その対策はもう危険!?最新のサイバー攻撃とセキュリティ対策まとめ


世界中でサイバーセキュリティに関する事故が多発している。日本でも100万人以上の年金情報が流出したばかりだ。金融庁は監督指針や金融検査マニュアルを改正し、サイバー攻撃への対策の強化を求めている。本稿では、サイバー攻撃の類型を概観し、金融機関に求められるサイバーセキュリティについて解説する。

  1. サイバーセキュリティを取り巻く現状
  2. 代表的なサイバー攻撃の種類
  3. 急増している標的型攻撃とその脅威
  4. サイバー攻撃への対策と体制整備
  5. 「新しいタイプの攻撃」への対策
  6. サービス利用者への啓蒙活動
  7. まとめ
目次

サイバーセキュリティを取り巻く現状

世界の金融機関でサイバーセキュリティに関する事故が多発している。2013年3月に起きた韓国へのサイバー攻撃では、金融機関でシステムダウンが起きてATMが停止となり、放送局は放送停止に陥った。また、サーバー内のデータ破壊なども行われた。

日本では2015年6月1日に公表された、日本年金機構の情報漏えい事故で、毎日新聞の報道によると、6月22日現在、人数ベースで101万4653人分の年金情報が流出されたという。

日本年金機構の場合は、標的型攻撃メールを受信した端末で職員が添付メールを開いたところウイルスに感染し、情報が流出したものと見られる。

金融機関とサイバーセキュリティ

このように海外、国内でのサイバーセキュリティ事故が多発するなか、2014年11月6日に、日本ではサイバーセキュリティ基本法が全面施行され、金融庁では「監督指針」および「金融検査マニュアル」の改正を適用した。

サイバーセキュリティ基本法

これらの改正では、サイバーセキュリティについて必要な体制の整備や、利用者への対応が具体的な項目として挙げられている。金融機関にとってセキュリティガバナンスの強化に向けた体制強化は喫緊の課題となっている。

代表的なサイバー攻撃の種類

代表的なサイバー攻撃の種類代表的なサイバー攻撃の種類

不正アクセス

不正アクセスとは、あるコンピュータへの正規のアクセス権を持たない人が、ソフトウェアの不具合などを悪用してアクセス権を取得し、不正にコンピュータを利用する、あるいは試みること。

– IT用語辞典
不正アクセスとは

標的型攻撃

標的型攻撃とは、特定の個人や組織、情報を狙ったサイバー攻撃のこと。企業や国家の機密情報の詐取を目的に行われることが多い。コンピュータウイルスなどの不正なプログラム、アカウントの乗っ取り、コンピュータシステムへの侵入・遠隔操作などの手法が用いられ、個人情報や機密情報の窃取、特定のシステムの破壊、Webサイトの改竄などが行われる。

– IT用語辞典
標的型攻撃とは

DoS攻撃

DoS攻撃とは、通信ネットワークを通じてコンピュータや通信機器などに行われる攻撃手法の一つで、大量のデータや不正なデータを送りつけて相手方のシステムを正常に稼働できない状態に追い込むこと。

– IT用語辞典
DoS攻撃とは

フィッシング

フィッシングとは、金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを詐取する詐欺。「釣り」を意味する「fishing」が語源だが、偽装の手法が洗練されている(sophisticated)ことから「phishing」と綴るようになったとする説がある。

– IT用語辞典
フィッシングとは

なりすまし

なりすましとは、他人のユーザIDやパスワードを盗用し、その人のふりをしてネットワーク上で活動すること。本来その人しか見ることができない機密情報を盗み出したり、悪事をはたらいてその人のせいにしたりする。

– IT用語辞典
なりすましとは

電磁波盗聴

電磁波盗聴とは、コンピュータや周辺機器から発せられる微弱の電磁波から情報を盗み出す技術。指向性のよいアンテナを目的の電子機器に向けることによって、数十メートル離れた場所からでも、キーボードの接続ケーブルや、ネットワークケーブル、USBコネクタなどから発せられる微弱な信号を検出することができると言われている。

– IT用語辞典
電磁波盗聴とは

急増している標的型攻撃とその脅威

急増している標的型攻撃とその脅威急増している標的型攻撃とその脅威

標的型攻撃の特徴

代表的なサイバー攻撃の種類には、不正アクセスや標的型攻撃、DoS攻撃、フィッシング、なりすまし、電磁波盗聴などがあるが、中でも急増しているのが、年金機構の情報漏えい事故で起きた標的型攻撃だ。

不正アクセスやDoS攻撃も、特定の標的に対して行われることについては共通しているが、これらの攻撃が愉快犯的な性格を帯びるのに対して、標的型攻撃は「プロの」犯罪者による窃盗行為であることが大きな違いだ。

Eメールを利用した標的型攻撃の巧妙化

標的型攻撃に用いられるメールの本文は、業務上の連絡を装うなど高度化しており、サイバー攻撃の手口が巧妙化・悪質化していると言える。

メールやCD-ROM、USBメモリなどを介して、不正プログラムをパソコンに侵入させ、秘密裏かつ長期間にわたって情報の窃取を行う手口が増えており、このような手口の検知や防御は相対的に困難となる。

攻撃対象の拡大

警察庁の資料によると、インターネットバンキングの不正送金の発生状況は、2012年の64件から、2014年は1876件と急増、被害金融機関数も2014年には100件を超えた。

都銀、地銀、信金、信組と万遍なく攻撃の対象となっており、サイバーセキュリティ対策の弱い金融機関が狙われている。リスクアセスメント(リスク評価)を継続的に行い、システムの脆弱性がどこにあるのかをチェックする必要がある。

サイバー攻撃への対策と体制整備

サイバー攻撃への対策と体制整備サイバー攻撃への対策と体制整備

このような中、金融機関としてどのような体制を整備すべきか。まずは以下の複数の対策を講じておくことで、致命傷を回避できるはずだ。

①インシデントレスポンスとフォレンジックの明確化

サイバーセキュリティは「防御」を中心に語られがちだが、サイバー攻撃の手口はますます巧妙化しているため、これを完全に防ぐのは難しい。そのため、攻撃に関するリスクアセスメントを行い、攻撃の結果、システムが全面的にダウンし、業務の継続が困難になるケースを想定して、対応方針を明確にする必要がある。

「入口対策」「内部対策」「出口対策」といった技術的対策だけでなく、インシデントレスポンス体制やフォレンジックを充実させる必要がある。

管理者のためのセキュリティ推進室~インシデントレスポンス入門~
デジタルフォレンジックとは

②入口対策

技術的対策の中では「多層防御」が主流だ。まずは入口対策として、ファイアーウォールの設置やウイルス対策ソフトの導入、不正侵入検知・防止システムの導入などを行う。

③内部対策

次に内部対策として、サイバー攻撃によるデータの窃取、盗聴、改ざん、破壊およびシステム機能不全に陥らせることなどから防御する対策や、特権ID・パスワード管理の強化やインターネット環境と金融機関内システム環境との分離などを行う。

④出口対策

更に出口対策として、ログの取得と分析やサイバー攻撃を受けた際の手順の設定、優先順位付け、CSIRT(シーサート、Computer Security Incident Response Team)の設置などを行う。

CSIRTとは

⑤システムのモニタリング

これらの対策と共に、常時システムをモニタリングする必要もある。銀行や証券会社、保険会社など、業種別にリスクシナリオを確認して、自社のシステムの一番弱い所の手立てを講じるのが大切である。

また、傾向的に、欧米で起きたサイバー攻撃は、半年程度後に日本国内でも起こる可能性が高いと言われているため注意が必要だ。

⑥外部委託先の管理

外部委託先の管理は被害が大きい分、重要だ。標的型攻撃によりカードデータが不正流出して偽造カードが作成されたケースや、外部委託先のサーバーを経由した標的型攻撃により、ATM業務が停止したケースなどがある。

そのため、BCP(事業継続計画)の訓練には、外部委託先も巻き込んで行うべきだと言える。

⑦脆弱性の把握

代表的な脆弱性診断としては、Webアプリケーション脆弱性評価やネットワーク脆弱性評価のほか、サーバーOS設定値レビュー、クライアント端末OS設定値レビューなどがある。

業務の視点からのリスク評価と、システムの視点からの脆弱性診断を掛け合わせ、重点対策ポイントを導き、セキュリティ対策ベンダーを利用して対策を立てることが肝要だ。

「新しいタイプの攻撃」への対策

「新しいタイプの攻撃」への対策「新しいタイプの攻撃」への対策

「新しいタイプの攻撃」とは

「新しいタイプの攻撃」(Advanced Persistent Threats、ATP)とは、特定の企業や公的機関を狙って行われる継続的で執拗なサイバー攻撃の一種である。

ターゲットの組織の対策状況に合わせ、多様な攻撃を執拗に行ってくるため、従来の「脅威を中に入れない(境界防護)」という設計思想のサイバーセキュリティでは完全に防ぐことが難しく、システム深部に到達される恐れがある。

「新しいタイプの攻撃」の対策に向けた設計・運用ガイド

「新しいタイプの攻撃」では、パッチの無い脆弱性が使用されたり、一見、正常な通信を装ったりするために、従来の検知技術では検出できず、ログも残らない。アンチウイルスソフトに検知されないことを確認した上で侵入してくることもある。

「新しいタイプの攻撃」への対策

このような性質を持つ「新しいタイプの攻撃」に対しては、出口対策やフォレンジック対策が有効となる。

ファイアウォールやアンチウイルスツール、ルータ、プロキシサーバー、IPS/IDSなどから大量に発生するログを分析し、感染PCを特定し、攻撃の存在を早期にキャッチして対応する必要がある。

また、拡散防止に向けた対策として、統括部門としてのCSIRTを設置することも重要だ。

サイバーセキュリティ管理部門は、情報体制や監視体制、報告・広報体制、訓練、情報収集体制などを構築し、未知の攻撃事例を収集し、他社や金融セプター、日本シーサート協会、金融ISACなどと連携することが求められる。

サービス利用者への啓蒙活動

サービス利用者への啓蒙活動サービス利用者への啓蒙活動

不正アクセス、フィッシングに関する啓蒙

インターネットバンキングの不正アクセスや、キャッシュカードの不正利用、金融機関をかたるフィッシングの報告が急増している。

これらに対して金融機関が取りうる対策は、取引限度額の設定やワンタイムパスワードの導入など限られるため、利用者への啓蒙も大切となる。

ランサムウェアに関する啓蒙

最近では、利用者のパソコンに進入してロックをかけ、その制限の解除と引き換えに金銭を要求する不正プログラム、ランサムウェアも報告されている。

ランサムウェアとは

メールの利用に関する啓蒙

ビジネスや日常生活で頻繁に利用するメールにも危険が潜んでおり、以下の対策を取ることでサイバー攻撃を受けるリスクを軽減できることも啓蒙していきたい。

  • 知らない人から送られてきたメールに記載されたURLを開かない
  • 知らない人から送られてきたメールに添付されたファイルを開かない
  • フリーメールから送られてきたメールに注意する
  • 日本語が不自然なメールに注意する
  • 怪しい実行ファイル(拡張子が「.exe」や「.bin」)は開かない
  • 怪しいショートカットは開かない

まとめ

サイバーセキュリティを取り巻く環境は日々変化しており、攻撃手段もより複雑化・悪質化してきている。今日まで有効だった対策も、明日には通じなくなっているかも知れない。

セキュリティインシデントは、一度起こってしまえば甚大な被害を企業にもたらし、信用を地に落とすため、サイバーセキュリティ管理部門の担当者は、常に最新の対策を徹底することが求められる。

本稿が読者の皆様のサイバーセキュリティ向上に寄与することを祈る。

【※補足事項】
本稿において意見に関わる部分は全て講師の私見であり、所属する法人等の公式見解ではありません。また、本稿は株式会社セミナーインフォにて開催されたセミナーの内容を、The Finance編集部の視点から追記・再構成したものであり、講師がセミナーで語った内容を忠実に再現したものではありません。

寄稿
有限責任監査法人トーマツ
シニアマネジャー
田宮 秀樹 氏
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次