標的型サイバー攻撃から身を守る 4 つの鍵とは? ―クラウドと Windows 10 が最強である理由

私たちはどんな形でサイバー攻撃から自分たちの身を守るべきなのでしょうか?
マイクロソフトテクノロジーセンターの澤へのインタビューでも、セキュリティ対策について触ましたが、今回はさらに深く、セキュリティについて追究。

セキュリティの専門家である蔵本へ、最近のサイバー攻撃のトレンドやセキュリティ対策の方法について話を聞きました。

Windows 担当からマイクロソフトテクノロジーセンターへ

まずは蔵本さんの自己紹介をお願いします。

マイクロソフトテクノロジーセンター (以下、MTC) でセキュリティを担当しています。セキュリティ アーキテクトとして活動しながら、マイクロソフトの製品やテクノロジーを訴求させていただいています。

社外では筑波大学での非常勤講師や監査人の業務に加え、執筆活動もしています。2015 年には『もしも社長がセキュリティ対策を聞いてきたら』 (日経 BP 社) を出版させていただきました。

マイクロソフトに入社する前の会社では、エンジニアとしてウイルス対策ソフトの開発に携わっていました。その後、マイクロソフトへセキュリティ エンジニアとして入社。Windows クライアントのセキュリティにかかわります。

現在は、MTC での業務に従事していて、役員の方やデシジョン メーカーの方にアプローチすることが増え、業務のカバー範囲が広がりました。入社してから一貫してセキュリティ全般に携わっていますが、最近では標的型攻撃等のサイバー攻撃の具体的な手法とマイクロソフトの製品やテクノロジーを使った防御方法を解説しています。Enterprise Mobility Suite や付随するコンサルティング サービスをご紹介する事もありますね。

「絨毯爆撃」から進化した「標的型攻撃」

サイバー攻撃が高度化し、どうやってセキュリティ対策をするかは、注目を浴びている議論ですよね。マイクロソフトとしても、セキュリティはお客様からのニーズが上がってきています。最近のセキュリティのトレンドとして、どんな変化や盛り上がりがありますか?

一昔前は、特にターゲットを定めずに、のべつ幕無しに攻撃するといった動きがよく見られました。これを私は「絨毯爆撃」と呼んでいましたね。さらに一般的な攻撃だと、メールのアドレス リストになりふり構わず送るとか。2000 年代初頭に CodeRed が非常に流行りましたが、これもターゲットを定めずに攻撃を発射するんですよ。攻撃された方は、セキュリティ パッチがあたっていなければダメージを受けます。

こういったターゲットを決めない「絨毯爆撃」から、スナイパーのように特定のターゲットをねらう「標的型攻撃」に変わってきました。加えて最近のトレンドは、「情報がお金になるようになった」ということです。ウイルスを完成させるだけで喜ぶのではなく、それをお金に換えるというのが、攻撃者たちの目的になってきたんです。よく、「愉快犯からお金にシフトした」と表現されますね。かつて個人の遊びだったものが、徐々に組織犯罪化しています。

被害の内容も、以前は「PC がおかしくなる」「データが消える」などもよく見られましたが、今は企業から機密情報など金銭に直結する情報を奪い取る方法が増えてきています。

最近はランサムウェアが流行っていて、感染するとファイルが勝手に暗号化されて、「もとに戻したかったら金を払え」と脅す手口もあります。また、オンライン バンキングで不正送金させるウイルスもいます。有名なものだと「ZeuS」がありますが、感染したマシンでオンライン バンキングをすると、振込先を勝手に書き換えられてしまうんですよね。このように、露骨にお金を稼ごうとするわけです。

もうひとつ変化した点は、攻撃者側も個人宅で動いているのではなく、きちんとしたデータセンターを借りて電源もリッチなものを使うなど、攻撃をするためにいろいろと投資をし始めました。ちなみにマイクロソフトのサイバークライムセンターのチームは、このような攻撃者のデータセンターに実際に乗り込んで摘発しています。

それだけ多くの、ウイルスに感染させた端末を管理している……

はい。また最近は、脆弱性などを報告してくれる方に報酬を払っています。それは同時に、攻撃者側に脆弱性を売ると「お金になる」ということでもあるのです。この場合、脆弱性を発見した方からすると、「どちらが高額なお金をくれるのか?」という考え方になってしまうこともあるわけです。

この「お金」という観点は、現在のセキュリティ対策を考える上で実は非常に重要なファクターとなっています。攻撃側からすると、売られている脆弱性情報を購入したり、職業プログラマーへ外注したり、データセンターを借りたりとお金を投資して企業を攻撃する足掛かりとするんです。

セキュリティ対策のための 4 つのフェーズを紹介

攻撃の手口が変わったことで、セキュリティ対策の方法も変化しましたか?

変わりましたね。今までは「攻撃されないようにするには、どうすればいいのか」を考えていたのですが、これでは「100 か 0 か」で、「やられたら致命的だけど、やられなければダメージはない」と考えてしまいます。

しかしこの考え方では、実は攻撃者の思うつぼなんです。壁が壊れないことだけを目指すとお金と時間がいくらあっても足りません。壁が壊れたとしても、すべて崩壊するのではなくて、ぽろぽろと壊れるくらい。つまり、「かすり傷でとめる対策」が、非常に重要なんです。

攻撃者がお金を投資して攻撃をしているとなると、早くお金を回収しなくてはいけませんよね。しかし、いつまでたってもハックできなかったら、そのお金は回収できない。攻撃が面倒なところは、費用対効果が悪いからやらないんですよ。楽勝で、費用対効果が高いところをねらうんです。

家のオート ロックと似ていますね。セキュリティが多重的になっていると、ハッカーは面倒だから簡単なところへ移動すると。

そのとおりです。ここで、こちらの 4 つのフェーズで守りましょうという話をさせていただきます。

「防御力を上げる」ことは、壁をかたくすることです。次が「検知分析」です。すでに壁のなかに入っているかもしれないので、入られていることをきちんと知ろうということですね。ここからが重要ですが、「根絶復旧、封じ込める」。これは被害を軽減することです。致命的なダメージではなく、かすり傷で済むように対応することです。そして最後は事後対応で、やられても見られないようにドキュメントを暗号化しておくことです。この 4 つのフェーズで対策を考えると、攻撃者からすると、非常に費用対効果が悪いんです。

最初の壁だけではなく、あとの 3 つも用意しておけば、そもそも興味をもたれなくなるということですね。

そうは言っても、「こうやったらやられるんじゃないの?」という議論をしようと思えばできるのですが、攻撃者は費用対効果が悪いと判断するとターゲットを移すんです。

マイクロソフトの場合だと、情報をレベル分けしています。当然ながら、私たちは Windows のソース コードなんて触れないですよね。端末が感染して乗っ取られても、Windows のソース コードは危険にさらされないわけです。攻撃される前提で中身のたてつけが決まっているので、入ってきてもダメージが低いということです。

パッチを当てていない企業も昔よりは減って、セキュリティ対策ソフトも安くなりましたね。でも、そこより深く攻撃されてしまうと、簡単にいかなくなってきているんですよね。

標的型攻撃の怖さは、サンプルがとれないことです。実生活のウイルスも、ばらまかれるじゃないですか。それがどこかの医学研究所で分析されて、ワクチンができますよね。たとえば私が今ウイルスを持っているとして、ひとりだけにウイルスを投げたら、私とその方しかウイルスを持っていないことになります。そうすると医学研究所はサンプルをとれないので、ワクチンを作れないんです。標的型攻撃はこれと同じ状況なんですよね。

標的型攻撃をする理由は「今までと違う手法が必要である」「ワクチンを作られない」など、いくつかあって、攻撃できると思ったところにはどんどんきてしまうので、セキュリティ対策をしていないと、危険が強くなっていくわけですね。

攻撃者は、マーケティング手法を使っているんです。たとえば過去の事例で、検索エンジンで「ウイルス対策ソフト」と検索して、上位に出てくるページが、ウイルスに感染したページがでる。もしくは、ハリウッド女優の名前を検索して、上位に出てくるページがウイルス感染ページだったとか。興味があるものに表示される検索結果にウイルスをつけておくと、効率がよいということです。SEO をしっかりやっているんですよ。標的型攻撃だと、デモ グラフィック分析なども、攻撃者はきちんと考えて攻撃してくるんです。

標的型攻撃がねらうのは人間であることの弱点

標的型攻撃の手法やツールの違いについて、具体的に教えてください。

多くの場合、標的型メールが届きます。特定企業を狙うにはメールが一番都合が良いんですよね。昔と違って今の PC は、ほとんどにファイアウォールが入っているなどの理由で、外から直接入れない。会社の中にいる人に直接攻撃を届けようとすると、メールが使いやすいんです。

メールからウイルスに感染する方法は、大きくわけると 2 通りあります。ひとつは、リンクが書いてあって、リンクを踏むとウイルスがダウンロードされるもの。もうひとつは、ファイルがメールに添付してあって、それを実行してしまう場合です。2015 年に起きた日本年金機構さんの個人情報が漏洩した際は、後者のパターンで攻撃されました。

メールの内容はオレオレ詐欺と一緒で、いかにもリアリティがある文面を装っています。たとえば人事や総務の方に、労働基準監督署のふりをして行政指導のメールを送るといった手口があります。メールを見た方に「これはまずい」と思わせれば勝ちということですね。怪しまれずに踏ませることがすごく重要で、そこさえクリアできれば第一段階は終わりです。

どんなシチュエーションでひっかかることが多いのでしょうか?

セキュリティにあまり詳しくない方の中には、添付ファイルがあったらとりあえず開いてしまう方がいます。1 台でもウイルスを踏んでくれれば、攻撃者は勝てるので、開封率が 0.1% でもいいんです。

クラウドは常に「最新、最強」

今までとは違い、ウイルス対策ソフトが検知できずに感染してしまうことがあるんですね。標的型攻撃を前提にした対策は具体的にはどのようなものなのでしょうか?

たとえば私の端末がウイルスに感染して、そのウイルスはドキュメントを外部に流出させようとしたとします。そうすると対策は、「流出をとめるか」「流出しても読めないようにしておくか」の二択になります。前者の「流出をとめる」は非常に難しいので、流出しても大丈夫な状態にしておくことが大切です。一番簡単なのは、ドキュメントを暗号化しておくことですね。

2014 年に起きたベネッセさんの個人情報流出問題から、株主の方々が個人情報漏洩について非常に敏感になりました。万が一漏洩すると、自分が持っている株の株価が落ちる可能性があるという事が周知されたのです。最近では、有価証券報告書に、自社へ導入しているセキュリティ対策を記載する企業が増え始めています。これにより株価の安定を狙うことができます。

難しい事を書いてもだめですが、ドキュメントを暗号化して読めなくする対策は、簡単で一般の株主の方にもわかりやすいので、ぜひ重要な情報は暗号化していただきたいです。

そして、ここで使えるのがクラウドです。たとえば SharePoint Online を例にお話しします。自分の端末を「タンス預金」、SharePoint Online を「貸し金庫」として考えてみましょう。タンス預金は、家に泥棒に入られたら、簡単に持っていかれてしまいます。SharePoint online は、ID と PASS がわかっても電話を要求するように構成することができるので、万が一端末がやられたとしても、認証の電話がかかってきてそこで攻撃を止めることができるんです。

マイクロソフトでも、個人情報の置き場所はローカルはもとより、限られた SharePoint にしか置けなくなっていますよね。違う場所に置いていると、「チェックして対応してください」とアラートがくる。そうすると、個人情報が漏洩する余地は、人的なミスさえなければ基本的に起きなくなります。最近の話題だと、マイナンバーの管理方法も、重要なポイントですよね。

Excel にマイナンバーと社員番号、名前を書いておく場合が多いと思いますが、こうした場合、Excel をクラウドにおくことが大切ですね。そして使う端末を Windows 10 にしていただくと、端末は攻撃されづらくなります。

ローカルに置かないことが大切ですね。PC にログインできたとしても、それだけでは情報にアクセスできず、二段階の認証が必要だと。そこでマイクロソフトがご提供できるのが、Windows 10、そして SharePoint Online や Office 365 なんですね。セキュリティの面で、MTC ではどんなことをご提供されているのでしょうか?

標的型攻撃の流れをデモで実演して、実際にどんなツールを使っているか、どんな流れでハッキングされるかなどをお見せしています。具体的には、メールが届いてリンクを踏んでハッキングされる。そして違う端末へハッキングされ、ドキュメントが勝手にアップロードされる危険性などをご説明しています。

Windows 7 と Windows 10 におけるセキュリティのレベルの違い

Windows 10 のセキュリティ対策は、以前のバージョンよりも進化していますか?

非常に進化しています。MTC では Windows 7 の SP1 をハッキングするデモをおこなっていますが、Windows 10 には現在よく攻撃で用いられる手法が通じません。セキュリティの強さは、Windows 7 と Windows 8 との間で大きな差がありますが、Windows 8 と Windows 10 の間には、さらに大きな差があります。

ネットワーク、サーバー、クライアント、データ等、多層での防御を考える際に端末自身やデータの部分は最後の水際とも言える位置づけになります。そのため、土台の OS を新しくし、セキュリティ強度を向上する。つまり Windows 10 へアップグレードしていただくと、かなり強くなります。また、アンチウイルスソフトである Windows Defender も標準でついています。

ひとつポイントがあるのですが、OS をアップグレードした場合、マイクロソフトから出荷された設定の状態から変えずに、デフォルトのままで使うことも重要です。出荷時の設定は、マイクロソフトの開発チームが、さまざまな脅威モデルを考慮し、調整したパラメーターなのでセキュリティと使い勝手のバランスがとれた構成になっているのです。

Windows 10 とクラウドで万全のセキュリティ対策を実現

まだ企業によってはアップグレードできないというところもあると思うのですが、セキュリティという観点とほかの観点で天秤にかけていただいて、アップグレードを視野に入れていただくのもひとつのポイントですね。クラウドにすることについてのメリットはいかがでしょうか。

クラウドのメリットは「常に最新、最強」という部分です。オンプレミス (自社でソフトウェアを導入、管理すること) のシステムは、常に最新、最強にアップデートできないこともあります。たとえば、規模が大きければ大きいほど、パッチを当てたくても、本当に動くのかどうか検証が必要です。検証後の適応となると、1 か月に 1 度や、3 か月に 1 度の頻度になってしまう可能性もありますよね。しかしクラウドは、リアルタイムで適用されていきます。

マイクロソフトのクラウドはパッチの適用や対策を最新にするだけでなく、攻撃手法が通用するかどうかのテストもおこなっているため、非常に強固です。現在システムに求められるセキュリティレベルはオンプレミスでは実現が難しいレベルになりつつありますが、マイクロソフトのクラウドをご利用いただくことで高いセキュリティレベルを実現することができます。

あとは、「クラウド = 貸し金庫」「オンプレミス = タンス預金」だとして、すべての財産をどちらか一方におくことはあまりしませんよね。情報の機密度や必要とする頻度に応じて、置き場所を変えてはどうかと提案をします。

たとえば、「いつでもどこでも見たい、手元に置いておきたい」ものはオンプレミスに。「漏洩すると致命的」なものはクラウドへ。ルパン三世に「盗むぞ」と予告されているものを、タンスに置いておく方はいないですよね (笑)。シンプルに、考え方はそれと同じなんです。

クラウドに興味があるけれど、なかなか踏みきれないお客様は、ぜひマイクロソフトのパートナー企業様もしくは担当営業にご相談いただきたいです。

※本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。