撃が「添付ファイルを開かない」のような精神論では防げないことを指摘しています。そのため、攻撃されることを前提に「攻撃されても被害が起きない」ことが大事です。


以前、ある銀行の方に「電子メールなどインターネット接続可能なPCと、業務システムにアクセスするPCが分かれており、1人2台のPCを使っている」と聞いたことがあります。


セキュリティ攻撃の多くは電子メールとWebブラウザを経由します。インターネットに接続されていなければリスクは大幅に軽減されます。


しかし、1人2台のPCは使う方も管理する方もとても大変です。

また、重要な情報を扱うという理由で、利用可能なアプリケーションを制限しすぎてしまうと、日常的に発生する分析作業が難しくなります。その結果、一時的に情報を抜き出して、普段使うPCにコピーして作業をすることになります。これは非常に危険なことです。


つまり、セキュリティを厳しくしすぎて使いにくくなったため、より危険な方法に走ってしまうというわけです。


Windows Serverの「リモートデスクトップサービス」にはRemoteAppという機能があり、アプリケーションの実行環境をある程度分離することができます。業務システムを別のサーバーで実行し、画面表示だけを1つのウインドウとして自分のPCに表示します。ファイル共有やクリップボードの利用を禁止することで、業務システムからインターネットへの流出を防ぎます。

RemoteApp.png


業務システムのあるネットワークはインターネットと接続されていないため、ある程度自由に利用できます。データの分析用に特別なアプリケーションをインストールすることもできるでしょう。インターネットに接続されたPCとは、単にアプリケーションウィンドウが違うだけに見えますが、ファイル転送もクリップボードの共有もできません(許可することもできます)。


ネットワークが1本の場合、完全な分離は困難ですが、たとえば無線LANと有線LANで異なるネットワークを構成することは技術的には可能です(実際にはそう簡単ではなさそうですが)。


これでかなり安全になるのではないでしょうか。


利便性をほとんど損なわず、高いセキュリティを実現するRemoteAppは、多くの企業で検討されています。


グローバルナレッジでは「マイクロソフト デスクトップ仮想化ソリューション (リモートデスクトップとVDI) ~Windows Server 2012 R2対応~」という1日の研修で、RemoteAppの構築について解説しています。


この機会に、リモートデスクトップサービスについて勉強してみてはどうでしょう。


[セキュリティ][2015年6月 2日配信]

※Microsoft、Windowsは、米国Microsoft社の登録商標です。
※Oracleは、米国オラクル・コーポレーションおよびその子会社、関連会社の米国およびその他の国における登録商標です。
※PMI、PMP、PMBOKは、プロジェクトマネジメント協会(Project Management Institute, Inc.)の登録商標です。
※ITIL®はAXELOS Limited の登録商標です。
※American Management Association は、米国アメリカン マネジメント アソシエーションの登録商標です。
※BOOT CAMP、NEW TRAIN、Glovalueはグローバルナレッジネットワーク株式会社の登録商標です。
※その他このサイトに掲載された社名、製品名は、各社の商標、または登録商標です。

© Global Knowledge Network Japan, Ltd. 2008-2016, All Rights Reserved.
  • Get ADOBE READER