標的型サイバー攻撃を防ぐ!?
標的型サイバー攻撃について
日本年金機構の漏えい事件でもありました『標的型メール』について、それぞれ感じる部分があると思います。
ネット上では「添付ファイルをクリックしなければ大丈夫」「怪しいメールを触れなければ大丈夫」「ネットリテラシー低い」などがよく見かけますが、それは以前までの事で、最近の標的型攻撃と言われている手法はそんな事では防げません。
名前にもあるように標的型なので、特定の誰かを限定して攻撃してきます。
そもそも攻撃側も馬鹿ではないので、色々な手法があります。もちろんこれまでの手法も含んだ形です。
標的型サイバー攻撃手法
さて、標的型攻撃はどのような事をされるようになったかというと、攻撃対象のあらゆる情報をネット上から取得します。最近ではSNSが流行ってますので、攻撃対象者のみではなく、その周辺にいる方々の情報も取得可能です。
その人に巧妙になりすまし、メールを送ってきます。
さて、あなたは友人、もしくは上司・関連会社などから添付ファイル付きのメールが送られてきたら、どうしますか?
もちろん開いてしまいます。これで感染します。
しかも日常的に仕事に追われているならば、イチイチこれは攻撃なのか?と疑っている余裕は無いと思います。
また面倒なのが、アンチスパムやウイルスチェックの機能を利用してても、攻撃メールはすり抜けてきます。
先ほども書きましたが、攻撃側も馬鹿ではないので、日常的に利用されている様なアンチスパム・アンチウイルスに引っかからない仕様でウイルスを作成し、送ってきますのでアンチウイルスの定義ファイルを最新に維持してたとしても感染してしまいます。そして感染者のPCは感染したからと言って、異常な動作が出るという事もないです。
(だからと言って、定義ファイルを最新に保つことで防ぐ事ができることもありますので、きちんと最新状態を維持してくださいね)
標的型サイバー攻撃は防げるのか?
ここからが本題ですが、標的型攻撃は防げるのか?という疑問ですが、私はネット環境を利用している状態では防げないと思います。
攻撃はメールでもSNS上でも、行おうとしたらいくらでもあります。
しかも企業内の情報を取得するなら、攻撃先から情報をメールで送るなんてしないでしょうね。私だったらHTTPポートを利用して少しずつ不定期に送り続ける仕組みを作ります。
それではどうする?
感染は防げません。そしたらどうしましょうか?
あとは被害拡大と情報流出をいかに早く食い止めることだと思います。
GWとなる入口と出口のネットワークの流れを常に監視し、異常となる流れを素早く検知して、対象端末を隔離する方法が有効的だと思います。
OSSなどでよくあるネットワークアナライザなどは、ただ監視するだけですので、不規則性でも怪しいパケットの流れを検知してはくれません。
きちんと学習し、怪しいと思われる流れを検知し、管理者に通知するといった製品が必要だと思います。
今販売されている製品ですと、トレンドマイクロのDeep Discoveryシリーズがここら辺をカバーしてるようです。
お値段は高額ですw
中小企業レベルですと、手が出せないお値段ですね。。。
※ちなみに私はトレンドマイクロの回し者でも、ステマをやっているわけではないですw