ITニュース六時五分:年金機構の情報流出についてラックが分析。技術より運用の問題。

ITニュース六時五分:年金機構の情報流出についてラックが分析。技術より運用の問題。

0605_20141112セキュリティ会社ラックが、年金機構の情報流出について分析した結果を公表しました。技術的な解析をしたのではなく、ラックが得た情報から類推し、技術的な問題ではなく、運用上の問題であり、標的型攻撃では、従来のセキュリティ対策ではうまくいかないと分析しています。

http://www.lac.co.jp/security/report/pdf/20150609_apt_j001t.pdf

日本年金機構の情報漏えい事件から、我々が得られる教訓(ラックのPDFファイル)

ニュースなどでも報道されていますが、年金機構のシステムは、ネットワークにつながっている情報系と、インターネットにつながっていない基幹系に分かれていました。情報系には、窓口として外部からのメールを受け取るパソコンがつながっていて、そこでは、外部とのやりとりを行います。一方の基幹系では、年金情報を扱うシステムで、個人情報が多く入っているので外部とは接点を持たないように設計されていました。

システム設計としては、切り離したことによって、決して情報漏えいしないはずでしたが、運用していると、何かと不便に。当たり前ですが、窓口の問い合わせでは、それぞれの人の年金情報がどうなっているのかとか、引っ越したので住所変更してほしいとか、年金の振込口座を変更したいといった問い合わせがきます。となると、その度に、基幹系の業務で利用するパソイコンで調べることになります。つまり、2台のパソコンの間をいったりきたりすることに。だんだん、面倒になってきて、『データをCD-ROMにコピーして、それを参照すればいいんじゃない?』って誰かがやりはじめます。データはパスワードをかけることになっていたのですが、『どうせ、内部でのやりとりだから、パスワード、かけなくてもいいんじゃね?』ってことに。

そして、情報系のパソコンに届いた標的型メールを誰かが開封し、感染することで、さらにそこから他のパソコンへと広がり、本来、情報系のパソコンには個人情報が入っていないはずなのですが、運用ルールが守られていなかったことで、情報漏えいしてしまったのです。

さて、ここまでの話は、標的型に限ったことではなく、一般的な無差別に攻撃するウィルスでも同じこと。とにかく、セキュリティに関しては、コンピュータに限らず、家の鍵でさえ、ルールが適切でないと、どんなに頑丈な鍵であっても、意味がなくなります。例えば、『ちょっとゴミ捨てに出るだけだから、鍵かけなくてもいいよね』ってやってると、その隙に家に入られることだってあるのです。どんなに頑丈な鍵であっても、そもそも鍵をせずに外にでていたら、ダメですよね。

話を戻して、コンピュータウィルスでの標的型攻撃では、従来のウィルス対策と逆の対策が必要ということなのですが、これはどういうことでしょうか?

まず、従来のウィルスの場合は、『無差別に大量に感染させる』ためにばら撒かれます。最初に何十台か何百台かのパソコンは犠牲になるのですが、それをサンプルとして検出するためのデータが作られます。そのデータを配布すれば、まだ感染していない何百万台、何千万台というコンピュータが守られます。感染したパソコンだけを隔離して、他のパソコンは、ウィルス対策を行えば、それ以降は問題は起きません。

ところが、標的型となると話は違ってきます。まず、標的型は、狙われた企業のシステムに入り込むために、カスタマイズされます。たとえば、今回の年金機構を狙ったウィルスでは、そもそも最初のメールも年金機構の職員なら業務上、内容を確認しないといけないようなメールのタイトルや偽のドキュメントを作っています。狙った企業に送り付けるので、そもそもサンプル数が少ないということがあります。となると、ウィルス感染の疑いのあるパソコンをネットワークから切り離し、さらに貴重なサンプルとして利用しなければならないので、何も操作しないことが重要になります。ここで、ウィルス対策ソフトなどを動かしたり、誤って開いたファイルを削除してしまうと、最初のウィルスの痕跡を消してしまうので何が起きたのか分からなくなってしまいます。

また、この標的型ウィルスは、感染すると他のコンピュータを感染させるように動き出します。しかも、外部からコントロールされて動き出すので、内部のシステム情報などを探りながら、より弱いところを突いたウィルスを仕掛けてきます。つまり、最初のメールに添付されていたウィルスとは違うものが他のパソコンに感染していくのです。1台が感染していたら、メールを開封していないパソコン、ネットワークを切り離していてもUSBメモリを抜き差しすることで、どんどん感染を拡大させているかもしれないのです。メールを開封したパソコンだけでなく、社内のパソコンすべてを隔離する必要が出てくるのです。

いやはや、標的型で狙われると、困ったことになりますよね・・・。

「はー、大手企業とか官庁は大変だよねー」

って、他人事のように思っているかもしれませんが、標的型のサイバー攻撃の準備段階では、どの企業も、個人も狙われる可能性があります。大手企業や官庁といえども、必ずしも大手とばかり取引を行っているわけではありません。中小企業とも取引はありますし、グループ会社なら、中小企業だけでなく、個人事業主ともやりとりしているでしょう。標的型の攻撃では、いきなり狙うのではなく、取引先や、グループ会社、さらに、その先から丁寧に(?)調べていきます。そう、あなたの会社のパソコンから、そういうグループ会社へメールを送り、さらに、そこから、大手企業を狙うといったことをやっています。こうなると、被害者であると同時に、加害者にもなります。そのうち、大手企業から、「お前のパソコンのセキュリティが甘いから、うちが被害を受けたんだ!」なんてことを言いだすかも・・・・。

これ、笑い話ではなく、銀行はすでにそういう態度に出ていますよね。不正送金された場合の補償は、ウィルス対策などやっている場合にのみ対応することになっていて、最新版にアップデートしていないとか、ウィルス対策ソフトを入れていないといった場合には、補償しないことになっています。そう、対策をしていない場合は、やられた方が悪いってことなのですよ。

本日のニュースネタ

http://www.itmedia.co.jp/news/articles/1506/09/news150.htlm

年金情報流出から得られる教訓は――ラックが文書公開 「標的型攻撃の対策は、従来のウイルス対策と全く逆」

  • このエントリーをはてなブックマークに追加