━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2017.07.14配信
人間が一番のセキュリティホール
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
こんにちは。富士ゼロックス≪beat★ナビ≫担当の加賀です。
5月の第二週、
ランサムウェア「WannaCry」の急速な感染拡大、被害が確認されました。
6月の第四週、わずか数週間後、
新たなランサムウェア「Petya」の被害が確認されました。
2つのランサムウェアが悪用したWindowsの脆弱性は、
「同じ」ものでした。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆サイバーキルチェーン◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
5月から「サイバーキルチェーン」という考え方に沿って、
毎月お話させていただいています。
再確認です。
┏┓ サイバーキルチェーン
┗□…
航空機メーカー、ロッキードマーチン社
マイク・クロッパー氏により提唱された考え方。
攻撃者の行動パターンを、"7つ"の階層に分解したもの。
1.偵察
2.武器化
3.配布(デリバリー)
4.攻撃(エクスプロイト)
5.インストール
6.遠隔操作(C&C)
7.目的の実行
前回は、"武器化"についてご紹介しました。
今回は、"配布(デリバリー)"について、詳細をお話しします。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆配布(デリバリー)◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
攻撃の第三段階は、配布(デリバリー)です。
攻撃者は、用意した武器を、標的に手渡す方法を考えます。
利用される技術は、最新のものであるとも限りません。
「WannaCry」「Petya」に悪用されたWindowsの脆弱性は、
対応パッチが「3月」に公開済みでした。
また、技術的なものだけとも限りません。
情報セキュリティーにとって脅威となるものは、大別すると3つです。
┏┓ 脅威の種類
┗□…
物理的脅威(天災・物理的破壊・機器故障)
技術的脅威(不正アクセス・盗聴・ウイルスやバグ)
人的脅威(操作ミス・内部犯・管理業務の手抜き)
セキュリティー事故の「80%」は、人的脅威によるものです。
本人の望まないものを受け取らせるために、
攻撃者が利用するのは、技術的な脆弱性ではなく、
人間の「心理的な脆弱性」です。
「人間が一番のセキュリティホール」とも言えます。
攻撃者は、目的の達成にかかる手間を秤にかけて、
「最適な方法」を選択します。
技術的なハッキングだけに拘るようなことはありません。
人間"ハッキング"のベースは、ソーシャルエンジニアリングです。
┏┓ ソーシャルエンジニアリングとは
┗□…
特定のコンピューターネットワークに侵入するために
人間の心理的な隙や、行動のミスにつけ込み
個人が持つ秘密情報を不正に収集する手口。
ソーシャルエンジニアリングには、様々な手法があります。
最も一般的な方法は、フィッシング(Phishing)です。
┏┓ フィッシングとは
┗□…
金融機関や取引先などを装った電子メールを送り、
個人情報やログイン情報を詐取しようとしたり、
偽のWebサイトにアクセスさせようとしたりする行為。
ランサムウェア「Petya」の主な感染経路は、偽の注文確認書を添付した
フィッシングメールでした。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆配布(デリバリー)への「対策」◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
フィッシング対策協議会発行の下記レポートによると、
「フィッシングレポート2017 ― 普及が進むユーザ認証の新しい潮流 ―」
2016年、フィッシングサイトの件数増加は世界的に見られ、
過去最高の件数となったとのことです。
┏┓ 2016年のフィッシングサイトの件数
┗□…
国内:前年比30%増 約 4,000件
世界:前年比65%増 約 1,220,000件
国内の傾向としては、既存の攻撃対象である金融機関に加え、
LINEなどSNSへの攻撃が増えました。
こうした急速な増加の要因の一つは、
攻撃者を支援するツールやサービスの充実です。
前回のbeat★ナビでは、"武器"の調達方法についてお話ししました。
フィッシングサイトについても同様のことが言えます。
攻撃者自身で、すべてを一から作成する技術力がなくとも、
闇市場で"既製品"を容易に入手できます。
フィッシングに関しては、標的ごとに専用のページを自動生成する
"キット"も存在するようです。
自動生成されたページに入力した情報は、即座に攻撃者の元に送られます。
数分後には証拠隠滅のため、ページ自体が削除されます。
セキュリティー対策する側にとっても、発見しづらく、
根本的な対策を取りづらくなっています。
フィッシング詐欺の手口について最新情報を入手し、
知識をアップデートしてください。
上記のサイトでは、フィッシング詐欺に関する注意喚起、事例情報、
ニュースなどが報告されています。
攻撃者は、SNSなどで標的に関する詳細な情報を入手しています。
情報を元にして、入念に準備したメールを配布してきます。
そのため、正規のメールとフィッシングメールの見分けが、
ますます難しくなっています。
添付ファイルの開封やリンクへのアクセスには、
少し神経質なくらいで丁度良いかもしれません。
情報セキュリティーにおいて「脆弱性」は明白なリスクですが、
技術的な脆弱性以上に、人間の脆弱性は厄介です。
こういったテストのサービスは、日本にもあるようです。
東京のみの情報ですが、以下のような情報もありました。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆配布(デリバリー)に対抗するbeatの機能◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
beatサービスでは、主に以下の3つの機能で、
配布(デリバリー)に対抗しています。
・「ウイルスチェック機能(標準機能)」
・「迷惑メール判定機能(標準機能)」
・「beat コンテンツフィルター(オプション)」
インターネットへの出入口(ゲートウェイ)に立つbeat-boxは、
最初の砦であり、最後の砦でもあります。
┏┓ ウイルスチェック機能(標準機能)
┗□…
お客様ネットワークとインターネットの出入り口で
メールやWebアクセス(HTTP/FTP)通信をウイルスチェック。
Antiy Labs社製のアンチウイルスエンジンを採用。
外部からの攻撃に関しては、beatのファイアウォールが守っていますが、
昨今の標的型攻撃を目的としたマルウェアは、攻撃者の用意したサーバーへ、
「内部から」通信して、指令を受け取ろうとします。
万が一、そのようなマルウェアに感染してしまった場合、
該当PCは「外部指令サーバー(*)」に制御されてしまいます。
(*)C&Cサーバー(Command & Control Server)と呼ばれる場合もあります。
beat-boxは外部指令サーバーのURLをブラックリストとして持っていますので、
PCからの通信を遮断し、外部から制御されることを防いでいます。
ランサムウェアの主な感染経路である、フィッシングメールに対しては、
ウイルスチェック機能にプラスし、迷惑メール判定機能で対抗しています。
┏┓ 迷惑メール判定機能
┗□…
受信メールを自動で判定。
迷惑リストおよび許可リスト判定機能。
Cloudmark社製のエンジンを採用。
迷惑メールと判定したメールの「Subject(件名)」欄に、
[spam]など特定のタグ(文字列)を挿入します。
タグ付けされたメールは、メールソフトで特定のフォルダーへ
振り分け設定し、プレビュー機能はオフにしてください。
誤判定の可能性もあるため、タグ付けするのみとし、
メール自体を削除することは、基本的にはありません。
しかし、迷惑メールには、PCに損傷を与えるプログラムや
マクロファイルが添付されている場合があります。
この手のマクロウイルスと呼ばれるものは、
ウイルスメールとは判定されない場合でも、マルウェアを呼び込むなどの
有害な動作をする可能性が非常に高いものです。
迷惑メールの添付ファイルの拡張子がexeファイルであるなど、
特定の条件が揃った場合は、「スパムウイルス」と判定し、
ウイルス添付メールとみなしてメールごと削除します。
Cloudmark社の迷惑メール判定データベースは、
「コラボレーション型」と呼ばれる更新方法を採用しています。
全世界のユーザーから寄せられる情報を蓄積し、
ほぼリアルタイムで迷惑メール判定への適用が可能です。
メールに記載されたフィッシングサイトへのアクセスは、
コンテンツフィルターで対抗しています。
┏┓ beat コンテンツフィルター(オプション)
┗□…
有害なWebサイトや業務上必要のないWebサイトへのアクセスを制限
情報搾取などを目的とする「脅威情報サイト」ブロック機能。
デジタルアーツ社のフィルターデータベースエンジンを採用。
フィッシングサイトは、[フィッシング詐欺]カテゴリーに分類しています。
危険度が高いカテゴリーであるため、標準設定ではアクセス禁止です。
また、万が一、マルウェアに感染してしまった場合に備え、
大手セキュリティベンダー2社、FFRI社およびLAC社が収集した、
情報詐取を目的としたWebサイトへの通信をブロックします。
対象サイトは「脅威情報サイト」カテゴリーに分類しています。
同じく危険度が高いため、標準設定ではアクセス禁止です。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆多層防御プラスアルファ◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
beatサービスでは、上述した3つの機能以外にも、複数の対策技術を利用し、
「多層防御」しています。
しかし、上述したように、フィッシングメールは、
ますます巧妙になり、更新のスピードも増しています。
技術的な対策のみで、脅威を100%防御することはできません。
「不審なメールは開封しない」など、基本的な自衛策は必須です。
具体的に「おや?何か変だ!」と気づけるようにするためには、
日頃から危険に対する感度を高めておく必要があります。
操作ミスや管理業務の手抜きが、人命に関わる事故に直結する
工事現場などでは「危険予知活動(KY活動)」というものが行われています。
想定される事例やヒヤッとしたことなどの共有により、
危険に対する感度を高め、ヒューマンエラーを防止するという活動です。
ご紹介したフィッシング対策協議会のサイトなどで、
フィッシング詐欺に関する事例を確認しておくことは、
フィッシングの危険に対する感度を高めることに繋がります。
KY活動の考え方は、参考になるかもしれません。
また、改正された個人情報保護法が2017年5月30日に全面施行されました。
保有する個人情報の件数に関わらず、中小手企業であっても、
個人情報漏えい対策として「安全管理措置」を実施する必要があります。
「安全管理措置」には、「組織的」「人的」「物理的」「技術的」の
4つの項目があります。
それぞれの具体的措置については以下のページを参照ください。
次回も、サイバーキルチェーンの階層に沿って、お話したいと思います。
最後までお読みいただき、ありがとうございました。
次回は2017年8月18日(金)に配信予定です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□ 編集後記 □■
最近「自分の行動は、ホントに自分の意志によるものなのか?」
と思うことがあります。
朝、会社へ向かう電車の中で、ドア上のモニターをボンヤリ眺めていて、
ふと横に目をやると、新刊のビジネス本の宣伝。
タイトルをググって、Amazonでレビューを見て、買うか買うまいか迷う。
とりあえず「欲しいものリスト」に入れておく。
数日後「マツコの知らない世界」を見ていて気になった文房具を、
Amazonでポチッと購入。
すると、この間「欲しいものリスト」に入れた本と、
同じカテゴリーの本がレコメンドされていて、気になってしまう。
とりあえず見てみようかなと、図書館検索サイト「カーリル」で検索、
先約があったので、とりあえず予約しておく。
忘れた頃に図書館から通知が来て、受け取りに行って読んでみる。
というような行動を度々しています。
自分の意志で行動しているようでいて、
単に刺激に反応しているだけなような気もします。
正体不明のAIに、二人羽織で将棋を指さされている?
(ひょっとして、これなら藤井四段にも勝てる?)
そんな気がしないでもない今日この頃です。
大前研一氏の明言として有名なものに、
「人間が変わるにはこの3つを変えるしかない。時間の使い方、過ごす場所、
付き合う人。そして、最も無意味なのは、決意を新たにすること。」
というものがあります。
フィッシング詐欺には引っかからないぞ!と決意するのは、
無意味なようです。
時間を決め、集中してメールを処理する。
会社全体でセキュリティー対策に取り組み、場所と人を相乗効果で変える。
そういった変化が必要かもしれません。
そう言えば、少し前に話題となった「忖度」、
これも一種のソーシャルエンジニアリングと言えないでしょうか。
ソンタクエンジニアリング?!
お後がよろしいようで...
(カガ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━