名和さんの講演を聞く機会があった。
名和さんはサイバーセキュリティにおける日本のトップガン的な存在だが、twitterでロシア大使館に名指しされるほどの存在になっていることを今更ながら知った。
マルウェアの感染経路は、古典的なものだと道端に落ちているUSBメモリから、現在も主流のメール、Webがあるが、最近と言うか、今後の主流はアップデートサーバ経由になっていく模様。
模様と言うか、実際に三菱電機で発生した不正アクセスがまさにこの経路だったんだがね。
でも、アップデートサーバとなると、ユーザー企業側で出来る手段は限られるので、サービス提供事業者に高いレベルが求められることになると思う。
三菱電機の場合はト〇ン〇マ〇ク〇の脆弱性を突かれてやられたからな。
セキュリティ製品の脆弱性を突かれてインシデントとか、結構シャレにならない気がする。。。
あとは標的型攻撃で、標的の端末にマルウェア感染させた後、遠隔操作するために、マルウェアとC2サーバが通信を行うが、この通信経路が複雑化しているとのこと。
昔は特定のURLやIPで通信していたため、それらをF/Wとかで止めることで防げていた。
最近はマルウェア内にC2サーバへの直接の通信先は記載されておらず、某サイトにC2サーバへの接続先が記載され、マルウェアはそれを読み取ってC2サーバに接続しに行くらしい。
さらに驚いたことに、C2サーバは数十分程度しか稼働しない。
数十分でC2サーバが閉鎖してしまうとなると、脅威情報は事実上役に立たなくなる。
あとは、製品アップデートで、アップデートプログラムにバックドアを仕掛けられるケースが多くなっている点も注意点かかな。
数年前にレ〇ボのPCで似たような騒ぎがあったと思う。
外国製品に気をつければよいかと言うとそう簡単な話ではない。
日本企業でもN〇Cはレ〇ボと提携しているので、単純に日本企業だからOKと言うわけでもない。
個人的には安曇野FinishのVAIOをおススメしたい。