【語句】

• マルウェア：
  • コンピュータ・ウィルスを含む「悪意」を持ったソフトウェア。
• 標的型攻撃：
  • 特定企業や組織向けの攻撃

【Topics】

2007年より前は、愉快犯によるコンピュータ・ウィルスが多かった。
しかし、2007年以降は、ビジネス目的でのマルウェアが増えている。

ビジネス目的でのマルウェアは、特定企業や組織向けに作成されているため、従来のウィルス検知方法である「パターンマッチング」では検知できない。
また、家庭用も含めて、マルウェアは多様化しているため、従来のウィルス対策ソフトでの検知率は2～4割まで低下している。

最近、マルウェアが増えているのがAndroid。
Androidに、多くのアプリをインストールする人は、ウィルス対策ソフトを導入すべき。

感染経路として多いのが、社内の人のメールアドレスを騙ったメールに、OS等の脆弱性を攻撃するPDF等を添付する例。
メールアドレスの送信元は簡単に偽装できる。
また、脆弱性攻撃ツールは、誰でも闇市場で簡単に手に入る。

注目すべきは、重要な情報を持っているところを狙うために、所属している○○協会や子会社/孫会社を先ず攻略して本丸を攻撃するという例が増えていること。
メール内容も日常業務と変わりないものが送信されているため、迷わずに開いてしまうことも。

また、標的型攻撃の場合、攻撃者は秘密裏に長期に渡り情報を取得しようとするため、攻撃の事実が表面化しにくいという点がある。
ある金融機関では、システムに侵入されていることを6年間気づかなかった。
迷惑メール対策のために呼ばれたときに、たまたま脆弱性検査を行ったら、システム侵入の事実が発見できた。

【対策】

場当たり的対策では高い投資対効果が得られない。

• クライアントにしっかりパッチを当てること。
• Proxyサーバー（認証付Proxyサーバー）を設置する。
• エンドポイント（PC端末）で、プログラムの振る舞いを解析するソフトウェアを導入する。
  • [FFR yarai 製品概要│セキュリティ・リサーチのＦＦＲＩ

【Q&A】

• サーバー側の対策はどうすればいい？
  • Webサーバーは、WAF（Web Application Firewall）を導入したり、パッチの管理をしっかりすること。
  • Fileサーバーは、社内のクライアント側から攻撃を受けることが多いため、クライアントに当社のソフトウェアを導入してください。

• 東京の会社は、どのくらいセキュリティ対策に費用を掛けているのか？
  • 機密情報が搾取されることによるリスク評価（事業継続性に対するインパクトなど）を考えて、ピンからキリまである。
  • 機密情報を扱わないところは、それほど費用を掛けなくて良い。

• Linuxの方が安全なのか？
  • 利用者が多いWindowsの方が攻撃ニーズが高い。
  • セキュリティ業界の中では、Windowsは内部コードの解析が進み、もはやオープンソースと同じ扱いを受けている。
  • ただし、最近のマイクロソフトのセキュリティ管理はしっかりしている。
  • OSSは、品質のばらつきが大きい。

• セキュリティ教育はどうすればいいのか？
  • 実際に攻撃を受けるのを体験すればよい。
  • IPA 独立行政法人 情報処理推進機構：脆弱性体験学習ツール AppGoat*1