• ID : 8247
  • 公開日時 : 2017/07/14 00:00
  • 印刷

≪人間が一番のセキュリティホール≫|2017年07月14日(金) 

≪beat★ナビ≫は、セキュリティーに関するニュースやトレンド情報、
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
カテゴリー : 

回答

━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2017.07.14配信

   人間が一番のセキュリティホール

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

こんにちは。富士ゼロックス≪beat★ナビ≫担当の加賀です。

5月の第二週、
ランサムウェア「WannaCry」の急速な感染拡大、被害が確認されました。

6月の第四週、わずか数週間後、
新たなランサムウェア「Petya」の被害が確認されました。

2つのランサムウェアが悪用したWindowsの脆弱性は、
「同じ」ものでした。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆サイバーキルチェーン◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

5月から「サイバーキルチェーン」という考え方に沿って、
毎月お話させていただいています。

再確認です。

┏┓ サイバーキルチェーン
┗□…
     航空機メーカー、ロッキードマーチン社
     マイク・クロッパー氏により提唱された考え方。
     攻撃者の行動パターンを、"7つ"の階層に分解したもの。
 
       1.偵察
       2.武器化
       3.配布(デリバリー)
       4.攻撃(エクスプロイト)
       5.インストール
       6.遠隔操作(C&C)
       7.目的の実行


前回は、"武器化"についてご紹介しました。

今回は、"配布(デリバリー)"について、詳細をお話しします。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆配布(デリバリー)◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

攻撃の第三段階は、配布(デリバリー)です。

攻撃者は、用意した武器を、標的に手渡す方法を考えます。

利用される技術は、最新のものであるとも限りません。

「WannaCry」「Petya」に悪用されたWindowsの脆弱性は、
対応パッチが「3月」に公開済みでした。

また、技術的なものだけとも限りません。

情報セキュリティーにとって脅威となるものは、大別すると3つです。

┏┓ 脅威の種類
┗□…
     物理的脅威(天災・物理的破壊・機器故障)
     技術的脅威(不正アクセス・盗聴・ウイルスやバグ)
     人的脅威(操作ミス・内部犯・管理業務の手抜き)


セキュリティー事故の「80%」は、人的脅威によるものです。

本人の望まないものを受け取らせるために、
攻撃者が利用するのは、技術的な脆弱性ではなく、
人間の「心理的な脆弱性」です。

「人間が一番のセキュリティホール」とも言えます。
 
攻撃者は、目的の達成にかかる手間を秤にかけて、
「最適な方法」を選択します。
技術的なハッキングだけに拘るようなことはありません。


人間"ハッキング"のベースは、ソーシャルエンジニアリングです。

┏┓ ソーシャルエンジニアリングとは
┗□…
     特定のコンピューターネットワークに侵入するために
     人間の心理的な隙や、行動のミスにつけ込み
     個人が持つ秘密情報を不正に収集する手口。

ソーシャルエンジニアリングには、様々な手法があります。

最も一般的な方法は、フィッシング(Phishing)です。

┏┓ フィッシングとは
┗□…
     金融機関や取引先などを装った電子メールを送り、
     個人情報やログイン情報を詐取しようとしたり、
     偽のWebサイトにアクセスさせようとしたりする行為。

ランサムウェア「Petya」の主な感染経路は、偽の注文確認書を添付した
フィッシングメールでした。
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆配布(デリバリー)への「対策」◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

フィッシング対策協議会発行の下記レポートによると、
「フィッシングレポート2017 ― 普及が進むユーザ認証の新しい潮流 ―」

2016年、フィッシングサイトの件数増加は世界的に見られ、
過去最高の件数となったとのことです。

┏┓ 2016年のフィッシングサイトの件数
┗□…
     国内:前年比30%増      約 4,000件
     世界:前年比65%増  約 1,220,000件


国内の傾向としては、既存の攻撃対象である金融機関に加え、
LINEなどSNSへの攻撃が増えました。

こうした急速な増加の要因の一つは、
攻撃者を支援するツールやサービスの充実です。

前回のbeat★ナビでは、"武器"の調達方法についてお話ししました。
フィッシングサイトについても同様のことが言えます。

攻撃者自身で、すべてを一から作成する技術力がなくとも、
闇市場で"既製品"を容易に入手できます。

フィッシングに関しては、標的ごとに専用のページを自動生成する
"キット"も存在するようです。

自動生成されたページに入力した情報は、即座に攻撃者の元に送られます。
数分後には証拠隠滅のため、ページ自体が削除されます。

セキュリティー対策する側にとっても、発見しづらく、
根本的な対策を取りづらくなっています。

フィッシング詐欺の手口について最新情報を入手し、
知識をアップデートしてください。

┏┓ フィッシングサイトの最新情報の入手
┗□…
     フィッシング対策協議会
     「フィッシングに関するニュース」
        https://www.antiphishing.jp/news/


上記のサイトでは、フィッシング詐欺に関する注意喚起、事例情報、
ニュースなどが報告されています。


攻撃者は、SNSなどで標的に関する詳細な情報を入手しています。

情報を元にして、入念に準備したメールを配布してきます。

そのため、正規のメールとフィッシングメールの見分けが、
ますます難しくなっています。

添付ファイルの開封やリンクへのアクセスには、
少し神経質なくらいで丁度良いかもしれません。

情報セキュリティーにおいて「脆弱性」は明白なリスクですが、
技術的な脆弱性以上に、人間の脆弱性は厄介です。

  <参考情報>
   ライフハッカー[日本版]
   「100人中56人がひっかかった、
   『社員にランサムウェアを送るテスト』の結果」
   https://www.lifehacker.jp/2017/06/170606_ransomeware_phishing_test.html


こういったテストのサービスは、日本にもあるようです。
東京のみの情報ですが、以下のような情報もありました。

  <参考情報>
   東京都産業労働局
   「都内中小企業向け標的型メール攻撃訓練について」
   http://www.sangyo-rodo.metro.tokyo.jp/chushou/shoko/cyber/mailtraining/index.html


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆配布(デリバリー)に対抗するbeatの機能◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

beatサービスでは、主に以下の3つの機能で、
配布(デリバリー)に対抗しています。

   ・「ウイルスチェック機能(標準機能)」
   ・「迷惑メール判定機能(標準機能)」
   ・「beat コンテンツフィルター(オプション)」


インターネットへの出入口(ゲートウェイ)に立つbeat-boxは、
最初の砦であり、最後の砦でもあります。

┏┓ ウイルスチェック機能(標準機能)
┗□…
     お客様ネットワークとインターネットの出入り口で
     メールやWebアクセス(HTTP/FTP)通信をウイルスチェック。
     Antiy Labs社製のアンチウイルスエンジンを採用。


外部からの攻撃に関しては、beatのファイアウォールが守っていますが、
昨今の標的型攻撃を目的としたマルウェアは、攻撃者の用意したサーバーへ、
「内部から」通信して、指令を受け取ろうとします。

万が一、そのようなマルウェアに感染してしまった場合、
該当PCは「外部指令サーバー(*)」に制御されてしまいます。

(*)C&Cサーバー(Command & Control Server)と呼ばれる場合もあります。

beat-boxは外部指令サーバーのURLをブラックリストとして持っていますので、
PCからの通信を遮断し、外部から制御されることを防いでいます。


ランサムウェアの主な感染経路である、フィッシングメールに対しては、
ウイルスチェック機能にプラスし、迷惑メール判定機能で対抗しています。

┏┓ 迷惑メール判定機能
┗□…
     受信メールを自動で判定。
     迷惑リストおよび許可リスト判定機能。
     Cloudmark社製のエンジンを採用。


迷惑メールと判定したメールの「Subject(件名)」欄に、
[spam]など特定のタグ(文字列)を挿入します。

タグ付けされたメールは、メールソフトで特定のフォルダーへ
振り分け設定し、プレビュー機能はオフにしてください。

誤判定の可能性もあるため、タグ付けするのみとし、
メール自体を削除することは、基本的にはありません。

しかし、迷惑メールには、PCに損傷を与えるプログラムや
マクロファイルが添付されている場合があります。

この手のマクロウイルスと呼ばれるものは、
ウイルスメールとは判定されない場合でも、マルウェアを呼び込むなどの
有害な動作をする可能性が非常に高いものです。

迷惑メールの添付ファイルの拡張子がexeファイルであるなど、
特定の条件が揃った場合は、「スパムウイルス」と判定し、
ウイルス添付メールとみなしてメールごと削除します。


Cloudmark社の迷惑メール判定データベースは、
「コラボレーション型」と呼ばれる更新方法を採用しています。

全世界のユーザーから寄せられる情報を蓄積し、
ほぼリアルタイムで迷惑メール判定への適用が可能です。

メールに記載されたフィッシングサイトへのアクセスは、
コンテンツフィルターで対抗しています。

┏┓ beat コンテンツフィルター(オプション)
┗□…
     有害なWebサイトや業務上必要のないWebサイトへのアクセスを制限
     情報搾取などを目的とする「脅威情報サイト」ブロック機能。
     デジタルアーツ社のフィルターデータベースエンジンを採用。

フィッシングサイトは、[フィッシング詐欺]カテゴリーに分類しています。
危険度が高いカテゴリーであるため、標準設定ではアクセス禁止です。

また、万が一、マルウェアに感染してしまった場合に備え、
大手セキュリティベンダー2社、FFRI社およびLAC社が収集した、
情報詐取を目的としたWebサイトへの通信をブロックします。

対象サイトは「脅威情報サイト」カテゴリーに分類しています。
同じく危険度が高いため、標準設定ではアクセス禁止です。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆多層防御プラスアルファ◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

beatサービスでは、上述した3つの機能以外にも、複数の対策技術を利用し、
「多層防御」しています。

しかし、上述したように、フィッシングメールは、
ますます巧妙になり、更新のスピードも増しています。

技術的な対策のみで、脅威を100%防御することはできません。
「不審なメールは開封しない」など、基本的な自衛策は必須です。

具体的に「おや?何か変だ!」と気づけるようにするためには、
日頃から危険に対する感度を高めておく必要があります。

操作ミスや管理業務の手抜きが、人命に関わる事故に直結する
工事現場などでは「危険予知活動(KY活動)」というものが行われています。

想定される事例やヒヤッとしたことなどの共有により、
危険に対する感度を高め、ヒューマンエラーを防止するという活動です。

ご紹介したフィッシング対策協議会のサイトなどで、
フィッシング詐欺に関する事例を確認しておくことは、
フィッシングの危険に対する感度を高めることに繋がります。

KY活動の考え方は、参考になるかもしれません。

また、改正された個人情報保護法が2017年5月30日に全面施行されました。

保有する個人情報の件数に関わらず、中小手企業であっても、
個人情報漏えい対策として「安全管理措置」を実施する必要があります。

「安全管理措置」には、「組織的」「人的」「物理的」「技術的」の
4つの項目があります。
それぞれの具体的措置については以下のページを参照ください。


次回も、サイバーキルチェーンの階層に沿って、お話したいと思います。


 最後までお読みいただき、ありがとうございました。
次回は2017年8月18日(金)に配信予定です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ■□ 編集後記 □■

最近「自分の行動は、ホントに自分の意志によるものなのか?」
と思うことがあります。

朝、会社へ向かう電車の中で、ドア上のモニターをボンヤリ眺めていて、
ふと横に目をやると、新刊のビジネス本の宣伝。
タイトルをググって、Amazonでレビューを見て、買うか買うまいか迷う。
とりあえず「欲しいものリスト」に入れておく。

数日後「マツコの知らない世界」を見ていて気になった文房具を、
Amazonでポチッと購入。

すると、この間「欲しいものリスト」に入れた本と、
同じカテゴリーの本がレコメンドされていて、気になってしまう。

とりあえず見てみようかなと、図書館検索サイト「カーリル」で検索、
先約があったので、とりあえず予約しておく。
忘れた頃に図書館から通知が来て、受け取りに行って読んでみる。

というような行動を度々しています。

自分の意志で行動しているようでいて、
単に刺激に反応しているだけなような気もします。
 
正体不明のAIに、二人羽織で将棋を指さされている?
(ひょっとして、これなら藤井四段にも勝てる?)
そんな気がしないでもない今日この頃です。

大前研一氏の明言として有名なものに、
「人間が変わるにはこの3つを変えるしかない。時間の使い方、過ごす場所、
付き合う人。そして、最も無意味なのは、決意を新たにすること。」
というものがあります。

フィッシング詐欺には引っかからないぞ!と決意するのは、
無意味なようです。

時間を決め、集中してメールを処理する。
会社全体でセキュリティー対策に取り組み、場所と人を相乗効果で変える。
そういった変化が必要かもしれません。

そう言えば、少し前に話題となった「忖度」、
これも一種のソーシャルエンジニアリングと言えないでしょうか。

ソンタクエンジニアリング?!

お後がよろしいようで...

(カガ)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━