2019年10月

企業のITセキュリティ講座

「Webからの脅威」の被害と対策方法

ライター/吉澤亨史

インターネットが重要なインフラとなっている現在、さまざまな脅威もインターネット上のあちこちに身を潜め、虎視眈々(たんたん)と「獲物」を狙っている。うっかり悪意のあるWebサイトにアクセスしてマルウェアに感染してしまうだけでなく、正規のWebサイトが改ざんされているケースもある。ここでは、Webからの脅威による被害事例と、その対策方法について紹介する。

巧妙化する「Webからの脅威」

企業へのサイバー攻撃は、さまざまな経路で行われる。直接企業のシステムへ不正アクセスを行うケースもあれば、外部からメールを介して行われるものある。また、企業に侵入したマルウェアが内部で活動したり、悪意のある内部者が不正行為を働いたりすることもある。このうち最も多い経路はメールで、マルウェアを添付したメールから企業に侵入しようとする。メールによる攻撃は巧妙化、複雑化が進んでおり、新手法が次々に投入され、サイバー攻撃の最前線ともいえる状況になっている。

メールによりマルウェアの感染を図るサイバー攻撃では、マルウェアをメールに添付する以外に、メールの本文にマルウェアに感染させるWebサイトへのリンクを貼るケースもある。脆弱性が存在するパソコンからこうしたWebサイトにアクセスすると、その脆弱性を悪用されてマルウェアに感染してしまう。この手法は以前から存在していたが、最近になってさらに増加が確認されている。メールだけでなくSNS(ソーシャルネットワーキングサービス)のメッセージ機能や、スマートフォンのSMS(ショートメッセージサービス)を使用するケースも増えている。

メールを媒体とせずに、直接インターネット経由で企業への侵入を試みるケースも増加している。こうした攻撃は以前から存在していたが、リモートワークなど企業ネットワークの活用の幅が広がったことで、標的とされる箇所も増えていると推測される。最近、確認されているサイバー攻撃では、主に標的型攻撃で使用されており、サイバー攻撃者が侵入や悪用の痕跡を消去していくため、発見や調査に時間がかかる傾向にある。標的型攻撃に使用された手法は、後に一般化することが多いので、こうしたWebからの攻撃が一気に拡大する恐れもある。

マルウェア感染を目的としたメールの例

目次へ戻る

「Webからの脅威」による被害事例

メールの本文にWebサイトへのリンクを貼るケースでは、マルウェアに感染させるWebサイトに誘導するものと、フィッシングサイトへ誘導するものがある。マルウェアに感染させるWebサイトの場合は、そのサイトにあらかじめ脆弱性を悪用するスクリプト(命令文)が組み込まれている。脆弱性が存在するパソコンでアクセスしてしまうと、ページを表示する裏でマルウェアへの感染が行われる。ユーザーが気付かない間にマルウェアに感染してしまう。検出が困難なファイルレス・マルウェアが使用されることも多い。

Webサイトに誘導するケースでは、正規のWebサイトに誘導することもある。しかし、サイバー攻撃者はあらかじめ正規のWebサイトを改ざんしている。改ざんといっても、この場合も悪意あるスクリプトを追加しているだけなので、ページを見ただけでは改ざんされていることに気付かない。正規のWebサイトであるためユーザーは何も疑わずアクセスしてしまうことを逆手に取った攻撃といえる。いずれにしても、攻撃を受けたことを気付かせない、対策を講じさせない点で影響の深刻度はより高くなる。

フィッシングサイトの場合は、メールの本文に「アカウントを一時的に停止したため、再度ログインしてアカウント有効にしてください」などと書かれており、フィッシングサイトへのリンクが貼られている。リンクを開くと、一見しただけでは怪しいところのないログイン画面が表示されるが、ここにIDやパスワードといったアカウント情報を入力してしまうと、サイバー攻撃者に盗まれてしまう。サイバー攻撃者は、入手したアカウント情報でサービスにログインし個人情報などを盗み出すほか、同じ情報でほかのサービスにもログインを試みる。同じパスワードを使い回していると、ほかのサービスにまで不正ログインされてしまう。

インターネットを直接経由する攻撃では、RDPやOpenVNCといったポートから侵入されるケースが多い。これらのポートはリモートデスクトップサービスやVPNなど、リモートワークのためのサービスで使用される。メンテナンス用のポートを開放していることが多いため、そこから侵入されてしまうことになる。侵入してしまえば、サイバー攻撃者は企業ネットワーク内を移動して情報を盗み出したり、新たなマルウェアを設置したりするなど、好きなように行動されてしまう。

フィッシングメールの例

目次へ戻る

「Webからの脅威」への対策方法

巧妙化するWebからの脅威には、複数の対策が考えられる。メールを介した攻撃については、エンドポイントとなるパソコンへのセキュリティ対策ソフトの導入がまず挙げられる。企業向けの場合にはEPP(Endpoint Protection Platform)とも呼ばれ、これによりマルウェアの検知をはじめ、基本的な保護対策を行える。また最近では、対策をすり抜ける脅威に対応するEDR(Endpoint Detection and Response)の導入も進んでいる。侵入した脅威を見つけ出し、対応を行うためのものだ。

悪意あるWebサイトへのアクセスを阻止するためには、Webフィルタリングが有効だ。Webフィルタリングは、Webサイトを多くのカテゴリーに分類し、カテゴリーごとにアクセスを禁止するためのソリューションであるが、最近ではIPアドレスベースでのアクセス阻止にも対応している。サイバー攻撃者はこれを避けるために、IPアドレスを定期的に変更することもあるが、対策ベンダーもインテリジェンスなどの活用で素早く対応するようになっている。これにより、正規のWebサイトの改ざんにも対応できる。

インターネットから直接ポートにアクセスするケースに対しては、次世代ファイアウォールや次世代IPSといった、ネットワークのゲートウェイ部分で不正なアクセスを遮断するセキュリティ対策機器が有効とされている。もちろん、ポートの開放をメンテナンス時のみに限定するといった運用での対応も可能ではあるが、担当者の作業負荷を軽減する意味でも、機器による対策が効率的といえる。また、これらのセキュリティ対策機器の管理や運用をアウトソースするマネジメントサービスも充実してきているので、特に中小企業は検討すべきといえる。

マネジメントサービスのイメージ

目次へ戻る

関連記事