年金情報流出問題から見る標的型攻撃とサンドボックスについて

セキュリティ

 

2015年夏には、日本年金機構の情報流出をはじめとして、
早稲田大学でも個人情報の流出が起こっています。

これはどちらも添付ファイルにマルウェアを仕込まれたメールを受信し、
その添付ファイルを開くことでウイルス感染したことが、
発端となって個人情報が抜き取られています。

 

そもそも、なぜハッカーは危険を冒して、犯罪をしてまで
個人情報を抜き取るのかというと、闇市場で販売するためです。
場合によっては億や何1000万円と稼ぐことが可能です。

相場がどのくらいなのか色々と明かされていますので、
興味があれば調べてみてはと思います。

 

さて、今回の話題、「年金情報流出」、「早稲田の個人情報流出」についてですが、
これはどちらも、「標的型攻撃」と呼ばれる攻撃手法により情報流出が起こりました。

 

年金の方は、TVメディアでは管理者がパスワードをかけていなかったと
どうも、管理面で非難されているようですが、

IT、インフラ業界では攻撃を防げなかったのか、初期の感染段階で発見できなかったのか、流出を阻止できなかったのかと、
セキュリティ商戦に火をつけた形となっています。

 

以前からですが、さらにセキュリティという問題が重要な位置図けとなっています。
だから、FWなども扱うネットワークエンジニアとしては、切り離せない問題なのです。

 

そもそも、「標的型攻撃」とは、
言葉の文字通り、特定の企業や組織、あるいは特定の個人に対し、明確な目的をもって攻撃を図ることです。
(⇔ 無差別攻撃 )

 

この標的型攻撃の対策として挙がっているものが、
サンドボックス」というものになります。

 

一般的に、サンドボックスとは未知のファイルを検知し、仮想環境で、
そのファイルを動作させ、振る舞いを監視・解析する製品の通称となります。

 

しかし、すでに攻撃者はこのサンドボックス対策も進めています。

高度なマルウェアは仮想環境であることを見抜き、無効化します。

マウスのクリックなど実ユーザであると思われる操作が行われるまで、
マルウェアを活動しないようプログラムされているなど、
様々な方法でサンドボックスを潜り抜け攻撃していきます。

 

だから、メーカー側としてもサンドボックスを超えた標的型攻撃対策のため、
製品をアップデートしていっています。

という感じでイタチごっことなっているようです。

 

標的型攻撃対策として、主要なメーカーは以下の通りありますが、
いずれも、それぞれ特徴のある製品です。
また、サンドボックスの機能を超えた検知または防御の機能を要しています。
(通常、サンドボックスというと検知のみの機能になります。)

・FireEye
・マカフィー
・トレンドマイクロ
・FWのサンドボックス機能
(Paloalto, PheckPoint など)

それぞれの簡単な特徴など述べればよいのですが、
あいにく勉強不足のため、また次の機会にしたいと思います。

 

と、今回は標的型攻撃とサンドボックスについてでした。

まだまだ、勉強不足なところがあり、
なんといっても、サンドボックスの提案はありますが、
構築経験が無いので、不透明なところが多いです。

 

構築経験を積んでより一層、
詳細な情報を公開できればなと思っています。

 

コメント

タイトルとURLをコピーしました