令和3年8月になりました。
今年も35℃を超えるような日もあり、健康管理上、熱中症対策が大切です。
さて、先日弁護士ドットコム様開催の弁護士向けセキュリティセミナーを受講しました。
セミナー講師は、前職時代にセキュリティ診断を依頼したこともある、LAC様でした。
小職がセキュリティの現場に関わっていたのは10年近く前なので、最新の動向を学ぶうえで、大変参考になりました。
以下、今回と次回に渡り、学んだことを、私見を交えて紹介します。
1 アンチウィルスソフトだけではダメ
サイバーセキュリティ対策の手法として、最も基礎的かつポピュラーなものの一つは、(ネットワークにつながっている)PCにアンチウィルスソフトを導入することです。
もちろん、これは必ず行わなければならないと言っても過言ではないセキュリティ対策です。
しかし、アンチウィルスソフトは、セキュリティ事故発生の確率を下げることができるにすぎません。
アンチウィルスソフトには、2つの弱点があります。
1つは、真新しいマルウェアに対しては無防備であるという点です。
マルウェア検出方法のうち、最もポピュラーなものは、パターンマッチング法です。
これは、プログラムの文字配列を見て、マルウェアであるか否かを判断する手法です。
この手法は、前提として、アンチウィルスソフト側で、マルウェアプログラムの文字配列データを保持している必要があります。
そのため、文字配列データがない最新のマルウェアを検出することができません。
この現象は、ゼロデイ・エクスプロイトなどと呼ばれます。
もう1つは、平時行われる動作を用いた攻撃を防げないという点です。
具体的には、マルウェアを仕込んだ不正なウェブサイトへのアクセスを防げないという点です。
インターネットの閲覧は、通常の業務でも行うため、アンチウィルスソフトからすると、見分けがつきません。
このような攻撃に対しては、インターネットゲートウェイにおける出口対策をする必要があります。
もっとも、出口対策も、ゼロデイ・エクスプロイトに対しては対抗できません。
2 サイバー攻撃の多くは金銭を目的としたもの
最近よく聞くマルウェアの一つに、ランサムウェアと呼ばれるものがあります。
これは、感染したPC内のファイルを暗号化し、暗号化解除と引き換えに金銭を要求するというマルウェアの一種です。
重要なデータが暗号化されてしまうと、業務の進行や取引などの重大な支障が生じることから、身代金支払に応じてしまうケースもあります。
サイバー攻撃というと、一般的なイメージとしては、一部のマニアが愉快犯的にマルウェアを作り出してばら撒いたり、特定の思想信条を有する人が国や大資本組織を攻撃するというものがあるかと思います。
もちろん、このようなケースもありますが、大半は金銭目的によるものです。
もっとも、金銭目的による攻撃者は、闇サイトから攻撃ツールや脆弱性情報を取得して、攻撃を行います。
その大元の攻撃ツール、脆弱性情報を提供している人は、愉快犯なのかもしれません。
