サイバーセキュリティにおける複合型攻撃は、単一の攻撃手法ではなく、多様な手法やマルウェアを組み合わせて行われる高度な脅威です。これらの攻撃は、従来の単体のマルウェアよりも遥かに凶悪な効果をもたらし、個人情報の漏洩やシステムの崩壊など、深刻な被害をもたらします。
このコラムでは、複合型攻撃の定義、具体的な攻撃例、そして対策について詳しく説明します。
複合型脅威とは
複合型脅威は、複数の異なるタイプのマルウェアや攻撃手段を組み合わせたものです。例えば、ウィルス、ワーム、トロイの木馬、バックドアなどが組み合わされることがあります。これにより、損害の重大度や影響速度が大幅に拡大します。複合型脅威には、増殖と自動化に関する手法や手口が複数組み込まれており、単体のマルウェアよりも効果的にシステムを侵害することができます。
具体的な攻撃例
フィッシングとマルウェアの複合型攻撃
一例として、フィッシングとマルウェアを組み合わせた攻撃があります。攻撃者は、正規のWebサイトを装い、スマートフォン向けのアプリケーションを配布している旨の広告を出します。ユーザーがこの広告をクリックすると、アプリのダウンロードのために個人情報を入力するよう促されます。ここで、ユーザーが名前やメールアドレスなどを入力すると、攻撃者の手に個人情報が渡るようになります。さらに、ダウンロードしたアプリはトロイの木馬などの悪質なマルウェアだった場合、ユーザーのデバイスに感染し、情報漏洩や他のマルウェアの導入などを引き起こすことができます。
このような攻撃は、フランスで実際に発生した事例を基にしており、シマンテック社の解析によると、トロイの木馬として送り込まれたマルウェアは情報漏洩に必要な外部との通信機能がなかったものの、今後も同様な手口で更に悪質なマルウェアが送り込まれる可能性があります。
ランサムウェアとDDoS攻撃
別の例として、ランサムウェアとDDoS(分布型サービス拒否)攻撃の組み合わせがあります。2017年5月には、世界規模で「WannaCry」ランサムウェアによるサイバー攻撃が発生し、多くの組織が被害を受けました。この攻撃では、Windowsの脆弱性を悪用して広範囲に感染し、データを暗号化して身代金を要求する手法が用いられました。また、2016年には「Mirai」マルウェアが登場し、IoT機器を大量に感染させて大規模なDDoS攻撃を仕掛ける手法が見られました。Miraiは、IoTデバイスの脆弱性を悪用して大量のHTTP GETリクエストを送信し、正常な通信と区別がつかないようなDDoS攻撃を行いました。
この攻撃は、DNSサービスプロバイダーのDyn社を標的とし、TwitterやPaypalなどのサービスが利用不能になるなど、広範囲に影響を及ぼしました。
対策
複合型攻撃に対する対策は、多層防御の概念に基づいて行うことが重要です。
以下に、具体的な対策を紹介します。
侵入をさせない(入口対策)
- 不正なURLの閲覧を避ける
ユーザーが不正なURLを閲覧しないようにすることが基本的な対策です。スパムメールに含まれるURLをクリックしないことが重要です。また、ドメインネームシステムの偽装により一見正規のWebサイトと思われる偽のサイトに誘導されることもあるため、URLを確認する習慣を養う必要があります。 - SSLの確認
重要な個人情報を入力する際には、そのサイトがSSLで暗号化されていることを確認します。アドレスバーに「https」の文字が表示され、または緑色になったり鍵マークが表示されていることを確認します。
外部通信をさせない(出口対策)
- C&Cサーバーとの通信をブロック
侵入してしまったマルウェアが外部と通信することでさらに拡散し被害を増大させることがあります。C&Cサーバーとの通信をブロックすることで、情報を持ち出されるリスクを低減します。
活動をさせない(内部対策)
- ウイルス対策と脆弱性対策
OSやブラウザ、アクティブコンテンツなどのソフトウェアを最新の状態に保ち、脆弱性を可能な限りパッチでカバーすることが重要です。さらに、ウイルス対策ソフトを導入し、ネットワークの脅威監視や内部拡散防止を行います。 - バックアップと世代管理
定期的なバックアップを行い、データの世代管理を徹底することで、感染した場合でも迅速に復旧できる体制を整える必要があります。
EDR(エンドポイント検出および対応)の重要性
このような攻撃から企業を守るために、EDR(エンドポイント検出および対応)の導入をおすすめします。EDRの重要性について、以下のポイントを挙げます。
1. 早期検出と迅速な対応
EDRはエンドポイント上での不審な活動をリアルタイムで監視し、異常を即座に検出・対応します。HOYA株式会社が不審な挙動を早期に発見し、迅速にサーバーの隔離を行ったように、EDRは迅速な対応を支援する強力なツールです。
2. 詳細なインシデント調査とフォレンジック分析
EDRは、サイバー攻撃の詳細なインシデント調査とフォレンジック分析をサポートします。HOYA株式会社が外部専門家と連携してフォレンジック調査を行ったように、EDRを導入することで、攻撃の全貌を迅速かつ正確に把握し、再発防止策を講じるためのデータを提供できます。
3. 自動化された防御と復旧
EDRは、攻撃を自動的に防御し、被害を最小限に抑えるための対策を自動化する機能を備えています。HOYA株式会社のような大規模な製造業では、手動対応には限界があるため、EDRによる自動化された対応は非常に有効です。
4. 脅威インテリジェンスの活用
EDRは最新の脅威インテリジェンスを活用して、新たな攻撃手法に対する防御策を常に更新します。これにより、最新の脅威に迅速に対応することができます。
5. サプライチェーン全体のセキュリティ強化
製造業は複雑なサプライチェーンを有しており、その全体のセキュリティを強化することが重要です。EDRは、サプライチェーン全体のエンドポイントを包括的に監視・保護し、連携するパートナー企業のセキュリティも向上させることができます。
まとめ
サイバーセキュリティの複合型攻撃は、多様な手法やマルウェアを組み合わせて行われるため、従来の単体の攻撃よりも遥かに危険です。フィッシングとマルウェアの組み合わせやランサムウェアとDDoS攻撃などの例から、複合型攻撃の凶悪さを理解することが重要です。対策としては、侵入をさせないための入口対策、外部通信をさせないための出口対策、そして活動をさせないための内部対策を多層防御の概念に基づいて実施することが求められます。個人情報の入力時にはSSLの確認を徹底し、不正なURLの閲覧を避け、ウイルス対策と脆弱性対策を最新の状態に保つことが、サイバーセキュリティを維持するための基本的なステップです。