サイバー攻撃は完全に防御できない、ではどうするか？

今年5月にランサムウェアWannaCryが全世界で蔓延しました。また、標的型攻撃を受けて年金機構で情報漏えいが発生したことも記憶に新しいと思います。多くの企業では、労力をかけてセキュリティ対策を行っていますが、具体的に対策はどのように考えたらよいのかご紹介します。

新しいマルウェアの「6割は検知できない！」

最近、手の込んだ標的型攻撃が多くなり、それらを完全に防御することは不可能だといわれています。とりわけ企業専用のマルウェア(ウィルス)が使われるとウィルス対策ソフトでは検知できず、防ぎ切れません。

そもそも皆様がお使いのウィルス対策ソフトは、新しいマルウェアの40％程度しか検知できないといわれているのをご存じですか？AI技術を使った最新のウィルス対策ソフトでも最大95％の検知率にとどまります。

つまり、100個のマルウェアが送られて来たら、数個から数十個は検知できないということになります。そのため、これからは、どんな企業でもサイバー攻撃が侵入することを考えた対策を考える必要があるということです。

「よくわかっていない」マルウェアの動き

では、企業内に侵入したマルウェアはどんな動きをするのでしょうか？実は、よくわかっていません。

企業に侵入したマルウェアは、攻撃者の用意した外部の攻撃サーバと通信をし、攻撃者の司令に従いながら、様々な攻撃活動を行うといわれています。
その動きを調べるためには、実際にマルウェアを動作させ、攻撃者と通信をさせなければなりません。

最近のマルウェアは自分が動作する環境を見て動きを変えるので、実験室などでは検証できません。マルウェアのリアルな動きを知るためには、リアルな環境で動作させる必要があります。しかし、本物の企業環境で本物のマルウェアを動かすということは、大きなリスクを伴いほぼ不可能なため、侵入後のマルウェアの動きはよくわかっていないのです。

「精巧に模擬したネットワーク」でサイバー攻撃者を誘い込む

最新のマルウェアは、自分の動作した環境が解析用かどうかを判断して動きを変化させるため、簡単には解析が出来ません。これに対して情報通信研究機構（NICT）は、標的型攻撃等の攻撃者を誘い込み、その攻撃活動を長期観測することを可能にするサイバー攻撃誘引基盤「STARDUST（スターダスト）」を開発しました(注1)。

「STARDUST」は、政府や企業等の組織を精巧に模擬したネットワークを柔軟かつ高速に構築することが可能で、あたかも実在の組織のように振る舞うことが出来ます。この環境でマルウェアを動作させると、調査行為や感染拡大行為、情報窃取等の実際の攻撃動作が実行されることが確認されています。STARDUSTは、このような攻撃者の挙動を攻撃者には察知できないステルス性の高い手法で観測し、リアルタイムの挙動観測・分析を可能にします。

「侵入」を前提とした対策を可能に

「STARDUST」上での攻撃挙動の分析は、富士通の「高速フォレンジック技術」(注2)
を活用しNICTと富士通の共創で行っています。高速フォレンジック技術は、攻撃で使用される通信から、使用されたユーザアカウント名と遠隔操作コマンドを自動的に解釈して記録する技術です。

この技術により、サイバー攻撃活動を一目瞭然にできるため、侵入を前提とした対策が可能になり、多くの企業で掛けていた対策労力の軽減につなげられるでしょう。

2017年10月18日