security

小さな組織でのマルウェア対策

企業のウィルス（マルウェア）対策についての記事を書きかけていましたが、下記のような話題が飛び込んできました。
今回は、この話題について書こうと思います。
※今回の内容は、一般的な対策手法をふまえた上での個人的な意見となります。違ったご意見をお持ちの方もいらっしゃると思われますが、またご意見を頂戴したいところです。

日本原子力研究開発機構：プレス発表

団体がどこであるとかそういったことについては今回は触れません。
公開されている情報から全てを知ることは出来ませんが、書かれている情報を時系列として並べると、

1. Webサイトに受付用のメールアドレスが公開されている。
2. 公開アドレス宛に「不正行為の告発」の内容のメールを送るとのメールが届いた。
3. 次に「不正行為の告発」を模したメールが届いた。
4. メールを開封したパソコン（３台）がマルウェアに感染した。
5. マルウェアに感染したパソコンから外部に向けて不審な通信を行っていることが検知された。
6. 直ちに対象のパソコンはネットワークから切り離し調査をした。
7. 調査を行ったところ11/14〜11/29（16日間）の間不審な通信をしていた。
8. 対象のパソコンには核不拡散・核セキュリティ上重要な核物質管理に関する情報は保管されていない。
9. その他のパソコンも調査を行っている。

との内容が確認できます。

最近大手企業などではパソコンがマルウェアに感染したという事実を公開するリリースを出されることが増えてきました。
おそらくはマルウェアへの対策として対策ソフトの導入や最新パターンへの更新などは行われていると思います。
しかしながら、対策ソフトの導入は完全にマルウェアの脅威から逃れるものでは無く、パターンが間に合わなかったものや、標的型攻撃などに対しては防ぎきれないものもあります。
100%感染を防ぐことができる対策製品はありません。

では、私たち零細な規模の企業・団体はどうしたら良いのでしょう。
この事例から学べることは無いのでしょうか。


高度なセキュリティ対策技術やその体制が整っていない私たちの環境では、何よりマルウェア対策ソフトの導入は必須と考えられます。
今回の事件では、対応はされていたものの防ぐことが出来なかったと推測されますし、導入は100%対策できるものではありません。
しかしながら、導入することで多くの安心感を得ることが出来ます。
アメリカマカフィー社が今年9月（2012.9）に発表した資料によると、1日当たり10万件近いマルウェアが発見されているそうです。
マルウェア検出数が過去4年で最大の増加――McAfeeが報告 - ITmedia ニュース
これらの脅威に対抗する最も楽な方法はマルウェアの対策ソフトを導入し、最新の状態へ更新することです。

次にメールの取り扱いについてですが、以前は「不審なメールは開封しない」とか、「知らない者からのメールは開封せず破棄する」などのルールをよく見かけました。
これらのルールは今でも有効と思われます。
ただし、今回の様な巧妙に開封させるための技を使われると開封せざるを得ません。
よくある手段としては、

• セキュリティ異常など非常事態をあおるもの
• 販売した製品についてのクレームや問い合わせ
• 送信元として公的機関や社内・取引先を装ったもの

などがあります。 特に、Webサイトで公開されているメールアドレスは、社内のメーリングリストなどで、数名に同報されることが多く、対象となる社員やパソコンが多くなりがちです。
こういった連絡先として用意されているメールアドレス宛には、攻撃対象となりやすい上に、ほとんど全てのメールに目を通す必要があり、非常に危険なものだと思われます。

では、どのように対策を取っていけば良いのでしょうか。
当方の個人的な考え方になりますので、全ての方に最適とは言えないとおもいますが、攻撃は起こりえる前提で対策を考えて行くのが良いと思います。
最先端なセキュリティ製品を導入することが難しい私たちには、教育の徹底や非常時に小回りの効く連絡体制などを、うまく使うのが良いと思います。
大企業にくらべ見通しが良く、「何か」の周知連絡、報告など行き届きやすいはずです。
そしてシステム的な対策としては、上記事件の様に何かあった場合に影響を小さくすることを考えるべきだと思います。
例えば、「公開メールアドレスあてのメールを受信する端末には重要な情報は極力保存しない」などの対応により、攻撃が成功しても重要な情報が漏れないようにするなどです。
また、感染が確認された場合どのように対応するか、何を行ったら再度利用を始めて良いかなどを定めておき、実行することも重要と思います。

上記の事件では、不審な通信を検出したことにより調査が行われ、マルウェアの発見に至りました。日本原子力研究開発機構向けの特別なマルウェアだった可能性もあります。
私たちの環境で、「不審な通信」や「対策ソフトが検出しないマルウェア」を検出することができるでしょうか。
この部分については、現実的にはそういった製品などを導入しなければ、検出は難しいと考えられます。
だからこそ、システムに頼らない人的な対策を考えるべきでしょう。
幸い大企業と比較すると、社内の人員への対策の展開はやりやすいと思います。
人的な対策が難しいが、何らかの対策をしなければいけない事情（リスクアセスメントなどによる判断を含む）があれば、対策向けのセキュリティ製品の導入を検討するべきと思います。

セキュリティ対策に正解はありません。
ですが様々な対策を取った多層防御をすることにより、攻撃がどこかの層で食い止められたり、通過した場合でも成功しないようにする、被害を最小限にするといったことが出来るのでは無いでしょうか。
何も対策しないよりは圧倒的に効果があると考えられます。

今回は公開メールアドレスについて書きましたが、脅威は個人向けメールアドレスでも同じです。知られている範囲が狭いだけです。
攻撃を受ける機会は低いでしょうが、通常の業務を行う分攻撃者に利益をもたらす情報には近いと考えられます。
対策が必要なのか、またどういった対策をするべきかなど、公開メールアドレスとは別の対象としてリスクアセスメントを行い、費用対効果を考えながら対策を考えてみる方法をお客様にはお勧めしています。