立ち止まって熱心にセミナーを聴講する来場者たち

CTCSPでは、この度、5月11日～13日まで東京ビッグサイトで開催された「第13回情報セキュリティEXPO春」に標的型攻撃対策ソリューション（FortiGate / FortiMail / FortiSandbox）ならびにクラウドセキュティソリューション（Box / FinalCode / SSX）を中心とした展示およびセミナーを実施した。そこで接客した際に行われた会話の一端が、冒頭の内容だ。

最近は、標的型攻撃対策の難しさを痛感することが多い。昔であれば、実行形式ファイル（exe / scr / cpl等）のみに注意を払っておけば良かったが、今はWord / Excel / PDFに実行コードが埋め込まれており、それを開くと感染することも多い。また差出人も偽装される。某大手旅行代理店からの情報漏えい事件も記憶に新しいが、仕事現場ではファイルを開かないという選択をすることが非常に難しい状況であったはずだ。

企業としては、出来るだけ攻撃の初期段階で阻止した方が被害も対応コストも少なくて済むため、ゲートウェイタイプのサンドボックス製品の導入を検討するが、これもまた以下の理由からすり抜けてしまうことがあり、完璧とは言えない。

• あらゆる環境の全てのコンテンツがチェック出来るわけではない
  ノートPCの社外利用、USBデバイス、SSL通信等（デコードしない限り検閲不可）
• サンドボックスを回避するマルウェアへの対策は本当に完全か？
  システム情報 / ARPテーブル / MACアドレス等からサンドボックスという推測が成り立ち、サンドボックスの回避を試みるマルウェアが存在する
• あらゆる環境を模擬実行できるわけではない
  サンドボックスに入っていないOS環境は検知不可、チェックできる拡張子に制限がある、PCにインストールされている固有アプリケーション
• 添付ファイルを圧縮・暗号化された上で、別メールでパスワードを送付された場合に検知できない製品が多い

よって、入口・内部・出口対策の総合的な視点から多層防御をしましょう、という話に結局落ち着きがちだが、最近問題になっているランサムウェアの場合、感染と同時にPCの暗号化が始まり、内部・出口対策が事実上、意味のないものになってしまうことから、やはり対策の比重は入口対策としてのゲートウェイタイプのサンドボックス製品ならびにエンドポイント対策製品となろう。

来場者の中にも実際に感染経験がある方も増えてきたと実感

お客様との会話の中でも実際に感染経験がある方も増えて来ている。ランサムウェアにかかり、パソコン内のデータのみならず、ネットワーク上のファイルサーバにも感染が及んだ経験のある方や、自身のメールアドレスを乗っ取られ、悪用された経験のある方に会うことも増えて来た。

サイバー攻撃のROI（投資収益率）が1400％にも達しているという報告もあることから“儲かる”ビジネスとして、攻撃者が新しい手法を生み出し続けることで、攻撃もますます巧妙化し、より社会問題化するであろう。

ゲートウェイに配置したサンドボックス製品だけでは、標的型攻撃を止められない時代が既に到来しており、マルウェアが企業内ネットワークに入り込む前提での対策が求められているため、入口対策としてサンドボックス型のゲートウェイ製品と同等むしろそれ以上にエンドポイント製品が重要になっている。そしてもちろん内部対策・出口対策も総合的な多層防御には必要だ。

CTCSPはマルチベンダーとして標的型攻撃に対応すべく、多数のセキュリティラインナップを取り揃えている。標的型攻撃対策の導入を検討しているのであれば、まずは一声当社に声をかけてほしい。きっと有益かつ有効な対策が見つかるだろう。