標的型サイバー攻撃（APT）について

標的型サイバー攻撃（Advanced Persistent Threat ： APT ： 標的型攻撃）に関して、
この頃、いろんな会社から相談されますが、2010年1月にgoogleが自社ネットワークが攻撃を受けたことを公表してから、ほぼ一年がたちます。
いろんな会社にサイバーテロリストたちは手を伸ばし始めたという事でしょう。

サイバー攻撃も上から下へと向けるのが、常でしょうから。


さて、この攻撃ですが、プロのサイバーテロリストが仕掛けてきているとすれば、防ぐのはまず無理です。
が、どうしても、守りたいという企業の方、個人の方のみ、続きを見てください。
なんかの足しにはなるかもしれません。



まず、手口ですが、知人を装い、もしくは取引先を装い、メールを送りつけてきます。

いわゆるspamなのですが、大抵は、spamと認識されません。
なぜなら、正式なメールのルートを通ってきたり、認証の仕組みをそっくりまねして来ているので、
メールやサイトの仕組み・中身を知らないと本物かどうか、区別付きません。

ほとんどの手口は、メールがきて、ファイルを開かせるか、サイトへのアクセスを促すものです。

なので、メールが本物かどうかを判断しないといけません。
①送信元のIPアドレスに問題ないか？
②どこのサーバーを経由して、メールが届いたか？
③送信元メールアドレスのヘッダー、エンベロープに問題はないか？

これで送信元が特定されたとしても、添付のファイルやリンク先が安全だとは限りません。
既に知人のパソコンが感染しているかもしれないからです。
④ファイルにウイルスやマルウェアは仕込まれていないか？
⑤リンク先は表示と埋め込みで違いはないか？

さて、ファイルを実行したり、リンクをのぞいてみた場合、
⑥ファイルを実行したら、そのファイルがいったい何をしたか？
⑦リンク先で何が実行されたか？
これらの結果を知る必要があります。
⑧何の情報が発信されたか、受け取ったか？
です。

これらのチェックをすべて手動でやるのは無理です。
大抵はセキュリティソフトやセキュリティアプライアンスに任せるしかありません。
その中から疑わしいものを抽出して、手動で目視するという方法以外守るしか方法はありません。

【対策】
１、IDS、IPS、Ｗｅｂフィルタリング、セキュリティソフト、アンチウイルスソフト、セキュリティアプライアンス
はマルチベンダーにする。
２、入ってくるログ、出ていくログをすべて記録する。
ネットワークだけでなく、スマホ、USB、モバイルPCなどの物理的なものもアクセスした時点で、記録する必要がある。

特に２の記録が非常に大切です。
これを元に攻撃の種別を判断し、すぐに対処しますので。
記録のやり方はいろいろありますので、予算に合わせて、ご提供しますが、
詳細にとったりするとデータ量が増え、自動にするとアプライアンスなどの料金が高くなったりと
自社のプライオリティを決めるいい機会になります。

ログ記録はサーバーだけでなく、クライアントＰＣのログも記録するようにしないといけません。

ネットワークのログから徐々に発信元を探り、最終的に行きついたクライアントでログがないとどうしようもできないですから。

模倣犯を助長させるので、余り詳細は書けませんでしたが、もし、対策を相談したい企業様がおりましたら、ぜひ、一度お声をかけてください。
弊社はコストパフォーマンスには自信があります。

問い合わせ先：webmaster@niriakot.jp