2014 年も後半に入りましたので、サイバー アタックに関して、今年前半に起きた出来事を振り返り、企業がかかえる問題について考えてみたいと思います。
さらに巧妙化する手口
今年1月初旬、日本原子力研究開発機構が運営する高速増殖炉「もんじゅ」の業務用端末がマルウェアに感染し、近隣諸国と思われる宛先へ通信を行っていたことが発覚しました。感染した端末には、核に関連する重要情報は格納されていませんでしたが、4 万数千件の電子メール データを含む様々な情報が漏洩した可能性があります。感染経路は、端末にインストールされていた動画再生ソフトのアップデートと断定されています。この動画再生ソフトのアップデート サービスのサーバが昨年末に不正アクセスを受け、正規のインストール プログラムを装ったマルウェアを配信する状態であったことも確認されました。
この攻撃手法は水飲み場型攻撃と呼ばれています。感染させた Web サイトに攻撃対象ユーザがアクセスするのを待ち伏せ、正規サーバと思ってアクセスしてきた端末を感染させます。このように、標的型攻撃のような手間のかかる手法の代わりに、感染した Web サーバにアクセスした際にマルウェアが拡散するという被害が、昨年あたりから増加しています。有名検索エンジンの広告サイトからの感染、日本年金機構を装うフィッシング、 銀行の偽サイトへ誘導し不正送金を試みるインシデントなど、様々な被害が報告されています。
Web サーバに関連するものとして 4 月には、Apache Struts1 および 2 と呼ばれる Java Web アプリケーション フレームワークでの脆弱性が話題になりました。Struts が稼働している Web サイトは、同脆弱性の悪用を目的としたリクエストを受けた場合、ファイル システムが破壊され、他のサーバへの踏み台となるバックドアになるなど、様々な被害を受ける恐れがありました。そのために国税庁では、Web サイト上で行える「確定申告書作成コーナー」などのサービスを停止しました。
加えて、昨年末は世界中に流れる一日あたりの約 350 億通にまで減少していたスパム メールが、今年に入ってからは一日あたり約 2,500 億通と大幅に上昇しています。最近の流行りの手法だけでなく、過去から続く手法も未だ増えつつあることが分かります。
安全な利用に関わる根本的な脅威
脆弱性のなかには、安全性を確保するために使っているソフトウェアそのもののなかに存在することもあります。そのひとつが、2014 年 4 月に発見された「ハートブリード」と呼ばれる OpenSSL のバグです。OpenSSL は、世界中のインターネット サーバのおよそ 3分の 2 で利用されている暗号化ライブラリです。その一部のバージョンで、このバグを悪用することにより、暗号化通信に必要な秘密鍵やパスワードを盗み出せることが分かりました。これについて著名なセキュリティ専門家は、「10 段階評価の 11」だと指摘しています。
ハートブリードが世界中で混乱を招き、大騒ぎとなっている同じ時期に Windows XP のサポートが終了しました。しかし、世界中の 95% の ATM は、いまだに Windows XP を利用しているというニュース(1月時点)が報道されています。そして Windows XP のサポート終了直後、Windows XP を含むほぼ全ての Windows OS で稼働する Internet Explorer の 6 から 11 までの全バージョンに関わる脆弱性の存在をマイクロソフト社が発表しました。この脆弱性を悪用すれば、攻撃者がリモートから対象 PC を制御できるようになります。修正プログラムが配布されるまでの対応策は、「IE を使わない」ことでした。
喫緊の課題となる育成のギャップ
企業にとって大打撃となる脅威は、これからも進化していくことが安易に予想されます。10 年前に採用したセキュリティ ソリューションを使い続けているだけでは、十分な対策はできません。なぜなら、モバイル デバイス、アプリケーション、仮想化、ソーシャル メディア、ホーム コンピュータ、Web ブラウザ、さらには自動車まで、攻撃対象は増え続けており、そのスピードも速くなっているからです。
あらゆる組織はすでに脅威に晒されていると考えるべきです。自らが脅威の対象とされるかどうかではなく、脅威の対象となることは確実であり、それがいつ、どのくらいの期間起こるかを検討しなければなりません。しかし、これら高度かつ複雑な手口 に対応するセキュリティ専門家は、世界中で100万人不足していると言われています。常時ネットワークを監視し、侵入状況を判断できるような人材を整えることは非常に難しい状況にあります。