新型コロナウイルス感染症が拡大する中で、サイバー攻撃への対策が急務になっている。だが、コンピュータウイルスの拡散防止の有効策は、目下のところ「危ないファイルを開かない」や「怪しいWebサイトにアクセスしない」などリテラシーに帰結するものが多い。もちろん様々な対策ソフトを活用するが、基本的な対策は新型コロナの3密回避と同じようなものに思える。そこで、有力セキュリティソフト会社はゼロトラストの導入を薦めるが、それは性悪説という考え方にすぎない。トレンドマイクロやマカフィー、RSAセキュリティなどが2021年早々に発表したサイバー犯罪予測から有効な防止策を探ってみた。
トレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏は、新型コロナに便乗するサイバー犯罪が急増しており、日本でも20年に40万件弱の脅威を検出したという。そこでの大きな問題は、ユーザーが不正侵入に気が付かない巧妙な手口が増えていること。たとえば、正規ソフトウエアにウイルスを忍ばせておき、最新バージョンに更新するとウイルスに感染させるサプライチェーン・バックドア攻撃だ。代表例は、米SolarWindsが20年末に公表した同社のネットワーク管理ソフトになる。
マカフィーの櫻井秀光セールスエンジニアリング本部長は「これまでのソフトの脆弱性をついたものではなく、ソフトの信頼性まで考えさせる犯罪だ」とバックドア攻撃を語る。だが、ソフトの更新を躊躇すると、脆弱性が狙われる。トレンドマイクロは「ユーザーが最初の侵入に気づくのはほぼ不可能」と、正規ソフトの悪用への有効な対策はないという。
マカフィーは「侵害された後の不審な振る舞いを特定する技術や、重要データを保護するための技術の実装がより重要になる」とし、ビジネスへのインパクトの大きさから、機密情報やデータを特定し、アクセスできる社員を最小限にし、追跡できる仕組みにすることを提案する。たとえば、アクセスしたことのないデータにアクセスしたなど、不振な行動や逸脱した行動を検出する。不正侵入を完全に防ぐことは難しいので、侵入後の不振な振る舞いを検出するということ。ターゲット企業の社員を支配し、長い期間、攻撃し続ける犯罪に発展する可能性もあるので、最新の注意を払う。そんな提案である。
在宅勤務を狙う犯罪への対処
リモートワークの進展による在宅勤務を狙ったサイバー犯罪も間違いなく増加する。マカフィーによれば、LinkedIn、What’s App、Facebook、TwitterなどのSNSを介して、ターゲット企業の社員との関係を築いて、侵入する高度な犯罪に気を付けることだという。SNSにフィッシングメールを送り、偽の決済URLに誘導するなど、QRコードによる決済を悪用する手口もある。ビジネスオーナーに向けQRコードを生成するアプリを装い、偽アプリのダウンロードに誘導したりもする。問題は、QRコードだけでは、それが正規なのか非正規なのかを見極めるのは難しいことなので、「怪しいと思ったら、アクセスしないというリテラシーを高めること」(櫻井氏)。
RSAセキュリティジャパンの水村明博マーケティング部長も、QRコードを悪用する犯罪の増加を心配する。QRコードの文字列は目に見えないので、怪しいドメインなのかが分からないからだ。悪用するためのツールも売られているという。いずれにしろ、リテラーを高める以外の対策はないということなのだろう。幸いのは「被害が出たという話を今のところ聞いていない」こと。
Office365のような、いつでもどこからでも、アクセスできるクラウドメールを踏み台にしたり、ゲーマーらが会話に使うDISCORD上にマルウエアを置いて、ダウンロードさせたりする犯罪も増えている。原因の多くは、クラウドの設定不備によるものだという。実は、こうした人の操作やうっかりミスによるものが少なくない。
あるITベンダーはシングルサインオン、指紋や顔認証などの生体認証、メールやSMSでのワンタイム・パスワードの発行、QRコードなどを用いたパスワードレス認証などを提案する。IDガバナンスとIDの発行から削除までのライフサイクルに合わせた運用もだ。どこまで取り入れるかは別にして、多くは以前から言われていた対策だ。
信用判定の基準作りの一歩、ゼロトラストへ
RSAの水村氏は、セキュリティポリシーの再構築を薦める。働き方や人とのつながり方などが大きく変わり、たとえば社員の家庭のパソコンに侵入し、在宅勤務からオフィス勤務に戻ると、オフィスのパソコンが感染する。同社によると、DDoS攻撃にさらされやすくなり、攻撃が新型コロナ禍に3倍にもなったという報告もあるそうだ。そのため、たとえば役割などによるアクセス権限を徹底するなど、IDガバナンスをしっかり行うこと。転勤などの異動や役職変更、人材採用が頻繁で、IT部門によるアクセス権限がどんぶり勘定になっていることがあるからだ。人に依存する方法から社員1人ひとりの役割変更を自動設定する仕組みにする。
加えて、どんなトラフィックも信用せずに対策を行うゼロトラストの考え方を取り入れる。多くのセキュリティソフト会社がDX化を急ぐ企業や組織を狙ったサイバー犯罪を完全に防ぐのが難しいからだとし、ゼロトラストを提案する。RSAの水村氏は、米国立標準技術研究所(NIST)が20年8月に公開したゼロトラスト・アーキテクチャの3つの原則にそった対策を説く。1つはすべてのリソースに安全にアクセスできること。利便性を損なわないということ。2つめは、必要な人以外に情報を知らせないこと。信頼ということだ。3つめは、トラフィック・ログを取ること。監視ということだ。
トレンドマイクロの岡本氏は「あるアクセスが信用できるか否かを、どのように判定、担保していくのか」だとし、信用判定のポリシーやコンプライアンス、ID管理、認証情報など情報セキュリティ(基準ベースでの判定)と、システムログや不正検出、挙動監視、攻撃手口、脆弱性などサイバーセキュリティ(コンテキストベースでの判定)を挙げる(図34)。通常と異なるアクセスや、異なるIPからのアクセスなど、いろんな情報を横串から、信用を判定するということ。
だが、ゼロトラストはコンセプトで、「興味がある企業と、無理という企業に二分されている」(水村氏)。新型コロナが多くの企業や組織のデジタル化を加速させるとともに、サイバー攻撃による脅威にさらされる。経営者はそれを理解し、自社の大切な情報やデータは何か改めて考える。守るものをはっきりさせるということだ。
