見過ごせない!?WEBアクセスのセキュリティ

メールやWEBを無防備に使っていると、サイバー攻撃の被害に遭う危険性があります。本稿では特にWEBアクセスに関するセキュリティの話題を有効な対策方法と合わせて紹介します。

「メールとWEB、どちらがサイバー攻撃によく使われますか?」。時々お客さまからこのような質問を受けます。シンプルにお答えするなら「メールのほうが多いです」となりますが、一度攻撃を受けるだけで社内ネットワークを通じて感染が拡大し、大きな被害につながるリスクがあることを考えると、頻度の多寡はあまり重要ではありません。

お客さまのセキュリティ対策予算が限られているケースでは、優先度を考慮しながら順次対策をしていきたいという事情もあると思いますので、その場合は一番対策が不十分だと思われる箇所から強化することをお勧めしています。

プロキシサーバの導入

2015年に起きた年金機構の情報漏えい事故以来、セキュリティ対策の見直しについてさまざまなお客さまにご提案させていただく機会が増えたのですが、このとき意外だったのが、中・小規模の企業を中心にプロキシサーバを未導入のお客さまが多かったことです。

プロキシサーバはキャッシュ機能を利用するためのものという前提であれば、たしかに今のブロードバンド回線の時代には必要性ありません。ただ、もし標的型攻撃によってマルウェアに感染し何らかの被害が想定されるときは、攻撃者が感染したユーザ端末を乗っ取ってどのような通信を行なったのかといったログを調査するうえで、プロキシサーバは重要な対象になります。そして攻撃による被害が発覚した際には、プロキシサーバを導入していなければ、不正な通信を把握できず、被害の特定もむずかしくなり、対策不十分ということで問題を大きくしてしまう懸念もあります。よって、プロキシサーバの導入は、最初に確認・検討すべき対策だと言えます。

HTTPS通信に潜む危険

WEBサイトの改ざんや盗聴が大きな問題となり、個人のプライバシー保護のために通信を暗号化するHTTPS対応が注目されています。そうしたなか「Let’s Encrypt」と呼ばれるプロジェクトのもと、HTTPS対応に必要なSSL/TLS証明書を無料で提供するサービスが2016年4月にスタートしました。証明書発行のコストをかけずに通信の暗号化が可能になったことで、今後、普及が加速すると考えられます。

ところが、もし攻撃者がHTTPSを悪用し、暗号化された通信を通じてマルウェアを配布したら、インターネットゲートウェイでのウイルス対策ソフトはもちろん、サンドボックスでも検査できず、ユーザの端末まで到達してしまいます。サーバ証明書が無料になったということもあり、これまで以上に攻撃者に悪用される懸念があるため、HTTPS通信をデコード(復号化)して、ウイルス対策ソフトやサンドボックスでスキャンできるようにしたいという相談が増加しています。

ただ、デコードを実現しようとすると、そのために新たにハードウェアを追加・導入しないといけなかったり、導入済みの製品にデコード機能が付いていたとしても、それを利用すると高負荷で通信が異常に遅くなってしまう、といった課題も出てきます。そこで「IIJセキュアWebゲートウェイサービス」では、HTTPSのデコード機能をオプション(有償)で提供しています。自社に設備を置くことなく、クラウド型サービスとして利用できるので、新しい製品や高性能な製品を購入する前に、ご検討いただければ幸いです。

"見ただけ"で感染する静かな脅威

「マルバタイジング」という造語をご存じでしょうか?悪意あるオンライン広告を意味するセキュリティ用語ですが、このマルバタイジングが問題になっています。これは、ニュースサイトなどのWEBサイトに表示されるオンライン広告に悪意あるコードを埋め込み、ユーザがアクセスして広告が表示された(またはクリックした)際に、マルウェアを配布するサイトなどに誘導する攻撃です。

この攻撃は、当該するWEBサイトが不正アクセスを受けたことにではなく、掲載している広告ネットワークに対して攻撃者が悪意ある広告を配信したことに起因するため、WEBサイトの運営者は被害を受けた側とも言えます。ユーザも、怪しいWEBサイトを見たわけでなく、一般的なWEBサイトで広告を表示しただけでマルウェアをダウンロードしてしまうため、インターネットの利用者なら誰でも気付かずに感染する危険があります。実際、国内の一般的なWEBサイトがこの攻撃の被害に遭い、閲覧したユーザがマルウェア感染したという事例もあります。

最近「ばらまき型攻撃」と呼ばれるメールによるランサムウェアの拡散が問題になっていますが、このマルバタイジングもさまざまなマルウェアを拡散する手法として攻撃者に利用される可能性が高いと思われます。

インターネットは原則禁止!?

このところ、従業員のインターネットアクセスをホワイトリスト方式にする、という措置が現実味を帯びてきているように感じています。これまでは業務用の端末で自由にインターネットを利用できましたが、業務に関係のないWEBサイトについては原則禁止とし、業務上見る必要があるWEBサイトは申請して許可リスト(ホワイトリスト)に登録するという方法です。

スマートフォンやタブレットの普及を背景に、ニュースサイトや個人のWEBメールなどを見たいときは、ユーザ個人の端末で見てもらうということでしょうが、全面的に導入するのはむずかしいかもしれません。ただ、WEBアクセスセキュリティにかかるトータルコストを考えると、あながち非現実的なこととは言えないのではないでしょうか。

もう1つの方策に「ネットワーク分離」があります。先行事例として全国の自治体において、マイナンバー制度の導入に向けたセキュリティ強化の目的で、ネットワークを分離する取り組みが進んでいます。業務に使うネットワークとインターネットにアクセスするネットワークを分離し、セキュリティを向上させようという狙いです。万が一、マルバタイジングなどの被害に遭っても、マルウェアに感染するのは(業務用ネットワークの環境ではなく)インターネット用の環境だけなので、情報漏えいなどの心配を最小化できます。

企業においても、仮想デスクトップを活用して同様の機能を実現しているところがありますが、導入・運用コストが高い点が課題でした。最近、コストの問題を解決する新しい製品やサービスが登場しており、2017年以降、徐々に普及が進むと見られています。IIJでもサービス開発に取り組んでおり、自治体向けの「IIJセキュアブラウジングサービス」を先行して発表いたしました。今後は、一般企業でもご利用いただけるサービス品目をリリースいたしますので、どうぞご期待ください。

(イラスト/STOMACHACHE.)

インターネット関連の最新情報「IIJ.news」をお届けします

本記事が掲載されているIIJグループ広報誌「IIJ.news」は、インターネット関連の最新動向や技術情報をお届けする小冊子で、2ヵ月に1回発行しています。

定期購読をご希望の方には無料でお送りしますので、ぜひお申し込みください。

掲載内容はIIJ.newsページでご覧いただけます。

※IIJグループ広報誌「IIJ.news vol.136」(2016年10月発行)より転載