「グーグル社Windows使用中止」へのメッセージ:Operation Auroraは、テクノロジーでもOSの問題でもない

グーグル社がMicrosoft Windowsの使用を取りやめようとしているとの報道が瞬く間に広がっています。「どのOSがより優れており、安全か」という判断は行わずに、この「決定」には現実的な根拠があるのかどうか、いくつかの事実を検討してみたいと思います。なお、現時点ではこの報道の真偽は確認されていません。

この変更の原因として考えられるのは、グーグル社をはじめ、多くの企業が影響を受けた「Operation Aurora」攻撃です。McAfee Labsセキュリティ解析センターによれば、

「Operation Auroraは、Microsoft Internet Explorerの脆弱性を利用して、システムにアクセスするコードを含む組織的な攻撃でした。さらに、この脆弱性を利用して、システム内にマルウェアがダウンロードされ、実行されました。ターゲットユーザーが悪質なWebページにアクセスすると(ユーザーはそのWebページが信頼できると考えています)、気づかないうちに攻撃が開始され、システムがリモートサーバーに接続されます。攻撃者は、この接続を利用して企業の知的財産を盗み出し、グーグル社によれば、ユーザーアカウントにアクセスされたとのことです」

多くの人たちは気づいておりませんが、Operation Auroraは技術的な問題だけではありません。中には、「どうしてそんなことが言えるのか。Auroraは複数のネットワークで複数のコンピューターを所有したが、すべて、諸悪の根源であるMicrosoft Windowsを実行していた。Windowsを排除すれば、すべての問題が解決されるはずだ」という人もいるかもしれません。

ただこれらの議論は、問題の核心に近づいてはいません。確かに、攻撃者は非常に効果的なゼロデイの脆弱性を利用していました。また、さまざまな回避方法を用いて、ペイロードを配信していました。しかし、本当の脆弱性は技術でなく、「人」なのです。

Operation Auroraを仕掛けた攻撃者は、企業、個人の両方の視点からターゲットを熟知していました。ターゲットが何を実行し、どのような役割を担っているのかを把握していました。さらには、どのアプリケーションのバージョンを使用しているのかも知っていました。攻撃が始まったとき、ゼロデイの効果がInternet Explorerバージョン6に限定されていたのか不思議ですが、攻撃者はそれで十分なことを知っていました。

攻撃者がOperation Auroraを仕掛けるために収集した情報は、攻撃対象となるオペレーティングシステムではなく、攻撃を成功させるために必要な情報でした。彼らがターゲットにしていたのは、システムではなくは人だったのです。

攻撃者がこのように高度な分析を行っている状況で、ターゲットがLinuxなどのオペレーティングシステムを実行していたとしても、ほとんど違いはなかったでしょう。Linuxにも、Windowsにも、Macにも、何にでも弱点はありますが、最も脆弱な弱点は、システムのユーザーです。

Operation Auroraのように、攻撃者が企業のテクノロジーの配備や人材の詳細な情報を把握している場合、オペレーティングシステムの違いなどは、攻撃者にとって全く無意味です。技術的には、どのようなシステムやネットワークでも乗っ取ることが可能です。同様に、どのオペレーティングシステムに対応するマルウェアも作成することができます。

意志の固い攻撃者と情報収集者が時間をかけて、行動、好き嫌い、技術的な知識、役職など、ターゲットを調べ上げた場合、実際のエクスプロイトは取るに足りないといえるでしょう。必要なのは、ターゲットにリンクをクリックさせることだけです。攻撃者がターゲットについて知れば知るほど、ユーザーがクリックする可能性は高くなります。

ソーシャルエンジニアリング、情報収集は常にテクノロジーを打ち負かします。そして、この傾向は、今後も変わることはないでしょう。

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。