「第1回:なぜ、DX推進にセキュリティが必要なのか?」はこちら>
「第2回:サイバー攻撃の情勢」はこちら>
「第3回:企業へのサイバー攻撃――手法の変化と“搦手”の防御」はこちら>
攻撃の目的
第1回で、個人情報をはじめとするデータの保護がDXの前提、というお話をしました。狙われるのはデータだけでなく、システムやその利用者も攻撃対象となります。個人情報や企業秘密などのデータを奪取しようとする攻撃だけでなく、データの消去や改ざん、システムの破壊により業務やサービスの提供を妨害することを意図した攻撃もあります。
第3回で触れましたIoTデバイスだけでなく、ネットワークに常時接続されているPCなどの端末も、OSなどの脆弱性を突いた攻撃により「ボット化」されます。マルウェアに感染したPCは、ほかのPCへの攻撃の踏み台として利用されたり、マルウェアの頒布や感染拡大に利用されたりします。知らない間に感染拡大活動を展開するため、場合によっては、PCの動きが鈍く(重く)なったりすることもあります。
PCなどのセキュリティ対策が十分ではない場合、サイトのサーバ機器などがマルウェアに感染すると、サイト利用者のPCも感染するリスクがあります。逆にPCからサーバにマルウェアが感染する可能性もあります。
「不審」なメールから「不信」感が広がる
第2回で紹介しました「EMOTET(エモテット)」は、主としてメールにより感染拡大を図るマルウェアですが、今でも依然として被害が発生しています。メールアドレスなどのデータを盗み、EMOTET自身の感染拡大を図るだけでなく、ほかのマルウェアを頒布するためにも悪用されます。
社内のPCがEMOTETに感染した場合、そのPC内のアドレス帳に登録されている取引先や知人・友人宛に、タイトルに「RE:(返信)」や「FW:(転送)」を付した「それらしい」メールを送り付けます。受け取った側は、本人からの返信(転送)と勘違いして、添付されたファイルを開いてマルウェアに感染する、という手法で感染が拡大するものです。
EMOTETにより送信されるメールには、大した要件でもないのに添付ファイルやショートカットリンク(.lnk)が貼り付けられています。あとになって、この時点で「ちょっと怪しい」と感じたのだからメールは開かなければ良かった、と後悔する人も多いようです。
これはセキュリティソフトによりマルウェアが検出されないようにするためのもので、添付ファイルのほとんどは、パスワード付きのZIPファイルや、不正なマクロが含まれているWordやExcel文書などです。もしZIPファイルを解凍したときに、「.docm」や「.xlsm」といったMicrosoft Office 2007以降の、マクロ付ファイルの拡張子の文書ファイルが出現した場合には(もちろん、拡張子が見えるように設定しておくことが必要ですが)、文書を開くとマルウェアに感染する危険性が高いので、開かずに削除することが必要です。ただ、文書ファイルの拡張子が「.doc」や「.xls」(Microsoft Office 2003以前)の場合はマクロの有無にかかわらず拡張子が同じなので、かえって怪しい(そもそもこれらのソフトはサポート切れだから)と思わなければなりません。
システム内に潜伏するマルウェア
EMOTETのようなメールを送り付けて感染させるマルウェアの場合は、利用者をフィッシングサイトへ誘導して、その偽ECサイトなどで入力させた個人情報などを奪取する、ということが多いのですが、このような行為を行うためには、まずセキュリティソフトに捕えられないようにする必要があります。
このためマルウェアの活動は、OSの正規の活動の中に紛れ込んでいることが多いのです。例えばWindows OSでは、サービスを起動するために、サービスホスト(svchost.exe)によりWindowsの内部プログラムやDLL(Dynamic Link Library)と呼ばれる部品化されたプログラムを呼び出します。このサービスホストを偽者に置き換えることができれば、外部の指令サーバに接続し、さまざまな指令を待ち受けたり別のマルウェアのダウンロードを行ったりすることが可能となります。
正規のDLLを不正なDLLに置き換えること(DLLハイジャック)ができれば、システム管理者の権限を奪取して永続的に検出を免れることができるようになります。この不正DLLを稼働させる攻撃は「DLLサイドローディング」と呼ばれ、“スパイ活動”を行うAPT攻撃(※)グループにも用いられ、その手法も複雑化が進んでいます。
※ Advanced Persistent Threat:高度標的型攻撃。継続的にターゲットを分析して攻撃を行う手法。
今やハードディスクやSSDのファイルのサイズなどを監視していればマルウェアが検出できる、という時代ではありません。外部サイトから不正なDLLをダウンロードしてメモリ上で展開するような攻撃手法に対しては、定義ファイルとの参照によりマルウェアを検知する方式では対応できません。
また、センサーなどのIoT機器や制御システムなどの基本ソフトウェア、ファームウェアも感染対象となるため、つねに最新のバージョンに保持することが重要です。
羽室英太郎(はむろ えいたろう)
一般財団法人保安通信協会 保安通信部長(元警察庁技術審議官、元奈良県警察本部長)
1958年、京都府生まれ。1983年、警察庁入庁。管区警察局や茨城・石川県警などでも勤務、旧通産省安全保障貿易管理室(戦略物資輸出審査官)、警察大学校警察通信研究センター教授などを経験。1996年に発足した警察庁コンピュータ(ハイテク)犯罪捜査支援プロジェクトや警察庁技術対策課でサイバー犯罪に関する電磁的記録解析や捜査支援などを担当。警察庁サイバーテロ対策技術室長、情報管理課長、情報技術解析課長などを歴任し、2010年12月からは政府の「情報保全に関する検討委員会」における情報保全システムに関する有識者会議の委員も務めた。2019年より現職。著書に『ハイテク犯罪捜査の基礎知識』(立花書房,2000年)、『サイバー犯罪・サイバーテロの攻撃手法と対策』(同,2007年)、『デジタル・フォレンジック概論』(共著:東京法令,2015年)、『サイバーセキュリティ入門:図解×Q&A【第2版】』(慶應義塾大学出版会,2022年)ほか。
『サイバーセキュリティ入門:図解×Q&A』【第2版】
著:羽室英太郎
発行:慶應義塾大学出版会(2022年)
PDF形式のファイルをご覧になるには、Adobe Systems Incorporated (アドビシステムズ社)のAdobe Acrobat Readerが必要です。
