いったい、サイバー犯罪者たちが世界中にまき散らしている脅威とは、どのようなものなのか――ESETラボでは絶えずこのことを分析し研究し続けている。 そのため日々、多種多様な目的のために作られたさまざまな種類の不正コードを大量に収集している。その中にはホームユーザーを狙うものもあれば、ビジネス世界の攻撃に照準を合わせたものもある。 こうしたマルウェアの動向を分析した結果をESETは随時「ホワイトペーパー」にまとめている。2016年は今のところ「IoT」（モノのインターネット）の勃興に注目が集まっている。もちろんIoTは家庭のみならず職場においても関係のある脅威である。一方、2015年においては特に「狙われるビジネス界」に焦点が当てられていた。この傾向は2016年も収束することなくむしろ激化している。

企業の立ち位置からすると、セキュリティとは、組織内のもろもろのキーエリアを管理しサポートするプロセスである。この仕事には終わりというものがなく、セキュリティチームは、不正コードがネットワークに侵入してくる可能性がある多様な最前線をカバーしなければならず、その際、防御プランとして、プロアクティブな検知技術、マネジメント、そして教育という武器を頼みとしている。

組織のリソースは有限であり、ITスタッフはとりわけ情報セキュリティに責務を負うという事実を考慮して、明確で簡潔な事故対応プランを練っておくことが大切だ。同時に、どのような状況にも備える方法として、「感染の可能性が最も高いのはどの辺りなのか」を同定し整理しておくことも、きっと役に立つことだろう。

そこで以下では、企業を襲う恐れが非常に高い5つの脅威とそのインパクト、そして最近起きた重大な実例を紹介しよう。

企業にとって最も注意すべき5つの脅威

1.メールが脅威を運んでくる

今日メールは、顧客、仕入れ先、供給先などとのコミュニケーションの中核をなしており、企業においてほとんど中心的な役割を担っている。またメールのおかげで、企業内の情報を社員同士が共有できる。企業のメールアカウントは、たいていの場合、不正コードが入り込んでくる主な入り口の一つであり、私たちはすでにこのコミュニケーション方法を悪用してさまざまなタイプの脅威が拡散するケースを幾つも検証してきた。

メールを狙ったごく最近の脅威の一つとして「ベイロブ」（Win32/Bayrob）がある。このマルウェアは、アマゾンのクーポン券を装って拡散したが、さまざまな亜種が出回った。その結果、1カ月もたたないうちにアルゼンチン、チリ、コロンビア、メキシコといった国々で最も検知数の多い脅威の一つとなった。

それだけではない。添付ファイルを通して入り込んだマルウェアは、2015年夏に起きた「CTB-Locker」事件で見られたように、途方もない問題を引き起こした。この事件では、幾つもの波状攻撃が多様な言語圏で見られた。トロイの木馬「エレノーッカ」（ESETでは「Win32/TrojanDownloader.Elenoocka.A」として検出される）が拡散されたのだが、ベイロブの場合も、被害者のファイルを暗号化する「ランサムウェア」をインストールし、再びファイルが読めるようにするのと引き換えに身代金の支払いを要求したのである。

企業のメールアカウントを防御するためには、メールが社内の宛先に届いた時点で不正な添付ファイルを検知するエンドポイントでのセキュリティ対策だけでなく、メールサーバそのものを防御し、怪しいメールが社員のメールボックスに届く前にこれを選り分け、取り除くこともまた必要である。セキュリティチームにお勧めするのは、社員たちがメールを通して日々受け取っているさまざまな脅威を自動的にリポートする管理ツールを利用し、仮に何かが起きたときの対処法を調整しておくことだ。

2.外付け機器がファイルを消失させる

USBメモリスティックやほかのタイプの外付け機器の使用もまた、不正コードの拡散を担う可能性が非常に高い。これは特にラテンアメリカで見られる事例であるが、そこでは不正コードの膨大な数に上る亜種ファミリーが目撃されてきた。これらには、何年にもわたって誰にとっても頭痛の種となってきた技術が悪用されている。

感染の主な手口は、ショートカットのリンクを行うLNKファイルの不正使用である。USB機器を感染したマシンに接続すると、全てのファイルとディレクトリが消えてしまい、LNKファイルに置き換えられてしまう。その同じUSB機器が別の新しいマシンに挿入され、ユーザーがそれらのリンクをダブルクリックすると、システムそのものが感染し、被害者が知らないうちにフォルダが開いてしまうのである。

幾つかのマルウェアファミリーが何年にもわたってこのテクニックを使って「ドークボット」（Win32/Dorkbot）、「リバピィ」（Python/Liberpy.A）、「ボンダット」（JS/Bondat）、「エージェントNDH」（VBS/Agent.NDH）、さらには「IRCボット」（Win32/IRCBot）の亜種などを拡散させてきた。

組織の側からすれば、外付けデジタル・ストレージ機器の使用規定を提示することが重要になる。それは何よりも外付けデバイスが「情報窃取」の道具になりやすいからである。ビジネスの種類や各組織が下す決定にもよるが、場合によっては外付けデバイスの使用を制限するという解決策が大いに推奨される。

3.情け容赦のないエクスプロイト

ソフトウェアの脆弱性につけ込むエクスプロイト攻撃は、主にオフィス向けのアプリケーション、ブラウザ、Webサイトを通じて不正コードが拡散されるもう一つのやり方である。ユーザーが脆弱性のあるアプリケーションをアップデートし忘れたり、まだそのパッチができていないときには、企業が脅威にさらされたままになる――これが、アプリケーションやブラウザの弱点に関わる課題だ。

2016年1月にESETでは「Microsoft OS で報告された脆弱性に関する研究」を発表した。このOSは世界中で最も多く使われており、当然のことながら企業においても多く使用されている。この報告書によれば、「Internet Explorer」 は最も危険性をはらんでいるアプリケーションである。エクスプロイトの危険は主に、不正コードのインストールと結び付いている。これは遠隔操作で実行されるコードであり、 分かりやすく言うと、攻撃者はこのコードによって、あるシステムを遠く離れたところからコントロールできるのである。

エクスプロイト攻撃は、各端末に被害を及ぼすだけではない。Webサーバーやその他インターネットに直接つながっているデバイスもまた、同種の弱点を突かれる可能性がある。こうしたタイプの脅威と闘うには、「ESETエクスプロイト・ブロッカー」のような機能を用いたプロアクティブなセキュリティ対策が必要になってくる。そうした機能はエクスプロイト攻撃の実行を妨げるのに役立ち、「ゼロデイ攻撃」のような悪名高い脅威からユーザーを守ってくれる。Webサーバーやデータベースのような他のサービス、またしばしばセキュリティ対策ソフトがインストールされていない種々のデバイスに関しては、それらに定期的な「ペネトレーション・テスト」を施し、それらの防御状態を確かめておくことが、どんな種類の事故からも身を守る手助けとなる。

4.ランサムウェアの増加

身代金を要求するマルウェアである「ランサムウェア」は、大企業であれ中小企業であれ、世界中の会社が出くわす脅威の中で、最もフラストレーションが高まるものの一つである。このタイプの不正コードに感染すると、ある組織の弱点の多くがさらけ出されてしまうことがある。企業が、マルウェア対策に乗り出すにせよ、頻繁にセキュリティの見直しを迫られるにせよ、この種の攻撃は、どのような情報が人質に取られたかに応じて、その企業のビジネスの存続自体が脅かされるということを意味するのである。

どのような企業であれ、事前予防的なセキュリティ・ポリシーを打ち立てているのは、一切の感染を避けようとしているからであるが、ひとたび感染が起きてしまうと、何と言ってもダメージを軽減する手立てを前もって取っておくことが重要になってくる。ランサムウェアの場合、感染が社内に生じる前に情報のバックアップさえ取っておけば、被害を最小限にとどめることが可能となり、その後にビジネスを立て直し再始動させるのに必要な時間も得られるはずである。

5.無防備なモバイル機器

企業にあらためて懸念を抱かせているもう一つの要因は、社内で使われるモバイル機器である。昨年のESETセキュリティリポートによると、ラテンアメリカでは10社に1社しか、社内モバイル機器にセキュリティ対策を取っていなかった。社用モバイルは多くの場合、社内コンピューターと同じネットワークに接続されており、しかも防御されていないという事実からして、それらが攻撃の通り道になり、「情報漏えい」のドアを開けてしまいかねない。

モバイル機器の防御は、不正コードによる感染に対して防御するばかりではなく、社用モバイルがつながっている社内ネットワークそのものを継続的に防御するのに役立ちもする。この点について言うなら、現場での使用を統括する単一のマネジメント・コンソールで、複数の社用モバイルを管理することができる。

企業がモバイル機器向けの実効力あるポリシーを提示することは可能であるし、したがって、スマートフォンやその他の機器の使い方を規定する明確なルールを示すこともできるはずである。

セキュリティ対策担当者にできること

企業のセキュリティチームの仕事とは、組織の防御である。すなわち、次の2つのことを保証することである。第一に、社内ネットワークにおける装備の何一つとして感染していないこと。第二に、万が一感染が生じた場合には、ビジネス上の損害を最小限に食い止めるために、できる限り迅速に対応できること。これは難しい仕事であるが、プロアクティブな仕方で取り組もうとするなら、不可能ではない。

そうするための適切な出発点は、組織にとってどのような脅威が最も有害であるかを知っておくことだろう。これを成し遂げるには幾らか時間が掛かるかもしれないが、日ごとに更新されるデータベースに基づいたセキュリティ対策がどのようなマルウェアを検知しているかが分かれば、企業のセキュリティ・ポリシーに沿ってサポートプランを立て、これを実行していく手助けになるだろう。以上の方策をまとめて適用することで、ビジネスの安全、また何よりも企業情報の安全を、守ることができるだろう。