こんばんは。「10分でAWS」に関しては、少し様子を見て何か新たなネタが出てきた時点で再度考察してみる予定です。

　今回はラックのセキュリティインシデントレポートに戻ります。全てに関して言及するのはたいへんですので、標的型攻撃に関する項目に関して言及します。

　レポートを読んでますと、標的型攻撃自体はコンスタントに発生しているそうです。この記事によると、Daserf感染の事例について言及しています。感染端末の識別IDとBASE64でエンコードした端末情報をPOSTメソッドで送信するそうです。端末情報としてはホスト名やIPアドレス等を送信するそうで、内部ネットワークの端末についてスキャンし、新たな端末情報を得ようとする挙動を示すようです。

　また、Nemimに関する感染時の挙動についても報告されています。C&Cサーバとの通信はhttpで行われていたようですが、通信は暗号化されていたために内容までは不明だったとのことでした。

　これら標的型攻撃で感染するマルウェアはウイルス対策ソフトではスルーされてしまう可能性があることを示唆しています。ですので、事前検知出来ずに感染してしまうこともあり得ます。感染してしまった場合は事後処置になりますが、関係機関への報告や、情報漏洩が確認された場合は警察に届けたり、場合によっては公表することにもなります。

　もちろん感染しないに越したことはありません。その際に、普段から組織内構成員の方々に対して注意喚起も必要ですし、定期的な情報セキュリティ教育も欠かせません。ユーザ自身が日常業務を行う際に常に注意しておくべき問題として認識すべきです。

　ユーザ側としても普段自身が使うPCにおいて、ウイルスチェックやOSのセキュリティアップデートがなされているかということを意識することや、OSだけでなく利用しているアプリケーションについてもセキュリティアップデートがリリースされていないかどうか注意しておくことも重要です。そして、「何かおかしいな」と感じた場合は、組織内の情報系専門部署に相談して下さい。

 組織としては、標的型攻撃があった場合にはどのような対応をすべきかを決めておき、手順書をまとめると共に、構成員に対して周知も忘れないようにする必要があります。

　そして、ネットワーク側としては、FWやUTMをはじめとするセキュリティ機器を適切に組み合わせた多層防御策を講じることや、ネットワーク監視や、ログの取得と解析が重要です。このレポートにもありますように、SPF認証も有効な手段になるようですね。DNSサーバにTXTレコードで宣言するだけでなく、メールサーバ側でもチェックしておきたいところです。DNSサーバでの宣言はしているけど、メールサーバ側で設定していないとケースは多いのではないでしょうか。

　不幸にも感染してしまったとしても、外部に漏らさないようにしておく対策は打っておくべきです。プロキシサーバを経由してwebフィルタリングさせるようにするとか、幾つかのVLANに分割しておき、アクセス制御することで感染する端末を抑え込める態勢にしておくことも効果は見込めます。

　「これだけ導入しておけば大丈夫！」という特効薬はなく、地道な努力が必要です。面倒ですが、日頃の注意が被害を防ぐことにつながると思います。