脆弱性の公表からわずか1日で攻撃が開始される現状
こうした隠密的な攻撃にどのように対処していけばいいのか。修正プログラムを最新のものにする、パッチをあてるなどは当然としながらも、辻氏は「それよりも前にシステムの現状を把握することが重要である」と指摘する。
ネットワークにどのようなクライアント、サーバが存在していて、どんなアプリケーションが何のバージョンで使われているかを把握することが必要だという。その上で、既知の脆弱性なら修正プログラムやパッチで対応し、未知の脆弱性の場合はMicrosoft Fix itなどのツールで脆弱性の影響を受けにくい緩和策を講じる。
しかし、これらの方法にも限界があると辻氏は警告する。最近は脆弱性の存在が公表されてから実際の攻撃に移るまで実質1日程度といわれ、脆弱性情報を入手して対処しようとする頃には既に侵入されている可能性が高い。それほど攻撃はスピードアップしているのだ。
「脆弱性の検証と対応のハンドリングを行って運用に伝えるプロセスを持つような、しっかりとしたセキュリティの専門チームを擁する企業でも、やりとりをしている間に攻撃され、100個以上のバックドアを仕掛けられたケースもある」(辻氏)
従来の常識は捨ててマルウェア感染を前提に予防することが必要
また、最近は水飲み場型攻撃(Watering hole Attack)も増えているという。放っておいてもターゲットとなる人が多くアクセスしてくれるウェブサイトなどをこっそり改ざんし、マルウェアを仕込むサーバに誘導。その後はお決まりのドライブバイダウンロードによってマルウェアを感染させ、DoSの踏み台にしたり個人情報を盗んだり、さまざまな使い方をする。
水飲み場型攻撃の概要
ならばどのように対策をすればいいのか。しかし辻氏は、「怪しいファイルは開かない。怪しいサイトにはアクセスしない。パターンファイルは最新にする、といった従来の基本は全く通用しない。気をつけること以外にやるべきことはない」と身も蓋もなく突き放す。
怪しくないサイトがこっそり改ざんされて、いつの間にか怪しいサイトに豹変することはもはや珍しいことではなく、パターンファイルをいくら最新にしても追いつかないのが現状だからだ。よって、辻氏は「危険なサイトにアクセスして、マルウェアに感染することを前提とした対策を考えること」という180度転換した方法を明かす。
風邪のウイルスが体に侵入しても免疫力を高めて症状が悪化しないようにし、また感染した時のために薬を常備したり行きつけの病院を決めておいたりする「予防」のように、会社のネットワークにマルウェアが侵入したらできる限り早期に発見し、迅速に対処できるよう普段から準備をしておくべきだという考えだ。
そのために、予防への意識改革が必要だという。例えば、予防医学には3段階に分かれた考え方があり、それが情報セキュリティにも応用できるという。
第1次予防は、病気を未然に防ぐ行為で、生活習慣の改善(健康増進)と予防接種(特異的予防)などがある。第2次予防は、病気を早期に発見・処置する行為。早期発見、早期処置によって治療困難やコスト増を防ぐ意味がある。第3次予防は、社会復帰のための行為で、機能低下防止、治療、リハビリによって機能回復と再発防止を目指す。
つまり、いくら医学が進んでも病気は100%未然に防ぐことは不可能なため、生き残ることを目的に対処することが重要だというわけだ。
「攻撃者から財産を守るために外壁をいくら高くしても、一旦侵入を許せば後はなすすべがないというのがセキュリティ対策の現状。そのために段階を経て守る準備が必要となる」
攻撃者は脆弱性を利用してコンピュータに侵入することが本当の目的ではなく、その後の情報窃取やシステムの破壊などが最終目的であり、その手前で発見したり阻止したりすることができれば、勝つのは無理としても負けにはならないというのが辻氏の考え方だ。
脆弱性を利用した攻撃に対しては、制御の奪取、マルウェアの設置、情報の窃取のどこかで阻止できれば負けにはならない
