• 会員限定
  • 2012/04/05 掲載

JPCERT/CC 早貸淳子常務理事:APT対策になぜ企業内CSIRTの整備が有効なのか

執拗な標的型攻撃への備え

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
昨今、特定の目的を持って執拗に攻撃を仕掛けるサイバー攻撃者の動きが目立つようになり、企業のセキュリティ対策で大きな課題になっている。公的機関からのメールを装って侵入を図ったり、侵入後にウイルスを拡散させて目指す情報を物色したり、悪意あるサーバと通信してウイルスを多機能化させるなど、攻撃も多様化しており、決定打がないのが実情だ。このようなやっかいな攻撃に対し、企業では今後どのような対策を講じていけばよいのか、JPCERTコーディネーションセンター(以下、JPCERT/CC)常務理事の早貸淳子氏に話を伺った。

金銭詐取目的や劇場型の犯罪も増加

photo
JPCERTコーディネーションセンター
常務理事
早貸淳子氏
──昨今、APTをはじめとするサイバー攻撃への対策に注目が集まっています。企業のセキュリティ対策の動向について教えてください。

 まず、誤解が生じないように、APT(Advanced Persistent Threat)の定義についてお話ししたいと思います。昨今、日本でも標的型攻撃に注目が集まり、「APT」という言葉がよく使われるようになっています。しかし、この言葉が最初に使われた米国では「APT」は攻撃の手法や種類のことではなく、特定の目的でコストを度外視してまで執拗に攻撃を仕掛けてくる「攻撃者(グループ)」のことを意味して使っています。

 一部で誤解されているようですが、APTとは「高度な攻撃手法」のことではありません。「Advanced」の語は、「高度な」というよりは、巧妙であったり、洗練されていたり、という趣旨で、対策レベルの低い攻撃対象に対しては、攻撃元を特定する材料をなるべく残さないよう、既存ウイルスを使ったりしながら、必要最低限の方法でスマートに情報を盗み出すことにあるようです。

 同じ攻撃者グループは、同じような攻撃ツールを使ったり、同じ手口で侵入の入り口を探したりと、共通した攻撃の特徴を示します。その特徴を踏まえ、攻撃者グループを特定していくと、攻撃パターンや、どんなツールを使う可能性が高いかなどを予測することが可能になる場合があるため、APTを把握し、必要な人と対策に向けた情報共有を可能にすることが大切なのです。

──このような攻撃グループが出てくるようになった背景は何でしょうか?

 米国において、防衛産業から国防に関わる情報を盗ろうとする攻撃への対処の必要性が認識され、他の分野への攻撃も含め、対応のための情報連携などの動きが数年前から始まりました。

 私たちJPCERT/CCは、活動の目的の一つに「攻撃者は、攻撃によって得られる利得を目的に行動するので、事前のセキュリティ対策や迅速なインシデント対応など、攻撃者側のコストとリスクを上げさせるためのあらゆる対処を行うことで、攻撃者が『割に合わない』と思う環境をつくっていくこと」を掲げていましたが、APTとされる攻撃については、こうした市場原理とは異なるところで動くこともあり、どんなにコストが掛かっても目的を達成するまで攻撃を続けるケースもあるようです。

 APTの定義のところでもお話しましたが、攻撃者はもっとも効率がよく、リスクが少ない方法で必要な情報を窃取することが目的なので、物理セキュティや人的クリアランスが厳しく、実社会において情報を盗ることが難しい国や企業が相手の場合は、ネットワーク越しからの攻撃によって情報を得るほうが容易であると考えているのかもしれません。

 JPCERT/CCは、ネットにおけるセキュリティ問題について脅威情報の分析やインシデント対応調整支援などの活動を行っていますが、知的財産や政策関係の情報を盗もうとする攻撃や、そのような攻撃の準備のためにアカウント情報を集めようとする攻撃、直接金銭取得を狙う攻撃、主義主張に基づく劇場型の攻撃など、攻撃者の意図や態様が多様化しているため、それぞれに適した対処を行うことが必要となってきています。

 「適した対処」を行うためには、攻撃の発生状況や使われた攻撃プログラムの入手など、分析を行うための情報を集めることが必要になりますが、攻撃を受けた企業などにおいてもそのことに気づかない場合が少なくない現状においては、俯瞰的にこれらの動きを捉えることが難しくなっていると感じています。

【次ページ】APT対策になぜ企業内CSIRTの整備が必要となるのか

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます