昨今、大手企業のWebページ改ざんされ、それを閲覧した多くの方がウィルスに感染したという報道がありました。今回は、企業の情報インフラへの攻撃を日常的に監視し悪意ある攻撃からコンピュータを守っている株式会社ラックの高坂様に、攻撃の現状そして対策について、そした私たちはどのような対策を常日頃とったらよいのか等についてお話しを伺いました。

マルウェアは、電子メールからネットワーク、USBメモリ経由、そしてWeb閲覧で感染するようになってきた。また、最近実在する人物のアドレスを詐称して、その人の知り合いにウィルス付きメールを送りつける「標的型攻撃」が増えている。つまり、攻撃者は、受信者に関する情報をある程度の把握している可能性がある。

なぜ、このようなことが起こるか？
攻撃者の目的が金銭なのか、情報がほしいのか、明確でないことが多いが、少なくとも技術力を誇示するために自己顕示欲でマルウェアを作っていたという傾向から、相手が本気になっていることは間違いない。

このような場合、メールに添付されているマルウェアが、ウイルス対策ソフトのパターンファイルが対応しておらず、検知・駆除できないこともある。

そのような攻撃者から情報を守る対策は、PCのOSやアプリケーションのアップデートなど基本的な対策を実施することであり、送信者が信頼のおける人であっても、身に覚えのない、または、怪しいと感じたメールの添付ファイルは、送信者に送信の事実があったか確認をとることが必要である。

皆さんは、 OSのアップデートはよくされているが、アプリケーションはなかなかされない場合が多い。最近では、アプリケーションの脆弱性によって深刻な事態になっている場合が多い。そもそも、最新なものであるもわかりにくい時がある。その時は、MyJVNバージョンチェッカが便利である。

　・MyJVNバージョンチェッカ解説
　http://www.ipa.go.jp/security/vuln/documents/2009/200911_myjvn_vc.html

ルールは厳格につくればよいと言うわけではない。継続的に実行できないものは逆にマイナスである。どこまで実行できるかを考えてルールづくりをしなければならない。情報セキュリティがうまくいっていない組織には、ルールに無理があり形骸化していると同時に、そのルールがトップダウンでのみで決められ柔軟性がない点等がよく見受けられる。

感染を防御する為のソフトは良くなってきている。その一方で、感染した場合にどうするかも考えなければならない。ウイルス対策ソフトは、検知に力を発揮するが、一度感染してしまったPCからウイルスを駆除できないこともある。そのような場合は、OSの初期化をすることになることが多いため、未感染な状態の時に、データをバックアップしておくことが必要である。

また、例えば、意図せずに自分のクレジットカードの情報が盗まれて、金銭的被害が発生したなどのセキュリティ事故にあった場合の対応を考えておく必要があるだろう。早めに検知をするために、用途においてクレジットーカードを使い分け、常日頃から明細に目を通すことも重要である。

企業への情報セキュリティ対策は、決して派手なものではない。そもそも、情報セキュリティは、人がPCを便利に使おうというものを制限する一面があるもので、なかなか理解してもらえないところもある。それでも情報社会の安全安心の為にはやらなければならない。

情報セキュリティの対策の為には、技術的なものはもちろん必要で、現場の技術者はまじめに一所懸命やっている。しかし、そればかりだけではなく、なぜ情報セキュリティ対策が必要かという意識を喚起するような教育も重要な要素である。

LACについて
https://www.lac.co.jp/