トレンドマイクロが企業のIT管理者と協力して標的型攻撃に対するセキュリティ対策を行っている中で、IT管理者が標的型攻撃に対する誤解を持っているとして、IT管理者の誤解とどのような対策を行うべきかを紹介した。
一つ目の誤解は、標的型攻撃は一度対策をし、検出して実行を阻止すれば攻撃が終了と考えている。しかし実際には持続的なもので、攻撃者はネットワーク内の変化に対応した動きをするため、常時監視を続けて攻撃者の企みを考えながら攻撃をブロックする対策が必要となる。
二つ目は、すべての標的型攻撃に対応したセキュリティ対策があると思っていることで、管理者は万能なセキュリティを求めている。しかし攻撃者は標的企業のIT環境やセキュリティ対策の事前調査を綿密に行っているため、企業は各組織の異なるネットワークに応じたセキュリティ対策を講じる必要がある。
三つ目は企業システム内に重要な情報がないため攻撃の標的にはならないと思っているが、窃取された情報の使い方はその情報入手者に委ねられる。管理者が重要だと思っていない情報でも攻撃者にとっては有益になることもあるため、企業は自社の持つ情報の重要性を考慮し、保護に務めなければならない。
4つ目は標的型攻撃には必ずゼロデイ脆弱性が利用されると思っていることで、ゼロデイ脆弱性は大きな危険性があるが、実際には古い脆弱性の方が頻繁に利用される。実際に2013年下半期に最も利用された脆弱性は2012年に確認されて同年修正プログラムが提供された脆弱性であることも報告されている。そのため、大切なのはネットワーク内すべてのシステムのセキュリティ更新プログラムを適用して最新の状態にしておくことが重要になる。
最後に、標的型攻撃は不正プログラムの問題であるということで、これは部分的には事実でネットワーク内に侵入する不正プログラムを回避するセキュリティ対策も必要であるが、実際には標的型攻撃はIT環境全体に関係する。攻撃者が侵入したネットワーク内の情報検索ツールは正規の管理ツールであることが多く、もし不正プログラムの検出のみに注力したセキュリティ対策だと不正活動を検出できない。そのためIT管理者はネットワーク全体に対するセキュリティ対策を行う必要がある。