ニュース

標的型メールは「誰かが開封してしまう」ことを前提とした対策を、NRIセキュアの企業セキュリティ動向分析

 NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は18日、情報セキュリティ対策サービスを通じて蓄積したデータを元に、最新の動向分析と推奨する対策をまとめた「サイバーセキュリティ傾向分析レポート2016」を公表した。

 NRIセキュアでは、今回のレポートで注目される点として、「標的型メールを開封してしまう割合に大きな改善は見られない」「マルウェア付きメールの流入には多層にわたる防御策が重要だが、添付ファイルの拡張子による制御などが効果的な場合もある」「ウェブアプリケーションが抱える危険度の高い脆弱性の約4分の3は、機械化された検査では発見できない」「企業が把握している外部向け自社ウェブサイトは半数」という4点を挙げている。

 標的型メールへの対応については、2015年度に実施した「標的型メール攻撃シミュレーション(標的型メールへの対応訓練)」サービスの結果の分析から、従業員では約8人に1人、役員では約5人に1人が、標的型メールに添付されたファイルを開いたり、URLをクリックしたりしてしまうことが分かったという。この割合は、過去3年にわたり大きな改善が見られず、標的型メール攻撃は依然として脅威であるとしている。

 攻撃メールの巧妙さは徐々に増し、受信者が気付くことが難しくなってきているとして、受信者が標的型メールを開封してしまうことを前提に、企業内での対応を整理したり、システム面での予防/検知策を導入したりするなど、対策を多層的に検討していく必要があるとしている。

 マルウェア付きメールについては、2016年2月~3月にかけて、NRIセキュアが管理するウイルスチェックサーバーで、マルウェア付きメールの検知数が急増。その9割以上が、WordやExcelなどマクロが付加されたOffice文書とスクリプトファイルだったという。

 このように大量のマルウェア付きメールが配信されると、高度なマルウェア対策製品では処理量の急激な増加によって高負荷状態に陥り、業務メールの配信遅延につながる可能性があるため、こうした場合にはスパムフィルタリング製品などによる拡張子規制も有効だとしている。

 NRIセキュアでは、マルウェア付きメールの対策には、スパムフィルタリング製品やアンチウイルス製品など、複数の手法を多層的に用いる必要があると指摘。さらに、攻撃の状況に応じて各層の構成や設定を定期的に見直し、マルウェアの侵入リスクを効果的に低減することが重要だとしている。

 ウェブアプリケーションについては、2015年度に実施した「Webアプリケーション診断」により、危険と判定したシステムの75.2%が、あるユーザーが他のユーザーになりすましてシステムを利用できたり、一般ユーザーが管理者用の機能を利用できたりするなど、「アクセスコントロール」に関する問題を抱えていたという。

 また、こうした問題を検査するためには、個々のアプリケーションの仕様を踏まえての検査が必要であり、機械化された検査だけで発見することは困難だとしている。

 企業の自社サイトの把握状況については、2015年度に実施したウェブサイト群探索棚卸しサービス「GR360」によると、企業が自社で管理すべき外部向けウェブサイトのうち、一元的にその存在を把握できていたウェブサイトは半数にとどまっていたという。

 この割合は、3年間ほぼ同じであり、多くの企業で自社のウェブサイトを把握できていない状況が未だに続いている可能性があると説明。ウェブサイトの存在を把握できていなければ、脆弱性を悪用する攻撃への対策が十分に実施できず、ウェブサイトを改ざんされるなどの被害につながる恐れがあると警告している。