弊社ブログでも、何度も取り上げてきた「標的攻撃型ウィルス」ですが、その進化は止まらない模様です。

過去ブログ：新種のサイバー攻撃に備える 〜 感染したらもうお終い

この過去ブログにも記載しましたが、従来は、下記のように有名企業や組織を騙り、不特定多数の人間を対象にしてウィルスを忍び込ませようとしていました。

・請求書/注文書の送付
・宅配便の通知メール
・日本郵政からのメール
・マイクロソフトからのプロダクトキー不正利用メール

こんなメールに騙される人間がいるのか ? と思われるほど、変な日本語で、中には、未だに英文の請求書「INVOICE」と記載したメールを送り付けてくる犯罪者もいます。

その後は、段々と「日本語らしい」表現にはなって来ましたが、相変わらず、変な「中国語の漢字」が混ざっていたりして、直ぐにウィルス・メールと言う事が解るような状況でした。

しかし、現在では、このような素人ではなく、標的として狙った企業に対して、次のような手順で攻撃を仕掛けるプロの犯罪者がいるようです。

・標的とする企業を決定する
・標的企業と取引関係にある企業を調査する
・取引関係にある企業への侵入を試みる
・取引先企業に侵入したら社員情報やメール・アドレスを盗み取る
・盗み取った情報を使用して標的企業にウィルス・メールを送信する
・標的企業が、ウィルス付き添付ファイルを開き感染する

これも、ブログで何度も言っていますが、これは、もう「スパイ」です。いくらプロの犯罪者とは言え、ここまで時間を掛け、用意周到に侵入を試みる犯罪者がいるのでしょうか ?

標的とした企業に侵入させるウィルスも、年を追う毎に変化しています。「標的攻撃型ウィルス」が出回り始めた頃は、大きくは、次の2つを目的にしたウィルスが、その大半を占めていました。

・個人情報の収集を目的にしたウィルス
・Webサイトの乗っ取りを目的にしたウィルス

どちらも、最終的には、ID/パスワード、あるいは銀行口座情報等を盗み取り、最終的には、金銭を不正に引き出すことを目的にしていました。

しかし、近頃では、2017年5月に、世界中に大流行した「ランサムウェア」のように、PCやサーバーの内部データを暗号化し、ビットコインで身代金を要求する形になって来ています。

まあ、結局の所、最終的に「金銭」を騙し取ったり、要求したりする事には代わりはないのですが・・・

そこで、今回は、犯罪者が、どのような手口で内部に侵入しようとしているのかを紹介すると共に、現在考えられる最低限の防衛方法を紹介したいと思います。

●最近の攻撃手法
●攻撃手口の紹介
・侵入事例1：関係者の業務メールの盗取
・侵入事例2：段階を踏んで信用させる
・侵入事例3：添付ファイル偽装
・侵入事例4：水飲み場攻撃
●防衛方法の紹介

それでは今回も宜しくお願いします。

■最近の攻撃手法

少し古いデータになりますが、警視庁の統計情報によると、平成26年(2014年)の上期は「216件」だった「標的攻撃型ウィルス」でしたが、同年下期になると急激に増加し、翌平成27年(2015年)上期には、前年同期比で「581%」も増加した事が解っています。

そして、警視庁では、これらの被害報告件数は「氷山の一角」であり、実際には、もっと被害が多いと考えている様です。

多くの企業/組織では、ウィルスに感染しても、世間体を気にして、影響範囲が限定的であれば、わざわざ警察等に届け出ません。

さらに、実際はウィルスに感染されているにも関わらず、気が付かない企業/組織もあると推測しているので、実際は、この数値よりも、はるかに多いのではないかと推測しているそうです。

「標的攻撃型ウィルス」として、現在でも広く行われている攻撃方法は、前述の通り、メールに、ウィルスに感染させるためのファイルを添付し、相手に送りつける方法です。

このような「ウィルス添付メール」による攻撃は、何年も前から繰り返し行われて来ていますが、その手口は、次の様に日々進化を遂げています。

【 段階1 】

海外で使用したメールを、翻訳ソフトウェア等を使って日本語に変換し、そのまま不特定多数のメール・アドレスに送信する。

しかし、変な日本語や中国語の混在により、ほとんど被害を受ける人はいなかった。

【 段階2 】

攻撃者も、「このままではイカン」と気が付き、文面を工夫したり、あるいは実際に使われているメールや郵便物を参考にしたりして、不自然な日本語を改良し出しました。

この時点で世間に出回ったのが、日本郵政や宅配便からのメールを騙る「ウィルス添付メール」による攻撃です。

【 段階3 】

そして、次の段階になると、最初から「ウィルス添付メール」を送りつけるのではなく、最初は「無害なメール」を送信し、何回かメールのやり取りをして相手を信用させてから「ウィルス添付メール」を送りつける方法です。

この手法は、「やり取り型メール」とも呼ばれ、平成24年(2012年)頃から出回り始めた攻撃方補です。

この方法で攻撃された場合、撃退するには、かなり高度なスキルが要求されます。詳しい内容は、後述する事例でも紹介します。

【 段階4 】

そして、さらに攻撃は進化して行き、今度は、「添付ファイル」自体を改良するようになりました。

メールの文面を工夫し、複数回のやり取りで相手を信用させても、「添付ファイル」が「いかにも」の場合、誰も「添付ファイル」をクリックしません。

例えば、セキュリティに対するスキルが少しでもあれば、拡張子「exe」が付いた実行形式の添付ファイルには、ウィルスが仕込まれていると解っているので、このような「exeファイル」を開こうとする人はいないと思います。

そこで、ファイルの拡張子に手を加え、「exeファイル」を「pdfファイル」に見せかけたり、あるいは添付ファイルのアイコンの画像を「pdf」風に見せかけたりする手口を使うようになりました。

【 段階5 】

そして現在では、「水飲み場型攻撃」と呼ばれている攻撃手法を取るようになって来ているそうです。

これは、アクセス数が多いWebサイトに罠を仕掛け、標的とした企業の社員がアクセスした場合のみ、ウィルスを送りつける手法です。

まさに、「水飲み場」で獲物を待ち構えて、餌を狩る猛獣のような攻撃手法です。

このように、ウィルス、並びに攻撃者の手口は、日々進化を遂げています。

昔からの言い伝え、「怪しいメールの添付ファイルは開かない!!」だけでは、もう攻撃を撃退出来なくなって来ています。

攻撃される私達も、防御方法を進化させる必要があると思います。

そして、防御方法を進化させるためにも、まずは、攻撃者の手口を知っておく必要があります。「敵を知り、己を知れば・・・」と言うヤツです。

次章で、犯罪者の攻撃手口を紹介します。

■攻撃手口の紹介

前章に記載した「敵を知り、己を知れば・・・」と言う言葉、恐らく、誰でも知っている言葉だと思います。

これは、紀元前500年位前、中国の春秋時代の武将/戦略家「孫武(そんぶ)」が、兵法書「孫子」に残した言葉とされています。

この言葉は「孫子の兵法」とも呼ばれていましたので、私は、最初「孫子と言う人物が書いた兵法書」だと思っていました。

まさか、『 孫武と言う人物が書いた兵法書が「孫子」』だとは、思いも寄りませんでした。情けない・・・皆さんも、それくらいの事は知っていましたよね ?

さて、前述の通り、まずは、攻撃者が、どのような手口で攻撃を仕掛けてくるのかを理解しないと、どれが本当の攻撃なのか判断することは出来ません。

とは言え、現在では、本当の業務メールと、犯罪者からの「ウィルス添付メール」の区別は難しさを増す一方ですが・・・

取り急ぎ、今回、4種類の手口を紹介します。

・侵入事例1：関係者の業務メールの盗取

この手口は、単に、メールの文面をコピーするだけではありません。

標的(ターゲット)企業にウィルスを感染させるため、まずは、関係先企業や組織に侵入し、ターゲット企業との間で、やり取りしたメールを横取りします。

そして、横取りしたメールを元に、例えば、『 先程送付した資料に誤りがありましたので、修正したデータを添付致します。内容をご確認の上、再度、ご連絡下さい。』と言うようなメールをターゲットに送付します。

そして、当然、攻撃者が送るメールに添付したファイルには、ウィルスが仕込まれており、このファイルを開いた時点で、相手のPCは、ウィルスに感染してしまう事になります。

この事例は、想像でも何でも無く、実際に起きた事例で、警視庁が発表した広報資料「平成24年中のサイバー攻撃情勢について」にも、その内容が掲載されています。

この広報には、中国地方の企業「X社」から、国内の先端科学を取り扱う組織(※CCI)宛に、「標的攻撃型ウィルス」が添付されたメールが送信された事例が掲載されています。

この事例では、平成24年2月、「X社」の社員が、取引先企業にメールを送信した11時間後、該当メールと同じ内容のメールが、「X社」と業務上の関係があった「CCI」の構成員宛に送付された事が確認されています。

そして、さらに3月には、中国地方にある「Y社」から、やはり「CCI構成企業」宛に、ウィルスが仕込まれた添付ファイル付きメールが送信されていたそうです。

3月の攻撃を調査した所、「Y社」の社員が、「X社」の部長宛に送付したメールが盗取され、「X社」と業務関係がある企業宛に、「ウィルス添付メール」が送信されていたそうです。

これら添付ファイルに関しては、後述しますが、全て「パスワード・ロック付き圧縮ファイル」となっており、このウィルスに感染したPCには、タイとアメリカのIPアドレスに接続するプログラムがインストールされていたそうです。

これらの事から、犯罪者は、「X社」のPCに忍び込み、該当PCに保存していたメール・アドレス宛に、「ウィルス添付メール」を送信していた事が判明したそうです。

このように、犯罪者は、取引先企業からのメールを装って、「ウィルス添付メール」を送信して来ます。

※CCI：「Counter Cyber Intelligence」の略。警察と、日本国内において先端科学技術を保有する事業者との間で、サイバー攻撃に関する情報共有を目的に構築した「サイバーインテリジェンス情報共有ネットワーク」と呼ばれる組織の事。

・侵入事例2：段階を踏んで信用させる

次は、段階を踏んで信用させ、最後に「ウィルス添付メール」を送ってくる「やり取り型メール攻撃」の手口を紹介します。

「やり取り型メール攻撃」の場合、これまでの所、次のようなケースの事例が報告されています。

・採用活動を装った攻撃
・製品へのクレームを装った攻撃
・不正行為告発を装った攻撃

特に、多いのが「採用活動を装った攻撃」で、警察庁によれば、2013年に報告があった「やり取り型メール攻撃」の内、約50%が、この攻撃手法だったとされています。

「採用活動を装った攻撃」の場合、攻撃者は、まず企業/組織が公開しているWebサイトの問い合わせフォーム（問い合わせページ）や専用アドレスに対して、採用に関する質問メールを送信します。

攻撃者は、最初のメールではファイルは添付せず、担当者のメール・アドレス等を聞き出し、何度かメールをやり取りして本当の採用希望者だと思わせた後、履歴書に見せかけたウィルス付きファイルを送信します。

そして、この時も、攻撃者は、「労力を惜しみません」。ウィルスを仕込んだファイルを圧縮して添付ファイルにし、添付ファイルの名前を「履歴書.zip」にします。

さらに、別の事例では、標的とした企業に実在する役員クラスの人物を、「紹介者」として、メール本文に記載した攻撃メールもあったそうです。

この役員クラスの「紹介者」の情報に関しては、ご丁寧にも、該当企業のホームページに掲載されていますので、攻撃者は、簡単に情報を入手する事が出来ます。

このような手口を使われたら、もう防御のしようがありません。

また、「製品へのクレームを装った攻撃」では、上記と同様、ターゲット企業の「サポート窓口」等に対して、製品に対するクレーム・メールを送り付け、担当者と何度かやり取りを行った後、「証拠写真」の画像と見せかけたウィルス付きの添付ファイルを送る手法を取る様です。

「不正行為告発を装った攻撃」も、ほぼ同様です。ターゲット企業の問合せメール・アドレス宛に、「該当企業の不正行為を告発」旨を記載したメールを送信します。

そして、何度かのメールでのやり取りの後、「告発文」と思わせた、ウィルス付き添付ファイルを送って、ターゲット企業にウィルスを感染させる手法となります。

もう、こうなると手の打ちようがありません。いくら社員に対してセキュリティの教育を行ってもウィルス感染を防ぐのは難しいと思います。

・侵入事例3：添付ファイル偽装

ウィルスを仕込んだ添付ファイルも進化しています。

その昔、初期のウィルス付きメールでは、直接、実行形式ファイルである「exeファイル」を送りつけたり、「マクロ・ウィルス」と呼ばれるウィルスを仕込んだ、ExcelファイルやWordファイルを送ったりしてました。

しかし、世間一般のビジネス・パーソンの間に、実行形式ファイルが添付されたメールにはウィルスが仕込まれている、あるいは知らない人からのExcel/Wordファイルは開かない、という事が常識として広まったので、古くからの攻撃手法は使えなくなりました。

そこで、攻撃者が考えだしたのが、次の4つの新しい攻撃方法です。

(1)「RLO」手法

「RLO」とは、例の通り、IT業界における3文字英語なのですが、「Right-to-Left Override」の略語となります。

そして、「RLO」とは、ちょっと難しいのですが、文字コードの一種「ユニコード(Unicode)」の制御文字で、通常は、「左から右に流れる」文字表示の順番を、その逆の「右から左に流れる」様に変更するための制御文字になります。

日本も、その昔、太平洋戦争の頃までは、文字は「右から左」に流れる書き方が主流でしたし、アラビア語などは、今でも「右から左」に流れる書き方をしています。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

少し脇に逸れますが、日本の場合、元々、文字の「横書き」文化は存在せず、唯一、看板や店の名前等が「横書き」になっていたのだそうです。

日本における文字の書き方は、「右から左」方向に、「縦書き」で書くのが決まりとなっています。

ところが、明治時代以降、西洋文化が流入してくるにつれ、「左から右」の「横書き」の英語やアラビア数字が入って来ました。

このため、明治時代以降は、文字が、「右から左」方向に書かれたり、「左から右」方向に書かれたりと、バラバラな状態になってしまったそうです。

そこで、戦時中の昭和17年(1942年)、文部省(現：文部科学省)の主導で、「左から右」方向への「左書き」へ統一する方策が打ち出されたそうです。

しかし、時代が悪く、欧米文化への追随だとして反対する声が大きく、「左書き」は中々浸透せず、結局、戦後、新聞各社が「左書き」に舵を切った事から、紙幣を初め、多くの文字が「左書き」になって行ったのだそうです。

多くの人が、戦後、占領軍の指導で「左書き」になったと考えていると思いますが、実は、日本人が、自ら「左書き」にする事を決定したのだそうです。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

と言うことで、話を「RLO」に戻すと、この制御文字を使うと、例えば「Tmpcfdp.exe」と言うファイル名を、「Tmpc」の部分は、そのままにして、それ以降の文字の順番を入れ替えることで、「Tmpcexe.pdf」と言うファイル名に変換することが出来てしまいます。

弊社のお客様でもある「IPA(独立行政法人 情報処理推進機構)」の報告に寄れば、2012年10月〜2013年12月までの14ヶ月間で確認した「標的攻撃型ウィルス」の内、約6%が、この「RLOウィルス」だった事が確認されているそうです。

一般的に、pdfファイルやテキスト・ファイル、あるいは画像ファイル等は、ウィルスに感染しないファイルとされていますので、実行形式ファイルを、pdfファイルに偽装して、添付ファイルを開かせる攻撃手法になります。

----------------------------------------------------------------------

(2)アイコン偽装

この「RLOウィルス」と同じ理由で、添付ファイルのアイコン画像を、pdf等、安全なファイルのアイコン画像に変えるケースも存在します。

右の図は、本当は、実行形式「exe」ファイルのデータを、pdfのアイコン画像に偽装した事例となります。

そもそも、Windows OSでは、「フォルダ・オプション」の初期設定が、「登録されているファイルの拡張子は表示しない」になっています。

このため、ファイル名とアイコン画像だけを見て、安全なファイルと誤解してしまうケースが数多く見受けられるそうです。

さらに、この攻撃方法では、このWindows OSの「クセ」を利用した、次のような攻撃も確認されています。

この攻撃では、ファイル名を「Abstract.doc△△△△△.exe」とします。(△：空白）

つまり、ファイル名と拡張子「exe」の間に、空白を挿入します。

そして、アイコン画像を「Word」の画像に変更します。

そうすると、添付ファイルは、アイコンはWordとなり、ファイル名も「Abstract.doc」部分しか表示されなくなります。

が・・・その実態は、ウィルスを感染させるための実行形式「exe」ファイルなのです。

----------------------------------------------------------------------

(3)ショートカット・ウィルス

皆さん、「ショートカット」ってご存知ですよね。

通常、「ショートカット」とは、PCのデスクトップに、プログラムのアイコンだけを設置し、このアイコンをクリックするだけで、簡単にプログラムを起動させる仕組みの事です。

つまり、「ショートカット」は、プログラムを起動させる事が出来るので、実行形式ファイルと同等の機能がある事になります。

さらに、前述の通り、フォルダ・オプションを変更して拡張子を表示させても、「ショートカット」に関しては、拡張子「lnk」が表示されないので、先の実行形式ファイルよりも危険性が高いとも言われています。

このため、攻撃者は、「ショートカット」におけるプログラムの実行方法を記載した「リンク先」に、ウィルスをダウンロードするための「スクリプト(命令文)」を設定して置きます。

その後、PCの利用者が、「ショートカット」をクリックすると命令(スクリプト)が実行され、PC内にウィルスを感染させるためのプログラム(exeファイル)がダウンロード、および実行され、最終的には、該当PCが、ウィルスに感染してしまうことになります。

一般の人はもちろん、セキュリティを意識してPCを使っている人も、この「ショートカット・ウィルス」については、ほとんど知らないと思います。

特に、USB内に、この「ショートカット・ウィルス」を仕込んでおくケースでは、PCにUSBを差し込み、エクスプローラーでUSBをクリックするだけで感染してしまので、注意が必要と言われています。

これは、Windowsのエクスプローラーの脆弱性を突いた攻撃で、エクスプローラーがUSBを参照しただけ、実際のファイルを開かなくても、ウィルスに感染してしまうと言うものです。

その他にも、この「ショートカット・ウィルス」による攻撃事例は沢山あるようですので、今後は、「ショートカット」にも注意する必要があります。

----------------------------------------------------------------------

(4)圧縮ファイル

添付ファイルについての最後は、「送付されてくるウィルスを仕込んだ添付ファイルは、圧縮ファイルとして送付されてくる。」と言うことです。

これは、ウィルス対策ソフトウェア(アンチウィルス・ソフトウェア)の検知を回避することを目的としています。

ウィルスを仕込んだ添付ファイルが非圧縮ファイルの場合、アンチウィルス・ソフトウェアが、添付ファイルをチェックして、添付ファイルにウィルスが潜ませてあると警告を発します。

しかし、圧縮ファイル、特に、パスワード付き圧縮ファイルの場合、アンチウィルス・ソフトウェアは、ファイルの中身をチェックできないので、そのままチェックをすり抜けてしまいます。

単に圧縮されたファイルであれば、アンチウィルス・ソフトウェアの種類にもよりますが、多段階の圧縮が行われていても、ウィルスを検知出来るソフトウェアも有ります。

そして、アンチウィルス・ソフトウェアの検知を回避し、PC利用者が、不用意にも圧縮ファイルを解凍してしまった場合でも、余程の事が無ければ、ウィスルには感染しないと思います。

ウィルスに感染するのは、ファイルを解凍し、解凍したファイルを開いた時です。

ちなみに、前述の「余程の事」とは、次のようなケースとなります。

・PCにアンチウィルス・ソフトウェアを導入していない
・アンチウィルス・ソフトウェアを導入していても、定義を最新に更新していない
・Windowsを最新に更新していない

まあ、普通の運用を行っていれば、ウィルスを仕込んだ圧縮ファイルを解凍しただけでは、ウィルスには感染しないと思います。

・侵入事例4：水飲み場型攻撃

攻撃事例の最後は「水飲み場型攻撃」と呼ばれる攻撃手法で、近頃、攻撃件数が増えてきている手口になります。

この攻撃手法は、2012年にアメリカのセキュリティ・ソフトウェア開発会社「RSAセキュリティ」が始めて確認した、新たしい攻撃手法です。

これまで紹介した手口は、全てメールを使った攻撃方法ですが、これはWebサイトに「罠を仕掛ける」方法です。

わざわざ説明しなくても解ると思いますが、この「水飲み場型攻撃」は、ライオン等の猛獣が、水を飲みに来る獲物を狙うのと同様、待ち伏せ攻撃となります。

つまり、攻撃者は、次の3つの段階を踏んで、待ち伏せ攻撃を仕掛けて来ます。

段階1：ターゲット企業の社員が頻繁にアクセスするWebサイトを推測する。
段階2：該当Webサイトを特定したら、ターゲット企業の社員がアクセスした時だけ、ウィルスがダウンロードされるように、Webサイトを改ざんする。
段階3：ターゲット企業の社員がWebサイトにアクセスした場合、該当社員のPCにウィルスがダウンロードされる。

まさに、「Webサイト ＝ 水飲み場」での待ち伏せ攻撃です。

さらに、攻撃者は、罠を仕掛けるWebサイトのアクセスログを調査して、ターゲット企業の社員がアクセスしているか否かをチェックしたり、Webサイトに複数回アクセスしても、最初の1回だけウィルスがダウンロードされるようにしたりする等、事前準備やバレない対応を施す等、準備万端、怠りない様です。

加えて、「水飲み場型攻撃」では、Microsoft社が提供するウェブ・ブラウザ「Internet Explorer(IE)」の脆弱性を突く「ゼロデイ攻撃」を仕掛けてくるので、いくらPCやアンチウィルスを、最新の状態に保っていたとしても、攻撃を防ぐことは不可能なのだそうです。

もう完全に「お手上げ」状態です。

■防衛方法の紹介

ここまで、「標的攻撃型ウィルス」に関して、様々な攻撃事例を紹介してきましたが・・・どうですか ? この様な攻撃を防御出来ると思えますか ?

私は、正直、ここまで執拗に狙われたら、もう防ぎようが無いと思います。

警察を始めとしたCCI、テロ対策協議会、不正プログラム対策協議会、不正通信防止協議会、あるいはサイバーフォース等、様々な組織/機関がありますが、どの機関も具体的な対応を取れていないようです。

また、IPA様でも、攻撃事例を紹介すると共に、次のような「メールの添付ファイルの取り扱い 5つの心得」等を掲載、注意喚起するのが精一杯のような状況の様です。

心得1：添付ファイル付きのメールは厳重注意する
心得2：添付ファイルの見た目に惑わされない
心得3：知り合い・実在の組織から届いた添付ファイルこそ疑ってかかる
心得4：メールの本文で間に合う情報はファイルにして添付しない
心得5：メーラーの種類による添付ファイルの取扱に注意する

※メールの添付ファイルの取り扱い 5つの心得：https://www.ipa.go.jp/security/antivirus/attach5.html

従来のセキュリティ対策と言えば、どちらかと言えば「入口対策」がメインで、どうやってウィルスを社内環境に侵入させないか、と点に力を注いで来ました。

このため、入り口となるゲートウェイやPCにウィルス対策ソフトを導入し、さらに、社内教育で、ウィルス感染時に取る行動を教える等の対応を取って来ました。

しかし、このような「入口対策」だけでは、片手落ちの対策だと言わざるを得ないと思います。

確かに、「入口対策」は有効ですが、今後は、「ウィルスは侵入するものだ」と言う前提の元、「出口対策」にも目を向けるべきだと思います。

すなわち、社内にウィルスが侵入しても、外部に接続させないとか、外部に情報を発信させない、と言うような外部に向けたアクセスも制御する仕組みが重要になります。

具体的に、どのような対策を取るのかと言うと、次のような対策になります。

・外部サーバーへの不正通信の監視
・プロキシを経由しない通信の監視
・サーバーから外部に向けた通信の監視

このように、従来は想定していない、外部に向けた通信を監視し、これら不正通信を行っている端末を見つけた場合、次のような対応を取ることになります。

・該当端末のネットワークからの切り離し
・ファイヤーウォール/プロキシ・サーバーでのブロック
・該当端末の現状維持、および関係機関への報告

このような対応を取る事で、既に情報は外部に発信されてしまっているかもしれませんが、影響を最小限に抑えることが出来ると思います。

個人情報が大量に盗まれた「日本年金機構」へのサイバー攻撃では、何と、ウィルス感染後、3日間も該当端末を放置し、他社から指摘されるまで、情報を流し続けた事例もあります。

このように、企業/組織として恥かしい事態になる事を避けるためにも、「出口対策」は重要になります。

とは言え、近頃流行りの「ランサムウェア」に関しては、従来通り「入口対策」で防ぐしか対応方法はありません。

「ランサムウェア」に関しては、本ブログの最初で紹介した過去ブログ「新種のサイバー攻撃に備える」で、各種事例等を紹介していますが、PCに侵入すると、該当PCはもちろん、社内ネットワークで繋がっている全PCにも感染を広げ、PC内部を暗号化して、「身代金」を要求しますので、「入口対策」で防ぐしかありません。

この「ランサムウェア」に関しては、ブログの題名ではありませんが、「感染したら、もうお終い」ですので、バックアップを取り、PCを復旧できる仕組みが必要になります。

後出来る対応とすれば・・・余り無いとは思いますが、次の対応も可能です。

・重要データ/機密データは、必ずサーバーで管理し、アクセス制限/パスワードを掛ける
・可能であれば、重要データ/機密データは、暗号化しておく
・一般業務用端末とサーバーに関しては、ネットワークを分離して管理する
・部署毎にネットワークを管理し、迅速に切断できる運用を構築する

このような対策を取っていれば、まあ、何とかなるかもしれませんが、今後の「標的攻撃型」のターゲットになった場合、もうウィルスの侵入を防ぐ手段は無いと思った方が無難だと思います。

今回は、「進化する標的型攻撃」と題して、進化し続ける「標的攻撃型ウィルス」に関して、次のような情報を紹介してきましたが、如何でしたか ?

■最近の攻撃手法
■攻撃手口の紹介
■防衛方法の紹介

サブタイトルに記載した通り、ターゲットになってしまったら、本当に「もうお終い」だと思います。

特に、本当の知り合い、あるいは本当の取引先行担当者のメール・アドレスを利用された場合、どうしようも無いと思います。

添付ファイルが送付されて来る度に、相手に「今、メールでファイルを送った ?」と聞くのは面倒ですし、相手がお客様だった場合、そんな事は聞けませんよね・・・

ウィルスが仕込まれたファイルを送信された場合、最後の砦は、各PCに導入されているアンチウィルス・ソフトウェアになるので、とにかく、PCには、絶対にアンチウィルスを導入し、定義は、常に最新にして下さい。

それでも、「ゼロデイ攻撃」を仕掛けられた場合、アンチウィルスでも回避出来ませんので、その場合は・・・やはり「もうお終い」となります。

前章で、IPA様で奨励している「メールの添付ファイルの取り扱い 5つの心得」を紹介しました。

IPA様では、その他にも、次のような「心得」を用意していますので、参考のために、一度は見ておいた方が良いと思います。

・パソコンユーザのためのウィルス対策7箇条
・パソコンユーザのためのスパイウェア対策5箇条
・安易なダウンロードがもたらす大きな被害について
・ウィルス対策チェックシート

とにかく、ウィルスに侵入された場合、企業に大きな被害をもたらす事になりますので、日々、注意しながら業務を遂行して行くしかありません。

また、今回紹介したように、攻撃手法も進化して行きますので、機会がある度に、最新の攻撃方法を知っておいた方が良いと思います。

「攻撃手口」の章で、「孫武」の事を紹介し、「敵を知り、己を知れば、百戦殆からず。」と言いましが、現在のIT業界においては、悲しいことに、この格言は通用しないのだと思います。

は言え、やはり攻撃者の事は知っておけば、その後の対応方法を調整する手がかりになると思いますので、今後も情報収集は、怠らないようにして下さい。

それでは次回も宜しくお願いします。

以上

【画像・情報提供先】
・Wikipedia(http://ja.wikipedia.org/)
・ITpro Active(http://itpro.nikkeibp.co.jp/active/)
・警視庁(http://www.keishicho.metro.tokyo.jp/)
・gooいまトピ(https://ima.goo.ne.jp/)
・トレンドマイクロ(https://www.is702.jp/)
・JPCERT コーディネーションセンター(https://www.jpcert.or.jp/)

【株式会社 エム・システム】
本      社　 ：〒124-0023 東京都葛飾区東新小岩8-5-5 5F
 　 　 　 　 　 TEL : 03-5671-2360 / FAX : 03-5671-2361
盛岡事業所　 ：〒020-0022 岩手県盛岡市大通3-2-8 3F
 　 　 　 　 　 TEL : 019-656-1530 / FAX : 019-656-1531
E-mail　 　　： info@msystm.co.jp 
URL　　　　　： http://msystm.co.jp/
   　　　　　： http://msystm.co.jp/excel_top.html
ブログ       ： http://d.hatena.ne.jp/msystem/ 
Facebook　 　： http://www.facebook.com/msysteminc