問題
政府機関を狙った攻撃には国家がらみの技術がよく使用さ れており、高度かつ巧妙で持続的な犯罪者集団(Advanced Persistent Threat(APT)グループ)が絡んでいるケースが 多々見られます。
APTグループは安易なターゲットを狙わず、慎重に対象を選んで、
侵入を果たすまで執拗に攻撃を繰り返します。防御が極めて 難しいネットワークのセキュリティ・ホールに狙いを付け、必要 に応じてカスタム・ツールまで作成します。
政府機関を狙った攻撃で最も一般的な手法の1つは「フィッ シング」です。2017年6月にはデンバーの公立学校(米国コロラ ド州)のシステムに侵入し職員名簿を入手した犯罪者が、
フィッシング詐欺を仕掛けて職員から4万ドルを盗み取りま した。この攻撃では、ネットワークのセキュリティの最も脆弱 な部分である「人的要素」が狙われました。こうしたケースの フィッシング・メールは、被害者と普段からやり取りがあるか、
被害者が信頼しているアドレスから送信されてきたように装っ ています。
クラウド・アプリケーションではアカウントの乗っ取りが頻繁 に発生します。昨年初めにイギリスの多くの政治家が受けた 電子メール・アカウントの侵害でも乗っ取りがあり、総当たり の攻撃(ブルートフォースアタック)では首相のアカウントも 被害に遭っていました。
また、2017年6月にウクライナ国営の銀行、電力網、空港で 発生した事件でも明らかなように、世界的に展開されたランサ ムウェア「NotPetya」の攻撃では政府のインフラもターゲット になっています。この攻撃は国のインフラの運営を妨げただけ でなく、民間工場が稼働停止に追い込まれて国の経済も大きな ダメージを受けました。
こうした脅威は軽視できません。結果として、攻撃者の要求を 呑まざるを得なくなる、経済が悪化する、国家主権が侵害さ れるなどの多大な影響があるからです。新しい技術の登場が、
政府職員にとっては悪夢になり得るのです。
アドバイスと推奨事項
次世代の多様なフィッシング攻撃を阻止するためには、多次元 の新しいアプローチが求められます。具体的には、電子メール のインフラを保護し、高精度のアンチスパム機能を備え、電子 メールに潜む各種のウイルスやマルウェアから政府機関を保護 できる必要があります。
イギリス議会で起きたようなアカウントの乗っ取りを政府機関 で防ぐには、ネットワークとデバイスの情報を組み合わせて利用 するセキュリティ・ソリューションが不可欠です。しかも、ネット ワークやエンドポイントのセキュリティ状況を深いレベルで検査 できる必要があります。
現行の技術は必ずしも十分なセキュリティを確保できず、導入が 困難な面もあるため、及第点を取れる対策は多くありません。
ユーザの操作に影響がなく、動作を意識せず簡単に使用できる 新しい技術が必要です。また、不正アクセスを阻止する決断を、
決定論的な判断からリアルタイムで行えることも重要です。
ゼロデイ攻撃には為す術がないという時期もかつてはありま したが、もはやそういう状況ではありません。近年は未知の 攻撃を検出してブロックできる技術も開発されています。そう した技術は、特定の政府機関に狙いを定め、ランサムウェアを 使った攻撃を開発するAPTグループへの対抗手段として使わ れています。
政府の重要インフラはサイバー攻撃への備えを考慮せずに構築 されているため、多くの脆弱性が見つかりますが、最近はそう したインフラを狙った攻撃が増加傾向にあります。
しかし、現在は専用のソリューションが提供されており、それを 利用すればセキュリティを確保しながらインフラをシームレス に運用できます。
過去 1 年間にデータ侵害
今後の見通し
概要
「今日は責任から逃れたとしても、明日の責任から逃れることはできない」とは、
エイブラハム・リンカーンの言葉です。これはサイバー・セキュリティの分野でも通用 する戒めでしょう。
このセクションではネットワークやデータに関して今後発生が見込まれる脅威を 確認し、次のセクションではどのように備えればよいのか説明をします。
クラウドとモバイルがセキュリティ の主な対象に
モバイル・デバイスは、今やどの国でもITのエコシステムや事業活動に組み込まれて います。しかしほとんどの組織で言えることですが、モバイル・デバイスのセキュリティ 対策が、保存されている資産の価値に見合ったレベルに達していません。モバイルの オペレーティング・システムと技術には今後も脆弱性が避けられないと予想できるため、
組織ではモバイル・マルウェアや通信傍受に備えて高度な保護機能を導入する必要 があります。
モバイル・マルウェア(特にモバイル・バンキング・マルウェア)も同様で、最近注目の MaaS(Malware-as-a-Service)プラットフォームを利用すれば、技術的なスキルが 高くなくてもマルウェアを使用し、簡単に攻撃を仕掛けることができるため、MaaS の進化と成長に合わせて今後も増加を続けると考えられます。
また、近い将来、モバイル向けのマイニング・ツールが登場し、仮想通貨の不正な採掘に 利用される事態も予想されます。現時点でマイニング・ツールの影響を受けてい るのはWebサーバとPCですが、モバイルのセキュリティ対策が進んでいない現状 では、新たな攻撃チャネルとして利用される可能性が高いと考えられます。
77 %
自社のセキュリティ・チーム
が現在のサイバー・セキュリ
ティの課題に対応できてい
ないと感じている IT エキス
パートの割合
21クラウドへの移行
企業は競争の激しい世界でビジネスの収益性をこれまで以上に高めたいと考えてい るため、社内のデータがクラウドへ移行するペースは今後ますます速くなっていくで しょう。
即応性とコスト削減のメリットがあるクラウドは多くの企業で利用されていますが、
比較的新しい技術であり、未だ進化の途上といった状況です。このため、企業の システムの奥深くへアクセスを試みるハッカーにとっては、より多くのバックドアを 利用できる状態になっています。
このような状況下で、必要なセキュリティのレベルに広く誤解が生じており、セキュ リティの責任共有モデルについても理解があまり進んでいません。つまり、データ侵害 が発生しやすい状態になっているのです。
2017年にチェック・ポイントのインシデント対応チームが処理したセキュリティ・イン シデントの半数以上はクラウド関連で、さらにその半数以上がSaaSアプリケーション またはホスト型サーバのアカウントの乗っ取りでした。特にクラウドのファイル共有 サービスの利用が増加している結果、クラウドに移行する組織の懸念事項は今後も データの漏洩が多くを占めることでしょう。
IaaSだけでなく、利用が拡大しているOffice 365やGoogleのG SuiteなどSaaS ベースの電子メールもサイバー犯罪者の魅力的な対象であり、2018年はターゲット となるケースがますます増加すると見込まれます。
さらに、脅威への対策が不十分だと重いペナルティにつながる可能性があり、GDPR など地域ごとの新しい規制に準拠していない企業には罰則が課される場合も予想さ れます。
50 %
チェック・ポイントのイン
シデント対応チームが処理
したクラウド関連のセキュ
リティ・インシデントの
割合
22ネットワークのセキュリティ確保
ランサムウェアは犯罪者にとっては非常に効率的な恐喝ツールであり、さらに破壊的な目的にも利用できます。一般の消費者から 企業まで、あらゆるタイプのユーザに利用できるランサムウェアは今後も被害が拡大すると考えられ、WannaCry、NotPetya、Bad
Rabbitよりさらに大規模で組織だった世界的な攻撃が発生する可能性もあります。
また、コンピュータのロックを解除する身代金を低額に抑える代わりに、マルウェアの拡散を被害者に要求する、「友達紹介」方式と も呼べる新たな戦略が出てくるケースも考えられます。
オペレーティング・システムのセキュリティが向上すれば、その脆弱性を狙った 攻撃は減少することになるでしょう。ただしその一方、人的エラーやソーシャル・
エンジニアリングを悪用してランサムウェアの拡散を図る、基本的なハッキング・
テクニックの利用が増える状況が予想されます。
さらに、金銭を奪うことができるランサムウェアの特性を活かし、ダークWeb ではRaaS(Ransomware-as-a-Service)などの小規模な闇ビジネスがすで に始まっています。このようなプラットフォームを提供するビジネスは、通常の コンピュータ・ネットワークに加えてモバイル・デバイスやIoTデバイスもターゲット として拡大を続けると考えられます。
GDPR の概要
EUの新しい一般データ保護規則(GDPR)は、世界各国の多くの組織に広範囲で影響を及ぼします。GDPRの核心部分では、
個人情報の取り扱いに関する「EU市民の多くの権利」が列挙されています。このリストの範囲は膨大に及び、準拠するために は適用、ポリシー、手続きに大幅な修正が必要となるでしょう。このため、GDPR
は猶予期間や罰則も含めて、EU市民のデータを取り扱うあらゆる組織の大きな 負担となるはずです。
しかしながら新しい規制であるため、監査がどのように行われるのか参考にで きる前例がありません。しかも、まだ固まっていない部分が多く残っている状況 です。例えばGDPRでは、「EUのデータ保護法の施行で積極的な役割」を果たす 欧州データ保護会議(EDPB)の設置が定められています。しかし本書の発行 時点ではEDPBがまだ正式に承認されておらず、細目も決まっていません。
とはいえすでに発効の時期が迫っているため、影響を受ける組織はGDPR戦略の導入に向けた取り組みを開始せざるを得ない 状況です。具体的には、人員の配置、データの監査と分類、リスクの分析、アクティビティの記録とデータ侵害の特定、基本的な 管理手法など、各種の準備が挙げられます。
Lorem ipsum