標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは

2014/07/15


 近年、企業システムのセキュリティに対する最大の脅威と目されるようになったのが「標的型攻撃」。これまで本コーナーでは標的型攻撃に対抗するための「入口対策」「内部対策」「出口対策」を解説してきた。しかし対策が必要な理由であるシステムの弱点についてあまり触れてこなかった。攻撃者は弱点を見つけ次第にそこを攻撃してくる。システムを防衛するためには、攻撃者がよく狙う弱点を知ることも大切だ。今回は、IPAが発表した「攻撃者に狙われる設計・運用上の弱点についてのレポート」をベースに、システム運用・設計の10の落とし穴を紹介し、改めて対策を考えてみる。

標的型攻撃

システム運用・設計の不行き届きが招く大被害

 まずは標的型攻撃の1つの典型的な例を見てみよう。以下は、各種報道や被害企業の公表資料などをベースにしてキーマンズネット編集部が作成した架空の想定事例だ。

【発端】…初期潜入
 ある日、A社の設計部門で働くMさんが、関連会社のB社のいつもの営業担当者Kさんからのメールを受け取った。そのメールには「打ち合わせ議事録.PDF」という名前のPDF文書が添付されており、Mさんは何の疑問も抱かずそれを開いた。内容は古い会議議事録だったので不審に思いはしたものの「慎重を期して再送したのだろう」と考え返信もせずに忘れてしまった。ところがこのメールはKさんとはまったく別の、A社の設計情報を狙う第三者からのものだった。送信元アドレスはB社のものに偽装されていたばかりか、メール本文や添付ファイル、送信者名は、B社のメールシステムを盗聴して入手した「本物」が使われていた。ただ添付ファイルに悪意ある加工が加えられており、外部からウイルスを呼びこむプログラムが忍ばされていた。A社のゲートウェイのUTMやMさんのPCのアンチウイルスツールも、その不正コードの存在を検知できなかった。

【バックドアの設置、外部サーバーとの交信】…侵入基盤構築

 MさんのPCには外部から「バックドア型トロイの木馬」ウイルスが仕込まれた。その機能により、MさんのPCは常時外部のC&Cサーバーと通信するようになった。しかし業務を邪魔する活動は一切なく、Mさんはウイルスの活動に気がつくことがなかった。

【攻撃基地化・侵入の拡大】…基盤構築/内部侵入・調査
 Mさんは業務用サーバーの管理を時々担当することがあり、特権ユーザーとしてさまざまな管理業務を同じPCを使って行っていた。またA社ではディレクトリサービスにより利用者管理を行っていた。攻撃者は情報収集用のプログラムを送り込み、MさんのPCからアクセス可能な他のPCやディレクトリサーバー、業務サーバーへのログインアカウントを次々に窃取することに成功した。しばらくすると、MさんのPCやネットワーク上で隣接するPCが侵入基地と化し、社内情報を収集しては攻撃者のもとに送信する仕組みが出来上がってしまった。

【被害の顕在化】…目的遂行の結果

 それから数ヵ月経った頃、A社の顧客から不審なスパムメールの増加が指摘されるようになった。また、機密のはずの設計情報が流出したと考えられる他社の製品開発情報が聞こえてくるようにもなった。どうやらA社の顧客情報や設計情報をはじめ、さまざまな機密情報が外部に流出しているように思われた。A社がセキュリティ専門会社に調査を依頼したところ、上述の事実が次々に判明していった。Mさんがアクセスできる領域を越えて、さらに社内システムの深部にまで侵入が進み、多くの情報が盗み見られた可能性が明らかになった。

 ……標的型攻撃はだいたいこれに類似した経過をたどって被害を生じさせている。問題はMさんのPCに攻撃「第1弾」の着弾を防止することが難しいことだ。現在はいくら入口対策をとっても、完全に最初の侵入を防ぐことができないことは常識化していて、その後のウイルスのふるまいを発見して対処し、被害が生じるのを防ぐ「内部対策」および「出口対策」も「入口対策」同様に重視されるようになった。
 IPAではこうした標的型攻撃のプロセスを細かく分析している。それによると、ウイルスの侵入とその後のシステム内部での活動にはおおよそのパターンがあり、図1のように最初の着弾の後、そのPC内部からネットワーク上の隣接するPC、さらにサーバーセグメントのディレクトリサーバーや顧客データベースなどの重要情報にまで侵入を拡大していくのが常だ。

図1 内部で侵入を拡大する「標的型攻撃」のイメージ
図1 内部で侵入を拡大する「標的型攻撃」のイメージ
資料提供:IPA

  この内部での不正活動の多くがシステム設計や運用の弱点を狙って実行される。よく狙われる弱点があらかじめわかれば、ウイルスが侵入してもその後の活動を封じ込めることができることになる。
 以下では、よく狙われる弱点とは何か、その弱点をなくすための対策には何があるかを紹介していく。


1

システムに内在する「10の落とし穴」とは?

 IPAでは昨年8月「『標的型メール攻撃』対策に向けたシステム設計ガイド」を発表し、攻撃のプロセスとシステム設計・運用対策とを解説している。そしてそれを補完するために対策が必要になる理由である「攻撃者が狙うシステム設計や運用の弱点」を解説する「攻撃者に狙われる設計・運用上の弱点についてのレポート」を今年3月に発表した。以下では、この「レポート」に示された次の「10の落とし穴」を取り上げ、それぞれの落とし穴を防ぐ対策を紹介していくことにしよう。

(1)

メールチェックとサーバーなどの運用管理用の端末が同一

(2)

分離できていないネットワーク

(3)

止められないファイル共有サービス

(4)

初期キッティングで配布される共通のローカルAdministrator

(5)

使いこなせないWindowsセキュリティログ

(6)

パッチ配布のためのDomain Admin

(7)

ファイアウォールのフィルタリングルール形骸化

(8)

不足している認証プロキシの活用とログ分析

(9)

なんでも通すCONNECTメソッド

(10)

放置される長期間のhttpセッション

セキュリティ情報局にご登録頂いた方限定で「標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


標的型攻撃/標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「標的型攻撃」関連情報をランダムに表示しています。

標的型攻撃」関連の製品

「Windows 10」移行をいち早く決めた企業が得る、これだけのメリット 【デル株式会社】 無線LAN環境で構築する「多層防御」 安全性と高品質を両立するための鍵は? 【ノックス】 標的型攻撃メール訓練 「SYMPROBUS Targeted Mail Training」 【アクモス】
デスクトップパソコン 無線LAN セキュリティ診断
「Windows 10」移行をいち早く決めた企業が得る、これだけのメリット 無線LAN環境で構築する「多層防御」 安全性と高品質を両立するための鍵は? 疑似攻撃メールの送信や結果の集計、レポート作成などをすることで、標的型攻撃メールの対策訓練を実施するソリューション。

標的型攻撃」関連の特集


332人にUTM(統合脅威管理)の導入状況を調査。この1年で標的型攻撃への対策を重視する声が大幅増加…



昨年のスマホ国内出荷数は約1575万台!増加するスマートデバイス業務利用の背景にある“脅威”と、安全…



 2011年に国内で相次いで発生した標的型攻撃においては、企業、特に大手製造業の社内ネットワークから…


標的型攻撃」関連のセミナー

サイバー攻撃の動向と対策解 【NRIセキュアテクノロジーズ/日本プルーフポイント/マクニカネットワークス/FFRI】  

開催日 10月20日(金)   開催地 愛知県   参加費 無料

ランサムウェア、標的型攻撃などサイバー攻撃は高度化、多様化し、被害は拡大する一方で、各企業で喫緊に取り組むべき経営課題のひとつとなっています。そのような状況の中…

標的型攻撃対策の見直しポイント発見セミナー 【主催:アシスト 】  

開催日 11月22日(水)   開催地 東京都   参加費 無料

巧妙化する標的型攻撃には、マルウェア侵入を前提とした多層防御が必要です。多層防御には、何を実施し何を実施しないかの取捨選択が常に必要となります。本セミナーでは、…

【G-Tech 2017大阪】シスコのセキュリティソリューション 【グローバルナレッジネットワーク】  

開催日 11月2日(木)   開催地 大阪府   参加費 無料

概要シスコセキュリティは、お客様のニーズに合わせた豊富な製品をご用意しています。各種製品の概要、製品組合せによる効果的ソリューション、また標的型攻撃やランサムウ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30007189


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ