標的型攻撃(APT)に対する対策に関して説明します。
最近の標的型攻撃は手が込んでいます。一昔のように明らかに怪しいメールではなく、攻撃対象を調査して攻撃をしてきます。
実在する団体より、文面も本格的に作成されて送付されます。SNSなど人間関係、仕事関係の人脈を調べて知人を装いってメールを送付してくるケースもあります。
また仕事場の近くのコンビニなどで、社員のIDカードを盗み見て個人情報を盗み、本人を偽装してメールを送ってくるケースもあります。
また勧誘の電話で人間関係を調べる場合もあります。
単に「怪しいメールは開くな」では対策になりません。なぜなら「怪しくないメール」が攻撃に使用されるからです。
(1)人的面での防御
・組織の人員の徹底教育
・実行可能形式のファイルは絶対に開かない。ZIP暗号化などルールを決める。(ただしZIPが絶対に安全という訳ではない。ただしexeなど実行形式は本当に危険。
・定期的な教育。不審メールの報告や読まずに削除の徹底。
・擬似攻撃による訓練
・実際に標的型攻撃を装った訓練メールを送付する。何割程度の社員がメールを開くか調査する。
・擬似攻撃で対応が不合格となった人員の教育。
(2)システム面での防御
・ふるまい検知型
ふるまい検知型のセキュリティ機器を導入。例:FireEye、LastLine
・実行可能ファイルを限定
クライアント端末での指定プログラム以外の実行を禁止。例:Windows Enterprise版機能であるAppLocker。
・SIEMの導入
ログ相関分析の導入。ログに対するブラックリストホストやIPアドレスの監視。例:QRadar、Splunk
・次世代ファイアウォール
次世代ファイアウォールによる不審な通信の検知、遮断。例:TippingPoint
・メールアドレス
フリーメールからのメールを削除。メール送信元のホワイトリスト化。(ただしメール送信元は簡単に偽装が可能)
・送信ドメイン認証(SPF)
メール送信時にドメイン認証を行う。送信元を偽装するメールには有効だが、正規のサーバでもSPFに対応していない場合もあり。
・ネットワーク監視
不審通信の監視。C&Cサーバへの通信の監視。
(3)個人情報の保護
・ネットで個人情報を公開しない。特に仕事関係。勤務先や同僚、上司、仕事のつながりを公開するのは危険。
(4)ネットワーク分離
インターネットブラウザやメールクライアントを実行する環境と重要ファイルを保管するネットワークを物理的に遮断する。インターネットブラウザやメールは仮想環境で実行し、クライアント端末には画面転送という形式で表示される。スポンサー リンク