仮想デスクトップによる標的型攻撃の対策① | 仮想デスクトップ(DaaS | VDI)

仮想デスクトップによる標的型攻撃の対策① | 仮想デスクトップ(DaaS | VDI)

2015年の春、相次いで発生した個人情報流出事故をきっかけに、標的型攻撃、マルウェアが巷を騒がせています。しかし、きちんと対策できている会社はどれぐらいあるのでしょうか?
また、標的型攻撃と仮想デスクトップではあまり関係がないように思われますが、実は仮想デスクトップは標的型攻撃に有効なソリューションであり、いくつかの企業が導入を進めています。
今回のコラムでは、標的型攻撃とマルウェアとは何か?それらから受けるセキュリティリスクについて解説します。

標的型攻撃、マルウェアとは

標的型攻撃やマルウェアという単語、よく耳にするようになったものの『それって何?』という方、『マルウェアとウイルスって何が違うの?』という方もまだまだいるかと思います。そこで、まずは簡単に解説します。

標的型攻撃

コンピュータ上に格納・公開されている情報やデータを標的とした攻撃であるサイバー攻撃の一種で、特に「重要情報の不正な取得を目的として特定の標的に対して行われる攻撃」を指します。
一番の特徴は「特定の標的」という点で、不特定多数ではなく、個人情報を多数持つ政府 / 公共サービス機関や、特許情報などを多数持つ製造業など、価値の高い知的財産を持つ組織が主な標的になります。こう書くと有名企業だけが狙われると誤解しそうですが、標的となるのは「価値の高い知的財産」ですので、マイナーな会社だから大丈夫、というのは大きな勘違いです。
また、もうひとつの特徴が「標的ごとに最適化して攻撃する」という点です。実在する関連団体名や件名、本文を使い、業務上必要なメールを偽装して攻撃してきます。最近では業務メールを盗み取って流用するなど、手口は日増しに巧妙化しています。

マルウェア(malware)

「悪い」という意味の「mal-」に「software」を組み合わせた造語で、ユーザの意志に反してインストールされた、悪意あるソフトウェアの総称を指します。そのため、ウイルスもワームもトロイの木馬も、みんなマルウェアということになります。表は代表的なマルウェアをまとめたものになります。

代表例特徴
ウイルス プログラムに自身のコードを潜り込ませて感染し、その後は自身を複製して拡散します。
ワーム 基本的な動作はウイルスと同じですが、プログラムに寄生せず、単独で存在できる点が異なります。
トロイの木馬 有用なプログラムを偽装することで、ユーザ自身の手でインストールさせてコンピュータ内部へ侵入し、情報収集を行います。
バックドア / ボット トロイの木馬と組み合わせてコンピュータ内部へ侵入し、攻撃者が外部から自由を奪うためのセキュリティホールを作ります。

企業が曝されているセキュリティリスク

冒頭の個人情報流出事故は、現企業が曝されているセキュリティリスク、そしてそれに対する対応策について深く考えさせられる事例となりました。
今、多くの企業が情報資産を守るために行っているセキュリティ対策は、以下のような「入口対策・出口対策」が一般的です。

入口対策出口対策

脅威を中に入れない。

  • 非正規な端末からのアクセスや情報の流入を防ぐ。
  • マルウェアを検知し、駆除する。

脅威が侵入しても被害を防ぐ。

  • マルウェア感染時などにも情報流出を防ぐ。
  • 乗っ取りによる攻撃者からの不正利用を防ぐ。
  • 情報流出時の経路や時間などの追跡を行う。


  • Firewallや侵入検知システムにより不正な侵入を防ぐ。
  • アンチウイルスソフトでマルウェア対策を行う。
  • 証明書などを利用し、社内ネットワークへの接続を制御する。
  • アクセス権を管理し、アクセス範囲を制限する。
  • Firewall、Proxyなどによる通信経路の制御を行う。
  • 不正な外部通信の検知と遮断を行う。
  • 操作・通信ログを取得する。
  • 通信データ、メール添付ファイルの暗号化。

しかしながら、必ずしもこれで十分とは言い切れません。実際にどういった点が問題になるか、以下の事例をもとに考えてみましょう。

事例1:
外部調達用の公開アドレスへの不審メール:標的型攻撃メール(URL型)

XX月YY日、A社の外部調達用の公開アドレスにある1通のメール(URL型の標的型攻撃メール)が届く。

メールの内容は実在する会社を偽装し、A社が自社HP上で公開募集しているタイトル、「『○○○○○のイベントロゴ募集』について」と言う件名で届いていた。そのため、関係者はメールを開封、メール内のURLから関連資料(ファイル)をダウンロード、実行したことでマルウェアに感染してしまう。その結果、このPCに保存されていたイベントに関する機密情報が流出してしまった。後日分かったのだが、そのマルウェアは新種であったため、マルウェア対策ソフトでのリアルタイムでの検知ができていなかった。

問題点①:社外サイトへの不用意なアクセスとファイルの実行の抑制。
問題点②:マルウェア対策ソフトでも検知できない新種への対策。

標的型攻撃メールのパターン例(URL型)

事例2:
社外取引先からの不審メール:標的型攻撃メール(ファイル添付型)

WW月ZZ日、B社の一部 社員のアドレス宛に100通を超える不審なメール(ファイル添付型の標的型攻撃メール)が届く。

社外取引先の営業からのメールではあるものの、不審に思った社員は不審メールとして情報システム部門へ報告し、メールは破棄していた。しかし、社員の一人が添付ファイルを実行したためマルウェアに感染、そして社内で蔓延してしまう。その結果、感染PCは踏み台にされてしまい、誰もがアクセス可能なファイルサーバ上の個人情報が大量に流出してしまった。後日分かったのだが、その営業のPCがマルウェアに感染しており、標的型攻撃の踏み台として利用されていた。

問題点③:安全だと思える相手からのマルウェア感染。
問題点④:出口対策ツールでは正常とみなされるPCからの情報の流出。

標的型攻撃メールのパターン例(ファイル添付型)

標的型攻撃対策、マルウェア対策には、入口対策、出口対策それぞれに様々な対策があります。しかし、2つの事例で分かる通り、それだけで十分とは言い切れないのが現実です。また、単純にセキュリティ製品を追加してセキュリティレベルをあげようとすると、ユーザ利便性が落ちて業務に支障が出たり、利便性を優先してセキュリティ違反を起こす人が出たりすることもあります。これでは、意味がありません。

次回コラムでは、ユーザ利便性を落とすことなく、よりセキュリティレベルの高い入口対策・出口対策を施すVDIの活用方法をご紹介します。キーワードは『ネットワーク分離』です。

M³DaaS@absonneカタログ
M3DaaS@absonne カタログ