過去問(H24秋SC午後1問3)を見てみよう。
S主任:典型的な標的型攻撃では, (A)ウイルスが,様々な方法で社内に侵入し,(B)社内で感染を拡大させ,(C)感染したPC及びサーバのアクセス権を入手して情報収集を行います。このとき,ウイルスの活動によって異常なトラフィックが発生したり,PC又はサーバが異常な振る舞いをしたりすることもあります。その後,(D)収集した情報をネットワーク経由で攻撃者に報告します。
P部長:そうだな。このような被害の拡大をどこかで断ち切れるように対策を強化していこう。
S主任:はい。(A)については, MXl及びPRXにウイルス対策ソフトを導入しており,(B)についてはPC及びサーバにウイルス対策ソフトを導入しています。(C)についてはPC又はサーバの監視強化を検討します。(D)は,バックドア通信と呼ばれるものですが,対策は簡単ではありません。
P部長:つまりどういうことかね。
S主任:バックドア通信については、当社のネットワーク設定で、既に遮断できる通信もあります。しかし,例えば,ウイルスがWebアクセスの通信パターンを模倣して行う通信については,現在のところ防げません。これに関しては,④更なる対策を検討していきます。

設問3 〔標的型攻撃への対策〕について
(4)本文中の下線④で示した更なる対策として考えられる具体的な手段を,40字以内で述べよ。
6b2fb508
なんか、攻撃がすごく複雑ですね。
ふつうのウイルスソフトやIPSなどの対策ではダメなんですかね?




標的型攻撃に対する、明確な見解は出ていない。製品に関しては、FireEyeなどの標的型対策の専用機があったり、FFRIのyaraiなどのような専用ソフトもある。また、各UTMメーカも、標的型対策専用のオプションライセンスを設けている場合が多い。そういう観点では、既存の対策では不十分と各社が考えているのだろう。
 一方で、違う見解もある。たとえば、ウイルス対策やIPSなどをきちんとやっていれば、ほぼ攻撃を受けないだろうという考えだ。実際、SONYがやられたときも、既知の脆弱性を付かれたということで、従来の対策をきちんとしていれば防げたと発表されている。
 さらに、違う意見もある。本気で狙われたら、どう対策しても防ぎようがないという考えだ。ソーシャルエンジニアリングを絡めれば、これは事実かもしれない。
 私の考えでは、標的型対策に関して、試験センターでは、標的型の専用機を導入しましょうという考えではないと思う。既存の対策をまずはきっちりやりましょうという考えではないか。この価値観を認識しておかないと、試験では、作問者が求める答えと違う回答を書いてしまう気がする。

たとえば、この問題の設問3(4)の解答例は「通信先が信用できるかをシグネチャで判断するWebフィルタをPRX(プロキシサーバ)に導入する。」である。これは対策の一つであるが、これで完璧ではない。標的型攻撃の恐ろしさと精巧さを知っている人であれば、この解答では不十分と考え、この解答は出てこないだろう。

対策
さてさて、前置きが長くなったが、基本的な対策について整理したい。
過去問にある(A)(B)(C)(D)に応じて対策が求められる。
入口対策
 そもそも、標的型メールなどが入ってこないようにする仕組み。
内部対策
 内部でウイルスなどが拡散しない仕組み
出口対策
 ほとんどの標的型攻撃は、外部のC&Cサーバと通信する。それを防御し、情報漏えいも防ぐのだ。