協賛 マクニカネットワークス
基調講演
今後の対策のために内情把握すべきサイバー攻撃
サイバーディフェンス研究所
ラウリ・コルツパルン氏
サイバーディフェンス研究所のラウリ・コルツパルン氏は、講演の冒頭で、ハッキングの代表例などについて触れたうえで、「サービスを提供する」ことと「セキュアなサービスを提供する」ことには大きな差があると述べた。セキュアなサービスはハッカーが攻撃しても得られるものがなくターゲットになりにくいが、どのようにしてセキュアにセットアップするかを意識していない企業が多いと問題を指摘した。
続いてAPTについて言及し、近年ハッカーは直接ではなく、ターゲットが信頼しているサイトなどを経由・利用して攻撃する傾向が見られること、メールの送信者偽装は非常に容易であること、ウェブサイト経由での攻撃は発覚した後に分析しにくく、攻撃を検知するのも困難なことなどを説明。複雑なパスワードを設定しても侵入を防げない場合や、ファイルを持ち出されても検知できない場合もあるとして、注意を促した。
対策として、自社のシステムやネットワークのどこに脆弱性があるかを把握すること、攻撃された場合を想定して事前に社員を教育しておくことなどを挙げ、セキュリティ製品等を活用してハッカーに無駄な時間やリソースを浪費させるべきだと提言し、講演を終えた。
講演Ⅰ
APTで使われる検知回避テクニック
マクニカネットワークス
政本 憲蔵 氏
マクニカネットワークスの政本憲蔵氏は、冒頭、APTでは、七つのステップを踏んで目的を達成しようとすることを解説。サイバー攻撃対処モデルである、いわゆるサイバー・キル・チェーンのいずれかのステップで攻撃を断ち切る多層防御が重要と述べた。続いて、偵察から目的実行に至る一連のステップを詳説した。多様なセキュリティ対策が普及しているが、攻撃者にはこれを回避する技術や偽装方法が豊富にあるとして注意を喚起した。
また、近年の攻撃の傾向にも触れ、攻撃者がSNSを使って偵察し、標的企業を探すことがあると説明。さらに、標的企業がワードなどを公開している場合、ファイルのメタ情報から、どのような脆弱性があるのかを推測することも可能であることを指摘した。攻撃方法として、標的企業が日常的にアクセスするサイトに脆弱性がある場合、そこにマルウェアを仕込む手も使われると述べ、注意を喚起した。マルウェアがインストールされるとC&C(コマンド&コントロール)サーバーに接続され、企業の端末を遠隔操作するインフラが完成し、情報を盗み取るという目的が達成されてしまうことも指摘した。
続いて、攻撃側が駆使するテクニックを、デモを交えて紹介。攻撃者向けの各種サービスもあることなどを解説し、ブラックマーケットが成り立っていることに触れた。最後に、一般的な攻撃に対する多層防御は不可欠だが、それだけでは不十分であり、APTの対策も網羅した包括的な多層防御の実装が必要だと強調して、講演を締めくくった。
講演Ⅱ
経営者が知っておくべき標的型攻撃の実像
マクニカソリューションズ
森 重憲 氏
マクニカソリューションズの森重憲氏は、APTの被害を受けた企業にはセキュリティレベルの高い企業が多いと述べ、講演を始めた。こうした企業は、セキュリティレベルが高いがゆえに攻撃に気づいたのであり、実際は攻撃を受けても気づくことさえできていない企業が多いという現状を指摘した。
続いて、サイバー攻撃を深刻度に応じて分類。一般的な標的型攻撃と持続的標的型攻撃、つまりAPTとを分けたうえで、APTは攻撃が長期に及び、また経営機密に該当するような情報が詐取されるため深刻度が高く、企業価値が下がるほどのダメージを与え、中堅中小企業の場合は存続に関わることがあると注意を喚起した。また、標的とする本丸を攻撃するにあたって、比較的セキュリティが薄いと思われる取引先や関連会社を先に狙う傾向も見られるとも述べた。
攻撃者は、監視、情勢判断、意思決定、行動というサイクルで攻撃を仕掛けるため、企業は防御のサイクルを相手より速く回すか、攻撃者のサイクルを遅らせるかのいずれかしか手がないと解説。企業としては、攻撃の検知、防御、検知した攻撃に対して攻撃者をだますという三種類のアクションを取るべきと述べたうえで、標的型攻撃対策ソリューションの「FireEye」などを用いたAPTへの技術的な対策に加え、ひとつひとつのマルウェアへの対策を越えて、攻撃者単位で対策を打つ最新の米国のセキュリティサービス「CROWD STRIKE」を紹介した。
「CROWD STRIKE」は攻撃者ごとに攻撃の特徴を捉えることで、複数のマルウェアやC&Cサーバーとの遠隔操作のための通信を攻撃者単位でまとめて対策を打つことで、将来の攻撃への対策を可能にする。すなわち、WHAT(マルウェア)だけでなく、WHO(誰が)、WHY(どういう目的で)攻撃してきたのかを考える戦略的な標的型攻撃への対策を実現することが重要である、と述べた。
講演Ⅲ
標的型攻撃対策の王道!「FireEye」の攻撃検出とセキュリティ運用の最前線
マクニカネットワークス ファイア・アイ
星野 喬 氏
マクニカネットワークスの星野喬氏は、今までのセキュリティ製品が搭載する、シグネチャやレピュテーション、振る舞い検知等の技術では、APTがすり抜けて侵入してくる可能性が高いとしたうえで、調査結果も公表し、現在いかに攻撃がセキュリティ製品をすり抜けているのかをみせた。APT対策のポイントとして、(1)今までのセキュリティ製品をすりぬける脅威を発見する仮想実行エンジンの搭載、(2)攻撃は海外からくるため、情報をグローバルで共有できる仕組みが必要、(3)通信の入口・出口の両方に対応したソリューション、(4)多様な侵入経路からの攻撃への対応、(5)運用に必要な各情報のアウトプット、の5点を挙げたうえで、独自仮想実行エンジンを有する「FireEye」が最も高度な検知能力を持ちながら、運用もしやすく有用だと述べた。
田中 克典 氏
ファイア・アイの田中克典氏は、2006年以降標的型攻撃が急増している事実と、一日に9000以上のサイトが悪質と判定されている現実に触れたうえで、実際に攻撃を受けたときの対処がわからず悩んでいる企業が多いと現状を解説した。続けて、ファイア・アイ社はそうした企業に対するアドバイスやトレーニングサービスを提供しており、今年の末までには、日本人講師による講習も始める予定だと述べた。さらに、同社が「FireEye」製品を導入したお客様向けに、運用の支援を行うプロフェッショナル・サービスである、「FireEye Labs」を紹介。さまざまな顧客のニーズに対し、30名のセキュリティ専門コンサルタントが迅速に対応し、高品質で無駄の無いセキュリティサービスを提供することを明言した。このようなサービスと併用して「FireEye」製品を導入することで、より高い投資効果を得られると力説して講演を終えた。
