「防げない標的型メール、侵入を前提とした対策が必要」――トレンドマイクロは6月11日、日本年金機構からの個人情報流出事例から学ぶべきことをまとめ、セキュリティブログで公開した。

年金機構の情報流出は、標的型メールが攻撃の侵入口だった。標的型メールは、似たような内容が繰り返し届くスパムメールとは異なり、一様にフィルタリングできるものではないと指摘。攻撃者は失敗した攻撃から学びながらメールの内容などを巧妙化させるため、受信者がだまされる可能性も高まるという。

攻撃メールがユーザーに届かないよう、不審なメールをシステムでフィルタリングすることは不可欠だが、侵入を前提とした対策も必要と指摘。すべてに万全の対策は無い以上、出口と内部での多層防御が重要だとしている。

また、標的型攻撃で侵入時に使用される不正プログラムは、その時点で組織が使用する対策製品に検出されないことを確認して送り込まれるため、従来のウイルス検出の手法だけで侵入を防いだり早期発見することはあまり期待できないという。

侵入した遠隔操作ツールを発見するには、ツールが行うネットワーク内外への通信をとらえることが重要と指摘。ゲートウェイや内部のルータのポイントで、ネットワーク内から外への通信と、ネットワーク内部での通信の双方を監視することにより、攻撃に早い段階で気づけるとしている。

年金機構の事例では、本来は外部から直接アクセスできないデータベース内の個人情報が、業務の都合で攻撃者にもアクセスできるファイルサーバ内に保存されていたことが情報漏えいにつながった。「実際の業務遂行上の都合とセキュリティポリシーの乖離から、ポリシーが守られず形骸化してしまうことはどの組織においても起こりがち」と指摘。業務の実態を把握し、運用可能なポリシーと継続的な監査体制を構築すること、インシデント発生時の対応も文書化するなど明確化し、徹底させることが必要としている。

企業のIT担当者は「自社のシステム内には狙われるほど重要な情報がないため高度な標的型サイバー攻撃の標的にはならない」と誤解する傾向があるという。だが、個人情報やクレジットカード情報を狙う攻撃は、規模や業種に関わらず標的となっているため、IT担当者は年金機構の事例を自分ごととしてとらえ、自社の持つ情報資産とその重要性を把握した上で必要な対策を考えるべきとしている。