セキュリティへの取り組みをもう一度考え直す

2月 24, 2014 Sophos Press Release

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※
by John Hawes on February 18, 2014
この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。

Layered sweaters. Image courtesy of Shutterstockこの数か月に起こった大きなセキュリティニュースから新しい傾向が見えてきます。

一見、1 つの層にだけ問題が存在しているように思われますが、詳細に検証していくと、これらの多くの問題は実は複数の層にまたがっており、セキュリティへの多層防御のアプローチが重要となっていることが見えてきます。

Target 社のセキュリティ侵害

最近発生した Target 社のデータ侵害 から見ていきましょう。同社の POS システムは マルウェアに感染し、クレジットカードなどのデータが盗み出され、犯罪者の手に渡っていました。

簡単に言えば、問題は Target 社のマルウェア対策が正しく機能していなかったことです。マルウェアを特定してブロックできていれば問題が発生することはなかったでしょう。

これは正しい説明ですが、あらゆるソリューションでマルウェアを 100% 検知できると主張または期待している人がいるとするならば、極めて楽天家で、それは甘い考えだと言えます。

Target 社のセキュリティ侵害には、いくつかの問題が存在しています。このようなマルウェアの存在はソフォスも把握していましたが、マルウェアは一体どのように侵入したのでしょうか?

未だに不明なことが多くありますが、最初のセキュリティ侵害は 保守契約業者、 その保守業者の Target 社のネットワークにリモートからアクセスする権限があった 担当者 から発生したと考えられています。

Target logoこれが正しい情報だとしたら、いくつかの別の問題が考えられます。

契約業者はセキュリティポリシーの監査を適切に受けていなかったために、Target 社よりも攻撃が受けやすかったという可能性もあります。

リモートアクセスのセキュリティが十分ではなく、二要素認証が採用されていなかったために、第三者に不正にアクセスされてしまったのです。

また、Target 社のネットワークも適切に分離されていませんでした。そのため、契約業者のリモートアクセスアカウントを乗っ取ったハッカーは、(本来契約業者がアクセスできる)空調関係のシステムだけはなく、クレジットカードなどのデータを処理する重要なシステムにもハッカーがアクセスしてしまいました。

このセキュリティインシデントにおける最終的なデータの盗み出しでは、さらに多くのレイヤーが関連しています。企業ネットワークからの大量のカードデータが送信される場合、本来はデータ流出防止 (DLP) ソリューションによってこのような動作が監視されブロックされるはずですが、Target 社の今回のケースではブロックができませんでした。

Target 社は、脆弱性が存在していることについて 警告を受けていた ようですが、これは、同社の指示系統に問題があり、セキュリティ関連の警告が適切なスタッフに届いていなかった可能性を示唆しています。

つまり、これだけ多くの異なる問題が存在していたために、「大規模なインシデント」へと発展したのです。別の言い方をすれば、ハッカーにとっては簡単な標的だったのかもしれません。

これらのレイヤーのいずれかで適切なセキュリティ対策が講じられていたとしても、今回のセキュリティ侵害を完全に防止できなかったかもしれません。しかし、少なくともハッカーはこれだけ簡単にデータを盗み出すことはできず、漏えいしたデータも最小限にすることができたかもしれません。また、攻撃の痕跡が多く残り、捜査機関による調査が容易になったかもしれません。

ランサムウェア「CryptoLocker」

最近ニュースでも多く取り上げられるようになった Cryptolocker についても考えましょう。これもまたマルウェア対策ソフトがその機能を果たすことができず、システムが感染してしまった問題のように思われるでしょう。

しかし、ユーザーによってセキュリティ対策がしっかりと講じられている場合には、大惨事には至らない場合もあります。

重要なデータをバックアックしておくことは、ハードウェアの故障、偶発的なデータの削除、そして悪意のある攻撃からデータを守り、安全にコンピュータを利用するための基本的な心得です。

バックアップを厳格に実施していたのであれば、誰もサイバー犯罪者にビットコインを提供する必要はなかったのです。

企業や組織では、バックアップは最重要対策となっているはずであり、企業や 警察組織 がこのようなゆすりに屈服することは本来はないはずです。

SEA ハイジャック

シリア電子軍 も繰り返しニュースになっており、Web サイトソーシャル メディアアカウント への ハッキング繰り返されています

SEA logoこれらの攻撃の多くは、標的型攻撃やソーシャルエンジニアリングによって実行されていますので、この問題は重要なアクセス権限についてスタッフにセキュリティ教育を実施してこなかった問題のように思われます。フィッシング攻撃の見分け方と認証情報を適切に保持する方法を教えていれば、これらの不正な行為を防げたかもしれません。

しかし、別の見方も可能です。セキュリティについては人による注意だけに頼ることはできません。技術的なそしてポリシーベースのチェック機能を取り入れる必要があります。

二要素認証 システムは、ほとんどのソーシャルメディアサイトと多くの Web サイト管理サービスで利用でき、ソーシャルエンジニアリング攻撃のリスクを大幅に軽減してくれます。

電子メールフィルタも、「送信元」アドレスのなりすましなどを検出してくれることがあり、フィッシング攻撃が困難になります。

Snowden による米国家安全保障局 (NSA) の暴露

昨年で最も大きなセキュリティニュースは、Edward Snowden による NSA の内情の暴露 でした。プライバシーの観点から多くのスキャンダルが報じられましたが、セキュリティに関する側面もこの問題には存在します。keeping their own secrets.

NSA logoSnowden はこれほど多くの情報を収集できず、世界に向けて公開できなければ、これだけの大きな問題にはならなかったのです (もちろん、彼の行為に賛同する方も多くいます)。

す。

ローカルネットワークを クローリング してファイルを収集し、USB メモリにファイルを保存する行為は、DLP によって防止されるはずですが、DLP が導入されていなかった、あるいは簡単にその仕組みが回避されていました。

しかし、この問題についても別の見方が可能です。Snowden は、故意に共有されていた 他人のログイン情報 を使用して多くの情報を取得したと言われています

これもセキュリティ対策の基本の 1 つです。ログイン情報には権限が関連付けられています。自分の代わりにあなたにログインするように依頼し、あなたの名前で何らかの行為をさせることは、非常に危険な行為です。

権限は、必要性に応じて割り当てられます。誰かが権限を持っていない情報にアクセスする必要がある場合、この人物にアクセス権限を与え、自分のアカウントを使用させるかどうかを判断するのは、あなたではありません。権限を付与する担当者に問い合わせ、その必要性について確認してもらう必要があります。

Target 社で発生したような問題は、十分な調査、制御、監視をすることなく、契約業者 に重要なネットワークへのアクセスを許可することが危険であることを示しています。

対策

これらの大規模セキュリティインシデントのすべてが、多層防御の重要性、そして基本的なセキュリティ対策を見落とすことの危険性を教えてくれています。

セキュリティとは、単にマルウェア対策ソフトをインストールしたり、ID カードを確認することではありません。導入するあらゆるシステムやプロセスについて、そのセキュリティに注意する必要があります。

新しいシステムやソフトウェアをインストールするとき、ネットワークを設定したり再設計したりするとき、新しいスタッフや契約業者を雇用する場合、新しいプロセスや手順を定義するとき、新しい流行のコミュニケーション方法を取り入れるとき、また、自分自身、ユーザー、お客様、クライアント、友人、家族、そして同僚に影響を及ぼすあらゆる行為について、そのセキュリティリスクと、そのリスクを緩和する方法を考えてください。

これまでに導入してきたシステムやプロセスについても、同じような考え方で、そのセキュリティリスクを見直してください。

セキュリティ上の盲点は、サイバー犯罪者に付け込まれます。そしてその盲点が増えていくと、ここで示したような大規模なインシデントの発生する原因となります。

あらゆる場所でセキュリティについて十分に注意を払うことで、本当の効果を得ることができます。