LuckyOceanのブログ

新米技術士の成長ブログ

サイバー攻撃の現状と課題(その2)

サイバー攻撃 Amazon ioT セキュリティ スマホ 仮想通貨 安心安全 心理問題 技術問題 社会問題

前回は、高度化・増大するサイバー攻撃の現状についてレビューしてみた。でも、このような攻撃に対してどのように防御すれば良いのか。どのような対策が有効かつ必要なのか。そんなことを考えてみたい。

3. 対策手法
3.1 個人レベルの対応
一般の利用者が使うのは、スマホ・携帯、タブレット、PC、ゲーム機といったところだろうか。最近では、家庭内のLANを無線化している人も多いだろう。サイバー攻撃では、残念ながらこれらの全てがターゲットの対象となる。対策として考えられる内容を思いつくままに列挙してみたい。
(1) OSやアプリのアップデート
ワンデーアタックやゼロデーアタックなどが話題になるが、まずはOSやアプリのアップデートがあればすぐに更新することだ。攻撃者は古いOSやセキュリティホールが放置されているようなデバイスをターゲットにして、踏み台等のウイルスをインストールしようとする。

(2) アンチウイルスソフトの見直し
息子のPCがウイルスに汚染し、至急ウイルス駆除ソフトをインストールしろとアラームが鳴動する。しかし、そのウイルス駆除ソフトが本当のウイルスだったりする。ウイルスの駆除は必要だが、ウイルス駆除ソフトは、定番や口コミの満足度の高いものが無難だ。WindowsのPCならマイクロソフトが無料の駆除ソフトも提供している。そもそも、OSを最新に更新していれば、ウイルス駆除ソフトは不要だという意見もある。スマホにはiOS系とAndroid系があり、どちらを使うかは個人の自由だが、個人的にはiOSの方がソフトをトータルで提供しているので安心と感じる。

(3) 詐欺メールを見破る
そもそも何かをプレゼントするとか、甘い誘惑は疑うべきだ。世の中にはそんなに甘くない。例えば、ビットコインでも出始めで、確実に儲かるような時には、そもそも口座開設が輻輳していて、大変だ。テレビで宣伝するような時は買いではなく売り時だ。そんな時に口座を開設して仮想通貨を購入しても儲かるわけがない。詐欺メールに戻ると、そこに描かれているURLは要注意だ。例えば、アマゾンの詐欺サイトに誘導するメールに記載されているURLは、amazon.comではなく、anazon.comになっていたりする。

(4) 使わないPCはオフライン
古いWindowsがインストールされたPCを使い続けている人は要注意だ。OSも保守期間を過ぎると、メンテナンスの対象外となり、ソフトの更新がされない。もう、攻撃者から見たらカモだ。そういう意味では、予算の制限のある学校に設置された古いPCなどは危険極まりない。そんな古いPCは絶対にネットへ常時接続すべきではない。そもそもWi-Fiにも対応していないかもしれないが、LANのケーブルを挿して、電源を入れたままにしてはいけない。使わないときは、電源を落として、ネットからも切りはなそう。そして、できればちゃんとメンテされているOSがインストールしているPCに切り替えよう。

(5) ワンクリック詐欺
正月に親戚のお家に新年の挨拶に伺ったら、おじさんがお願いがあるという。なんだろうと思ったら、普段使っているPCに変なウイルスに感染したという。ネットで対策方法を調べるとすぐに出てきた。詳細は忘れたが、ネットで記載されている通りに駆除したら、運良く退治できた。本人は変な画面は見ていないと言っていたが、解りやすい(笑)。そういうことにしておきましょう。子供達と話をしていても、ワンクリック詐欺の被害は蔓延していることに気づくことがある。ワンクリック詐欺は、まずは無視する。間違っても解約バタンを押下しない。解約のために個人情報を入力したりしない。そして、悪質なら証拠を残して警察に通報する不本意だけど、そんなことをいつも子供達に話をしている。

(6) 踏み台にされない=加害者にならない
サイバー攻撃の怖いところは、気づかないうちに加害者になりうることだ。つまり、単に善意の人間が被害を受けるだけではなく、第三者への攻撃に加担する加害者にされてしまうという悲劇であり、それが踏み台だ。世界には数百万代の踏み台があり、先述のDDoS攻撃に使われたりする。最近では、ネット対応のテレビや、ネット対応の監視カメラ、Wi-Fi対応のプリンターなどが踏み台のターゲットになる例もあるという。今後はIoTとして数百億台の機器がネットに常時接続する時代となる。システム的な監視・対策ツールが非常に重要だ。
(出典:Internet Watch、参考1)
3.2 対策ツール
(1) ファイアウォール
ファイアウォール(Firewall=FW)とは、火災の蔓延を防ぐ防火壁のことだ。サイバーの世界では、セキュリティを高めるために通過させる通信と通過させない通信を区別する装置だ。外部からの攻撃に対する防御に加えて、内側から外部にも不要な情報を送出しない仕組もある。具体的には次のようなタイプがある。
1) パケットフィルタ型:ネットワークレイヤやトランスポートレイヤでのプロトコルを制御するもの。例えば、IPからTCPUDPへの通信の許可や不許可を判断する方式だ。
2) スタティックなパケットフィルタ型:宛先や送信元のIPアドレス、ポート番号などを監視して不適切なパケットを拒否したり、廃棄したりする方式だ。
3) ダイナミックなパケットフィルタ型IPアドレスやポート番号などを監視て、IPパケットの内容に応じてダイナミックに通信の制御を行う方式だ。
(出典:Wiki、参考2)

(2) UTM
統合脅威管理(Unified Threat Management)の略だ。コンピュータウイルスやハッキングなどの脅威からネットワークを効率的かつ包括的に保護する管理手法だ。ファイアウォールVPNアンチウイルス、不正侵入防御(IDS・IPS)、コンテンツフィルタリング、アンチスパムなどの機能を総合的に処理する。有効だが、ライセンス期間終了時に更新しないと最新パターンファイルを更新されないために意味がない。
(出典:Wiki、参考3)

(3) WAF
通常ワフといい、Web Application Firewallの略だ。ウェブアプリケーション脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策だ。根本的な対策ではなく攻撃による影響を低減する運用面での対策だ。ウェブアプリケーションが攻撃されないための対策としてはWAFは有効だ。WAFを使うことで、脆弱性を悪用した攻撃からの防御、脆弱性を悪用した攻撃の検出、複数のウェブアプリケーションへの攻撃をまとめて防御、検出パターンに個人情報のパターンを設定すること個人情報の漏洩を防御する。WAFは、SQLインジェクションや、クロスサイトスクリプティング(XSS)インジェクション攻撃、パラメータ改竄に対応可能だ。しかし、FWで防げるポートスキャンやIPS/IDS防げるDoS攻撃やSYN flood攻撃には対応できない
(出典:Wiki、参考4)

(4) IDS/IPS
侵入検知システム(Intrusion Detection System)の略がIDSだ。IPSは侵入防止(Protect)システムだ。つまりIDS/IPSとは、不正なアクセスを検知して防御するシステムだ。FWを配置して不正アクセスを防ぐが、必ずしも全ての侵入を防げるわけではない。なりすましや防護の網をかいくぐってきた不正なアクセスを許すとデータの改竄やシステムの破壊、データ窃盗などのリスクがある。このため、IDSを用いて不正なアクセスの兆候を検知し、IPSが防御する。IDSには異常検知型とシグネチャ型がある。FWは通常トランスポート層までの情報までを扱うが、IDSはパケットに含まれる全データを確認する。異常検知型は、通信の量や種類をチェックし、通常業務ではありえない通信種別の偏りや、急激な通信量の増大、更には特定の通信相手以外との接続をチェックする。また、シグネチャ型は、不正アクセスを企てる者が内部情報へのアクセス権や管理権限を手に入れようとする手法の類似性を検出する。IPSは、IDSと連動して、通信遮断などのネットワーク防御を行う。ファイアウォールと連動して異常な通信を遮断する。
(出典:Wiki、参考5)

3.3 多層防御
多層防御(Defense in depth)は、サイバー攻撃への防御を下の図のように、入り口対策、内部対策、出口対策と構造化して対策する手法だ。軍事用語でDefense of depthと言うと縦深防御を意味し、水際作戦と対比される。水際作戦は敵と戦って壊滅させることを目的とするが、縦深防御は敵の攻撃を遅らせることを目的とする。つまり、多層防御は、相手の攻撃を完全に防ぐというよりは、各段階での攻撃に抵抗して、本丸への侵入を遅らせて、被害を最小限にとどめることを目的とする。
f:id:hiroshi-kizaki:20180310123427p:plain
(出典:KPMG、参考6)

3.4 組織的対応
(1) SOC
セキュリティオペレーションセンター(Security Operation Center)をSOCと略する。顧客または自組織の情報セキュリティ機器、サーバ、コンピュータネットワークを監視し、サイバー攻撃の検出や通知を行う組織だ。サイバー攻撃に対抗するには、これを組織的に監視する体制が重要だ。通信事業者などは自社でSOCを提供しているが、専門家の育成が困難な場合には、外部にアウトソーシングすることが多い。しかし、社外に依頼するには、自社のサーバ、OS、NW、DBのログを社外に提示することであり、これ自体がリスクとなり得る。自社でSOCを運営するか、外部にアウトソースするかは慎重な検討が必要である。
1) コスト:外部に依頼する場合は監視ポイントあたり年間数百万円の費用が生じる。
2) 情報管理:外部と守秘義務契約を契約する場合でも、顧客情報や営業上の秘密が外部に漏れるリスクがある。
3) 委託業務の範囲:外部のSOCからは検出した脅威情報の通知は受け取るが、その脅威への対応は顧客自身が対応する必要がある。
4) 人材育成:自社内でSOCを組織する場合、セキュリティ人材の育成が必要だ。
5) 人材流出:自社内でSOCを組織する場合、貴重なセキュリティ人材の適正な評価が必要だが、これが難しい。また、24時間365日の運営が必要なためブラックになりやすく、適切に待遇できない場合には、より待遇の良いセキュリティ企業に流出するリスクがあるう。
(出典:Wiki、参考7)

(2) CSIRT
CSIRTはシーサートと呼ぶ。Computer Security Incident Response Teamの略だ。コンピュータやネットでセキュリティ問題が発生した場合にその原因解析や影響範囲を調査する組織だ。CIRT(Cyber Incident Response Team)と呼ばれることもある。国際的には、セキュリティで最先端を進む米国カーネギーメロン大学にCERT/CCが1988年に設置された。CERTは登録商標だったので、一般的にはCSIRTが使われた。CSIRTの国際的な連合体はFIRST(Forum of Incident Response and Security Teams)と言う。日本では1996年にJPCERT/CCが発足した。2002年4月に内閣官房情報セキュリティ対策推進室内で発足したNIRT(National Incident Response Team)もCSIRTだ。CSIRTは通常次の6つのタイプに分けられる。
1) 組織内シーサート(Internal CSIRT):自組織や顧客に関係したインシデントに対応する。
2) 国際連携シーサート(National CSIRT):国や地域を代表して活動する。JPCERT/CCが代表例。
3) コーディネーションセンター(Coordination Center):他のCSIRTとの情報連携や調整を行う。
4) 分析センター(Analysis Center):インシデント分析やマルウェア解析、注意喚起などを行う。
5) ベンダチーム(Vendor Team):自社製品の脆弱性への対策や注意喚起を行う。
6) インシデントレスポンスプロバイダ(Incident Response Provider):組織内CSIRTの機能の一部を有償で請け負う。いわゆるセキュリティベンダーやSOCの事業者である。
(出典:Wiki、参考8)

3.5 分散型攻撃には分散型システムで対応
米国のセキュリティ会社アカマイ・テクノロジーズによると、2014年から2015年にかけて、DDoS攻撃の件数が2.5倍に増えたという。攻撃時のデータ転送量は数十~数百Gbps、DDoS攻撃1件当たりの被害額は約1700万円、解決までにはWebアプリケーション攻撃で平均27.7日、DDoS攻撃の場合でも同19.3日かかるという。大変な被害だ。特に大規模化、悪質化する分散型のDDoS攻撃に対抗するには、システムの分散化が有効だという。仮想通貨などを支えるブロックチェーン技術も分散化の技術だ。しかし、ブロックチェーン技術の難点は処理能力の増大だ。今後、コンピュータの処理能力が高まれば、ブロックチェーンを活用した各種トランザクション処理システムが普及するだろう。しかし、同時に攻撃側の処理能力も高まる。永遠の鶏と卵の課題かもしれない。
f:id:hiroshi-kizaki:20180310131408p:plain
(出典:日経ビジネス、参考9)

おわりに
今回は、サイバー攻撃の課題とこれへの対処について振り返ってみた。契機はNEMの流出だ。コインチェックには、自分も1年ほど前に3万円入金してトライした。当時は、3万円までなら本人証明が不要だったからだ。しかし、その後、本人証明が必要となり、バブルが発生した。残念ながら自分はそのバブルには乗り切れなかったが、ドキドキ感は堪能できた。サイバー攻撃に話題を戻すと、サイバー攻撃は日々行われていて、必死に対応しているのが現状だろう。コインチェックの社内体制の不備を非難するのは誰でもできるが、一旦狙われると被害を逃れるのは大変だ。しかし、サイバー攻撃に負けてはいけない。そして、チャレンジは続けなければいけない。懸念するのは、かつてのSNSと同様に仮想通貨の分野でも日本の企業を日本の市場から退場させ、結果的に外資系の企業に折檻される事態ではないだろうか。出る杭には厳しい日本社会だが、ベンチャーを育てるという温かい気持ちを一方でもっていないと、すべて海外の事業者に牛耳られることになりかねないと心配するのは自分だけだろうか。海外勢は日本市場への参入と席捲を虎視眈眈と狙っていることを忘れてはいけないと思う。
以上

参考 1:https://internet.watch.impress.co.jp/docs/special/1069701.html
参考 2:https://ja.wikipedia.org/wiki/ファイアウォール
参考 3:https://ja.wikipedia.org/wiki/統合脅威管理
参考 4:https://ja.wikipedia.org/wiki/Web_Application_Firewall
参考 5:https://ja.wikipedia.org/wiki/侵入検知システム
参考 6:https://home.kpmg.com/jp/ja/home/insights/2015/05/it-risk-cyber-finance.html
参考 7:https://ja.wikipedia.org/wiki/セキュリティオペレーションセンター
参考 8:https://ja.wikipedia.org/wiki/CSIRT
参考 9:http://special.nikkeibp.co.jp/atcl/NBO/16p/041200006/