サイバー攻撃、最近のトレンド

九嶋氏：最近のサイバー攻撃のトレンドについて、忠鉢さんはどのように捉えておられますか。

忠鉢氏：サイバー攻撃はばら撒き型と標的型に二分されますが、ばら撒き型についてはメールを入り口とした攻撃が増えています。添付ファイルを開くとマルウェアに感染してしまうというものです。最近はこの添付ファイルの多くがWordファイルやExcelファイルといったOfficeドキュメントになっています。exeファイルを対象とする従来のアンチウイルスソフトだけでは対処が難しくなっているのが現状ですね。標的型攻撃についても同様で、Officeドキュメントが入口になっています。攻撃者がここを攻撃すると強い意志を持って仕掛けてくるケースでは、さらにアンチウイルスに検知されないようにウイルスを作り込んできますから、攻撃を受けた時点ではなかなか気づくことはできません。


九嶋氏：つまりばら撒き型にせよ、標的型にせよ、アンチウイルスソフトでは対策できないということですね。それは私たちの認識とまったく同じです。今や攻撃の92%はメールが起点となっており、その中でもWordドキュメントが6割を超えるというデータがあります。現代のサイバー攻撃はテクニカルに防ぐことはできませんし、添付ファイルをうっかり開いてしまうという人の心の隙、いわば人間の脆弱性にも起因しています。完全な対策は困難ということですね。

忠鉢氏：そういっていいと思います。

九嶋氏：それに加えてHPが注目しているのは、低レイヤーに入ってこようとする攻撃です。アプリケーションやOSの防御は最近ではかなり強固になっていますが、対策があまりされておらず、かつ一度入り込まれると見つけにくく、マルウェアにとって居心地がいいのがBIOSやファームウェアといった低レイヤー領域なのです。

忠鉢氏：BIOSやファームウェアを狙った攻撃というのは、観測事例としてはそれほど多いわけではありません。ですが、今はまだ多くないというだけで、今後増える可能性があるし、過去に観測されていないということは、今のアンチウイルスでは見つけられない可能性が高いという見方もできます。過去にばらまかれていたものなら参照すべきデータがたくさんあるので、それらをベースにルールを作ったり学習したりできますが、それがないのですから。

九嶋氏：HPではこの問題に対して、自己回復型BIOS「HP Sure Start」という機能を用意しています。もうひとつ、検知されないように作り込まれた攻撃、つまりゼロデイ攻撃も重要です。1日に35万種もの新しいマルウェアが登場しているといわれる今、何を考えなければならないのか。オペレーションを止めないという観点での施策が必要になっていると私たちは考えています。


忠鉢氏：インシデント対応の現場でも、お客様にもっとも要求されるのはシステムを早く再稼働させたいということです。ところが、まずどこまで感染しているのかを調べなければ対処できません。その間、ビジネスが止まってしまうのですから、中小企業にとっては大きなダメージになります。

九嶋氏：最近はオペレーション停止のためにシステムの破壊そのものを目的とした攻撃も増えてきています。焦点になるのは攻撃を受けてウイルスやマルウェアに入ってこられた後にどうするのか、ということになるでしょう。

狙われてしまう中小企業とは

九嶋氏：HPでは2016年頃からデバイスのセキュリティが大事だというメッセージを出し続けており、重要インフラを担う大手企業のお客様にはそれが浸透し始めているという感触があります。その一方で、中小企業のお客様には今ひとつ伝わっていないようにも思います。忠鉢さんがコンサルティングをされている中で、中小企業のお客様のセキュリティに対する意識はどのように変化していると感じられていますか。

忠鉢氏：これは両極端ですね。攻撃されて被害を受けた経験のある企業の中には、大手企業も顔負けのセキュリティ対策をとっているところもあります。そうかと思えば、やられてしまってもPCやシステムを初期化すればいいじゃないかという企業もあります。そういう考え方はなくはないでしょう。でも、それで大丈夫だと思っているのは自分たちだけで、周囲の要求というものが認識できていないともいえます。


九嶋氏：そうですね。NIST SP800シリーズのような国際的セキュリティのガイドラインの必要性が認知され、たとえば防衛関係の企業であれば、一定水準のセキュリティ要件を満たさない企業はサプライチェーンから閉め出されてビジネスができなくなるということも現実になりつつあります。周囲の要求は今後高まる一方だと思います。これはビジネス環境の構造を考えれば当然の話で、どんな企業も仕入先や納品先などとつながってビジネスを成立させています。攻撃者は重要な情報を持つ大手企業を最終的なターゲットに、そこを攻撃する踏み台として中小企業を狙っています。

忠鉢氏：強固なセキュリティ対策を施した大手企業を直接狙うよりも、対策の甘い中小企業、サプライチェーンの弱い部分を狙うほうが費用対効果は高いですからね。もし攻撃を受けて情報流出という事態になり、それがマスコミに取り上げられたりすれば、やられてしまうところなんかに仕事を出せるわけがないと思われて、次の仕事はなくなってしまうでしょう。


九嶋氏：中小企業の場合なら、いきなり資金繰りが困難になってしまうなど、会社の存続に関わりかねません。ましてや、ずっと気づかずにいたら、自分たちが加害者として被害を拡大させてしまうケースも有り得ます。

忠鉢氏：そうですね。セキュリティに対する意識が低く、周囲の要求が変わりつつあるという状況の変化にも気づいていない、そういった企業は絶好のターゲットになってしまうと思います。

九嶋氏：ところで、大手企業顔負けのセキュリティ対策をとっている中小企業は増えているのですか。

忠鉢氏：少しずつ増えてはいるのでしょうけれども、新しい会社がどんどんできているので、割合でいえばそう大きくは変わらないのではないでしょうか。

入口の防御を固める意義

九嶋氏：最後に、忠鉢さんの立場から、デバイスセキュリティの重要性をどう捉えているのか、お聞かせください。

忠鉢氏：やはりシステムの入口となるのはデバイスですから、そこで異変を検知できるように備えておくことは重要です。端的にいえば新しいものを使うことでしょう。当社の観測範囲内でも、Windows 7には通用する攻撃がWindows 10には通用しないというケースは非常に多く見受けられます。Windows 7は終売となり、サポートも終了していますが、残念ながら未だにWindows 7を使っている企業は少なくありません。新しいものであればあるほど、攻撃が失敗に終わるということはいえると思います。

九嶋氏：そのご指摘は非常に重要なことを示していると思います。Windows 10は標準機能でハードディスクドライブ暗号化、生体認証、ファイアウォール、さらにディフェンダーというアンチウイルス機能も搭載し、防御は強固になっています。さらに、それだけではフォローしきれない部分や新しい脅威についても、HPビジネスPCが備えるセキュリティ機能でカバーできます。たとえば「HP Sure Run」では、OSのセキュリティ機能がオフにされても、自動でそれを検知して再起動します。箱から出した時点で安全なPCということで、コストと手間を掛けずにセキュリティのベースラインを上げることができます。

忠鉢氏：確かに「HP Sure Run」は有効な機能と思います。それから冒頭でお話した悪意のあるメールの添付ファイルを、仮想ブラウザに封じ込めることができる「HP Sure Click」もデバイスを守るという意味ではおもしろい機能だと思います。


九嶋氏：米国国防総省では従来の境界防御ベースのものでは守ることのできない攻撃に備えて、新しい技術的な枠組みのひとつとして封じ込め技術を重視しています。「HP Sure Click」はこの最先端の技術を中小企業向けにアレンジし、どなたにでも使える機能としてビジネスPCに組み込んだものです。

忠鉢氏：もはやアンチウイルスだけでは守りきれない、プラスアルファが必要ということははっきりしています。その点、PCを入れ替える初期導入コストだけでそのプラスアルファが手に入るのはとても魅力があります。それらの機能の運用コストはどうなっているのですか。

九嶋氏：Sureシリーズと呼んでいる一連のセキュリティ機能はビジネスPCに標準搭載しているので、追加投資はゼロです。運用負荷も「HP Sure Click」はユーザーによる簡単な設定が必要ですが、「HP Sure Start」や「HP Sure Run」は機能を有効にするだけで、後は管理の手間もかかりません。

忠鉢氏：専任者をアサインできない、あるいは“ひとり情シス”というような中小企業にとっては、導入するだけでいいというのは非常に大きなメリットだと思います。

九嶋氏：何も対策せずにいるよりも、対策したほうがやられてしまうリスクは圧倒的に下がるのですから、会社を守る、ビジネスを守るという観点からも、取り組んでいただければなと考えています。

• 【これからのデバイスセキュリティを考える vol.1】悪意のあるメールは月に16件、狙われる“人”と“デバイス”