標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは

2014/07/15


 近年、企業システムのセキュリティに対する最大の脅威と目されるようになったのが「標的型攻撃」。これまで本コーナーでは標的型攻撃に対抗するための「入口対策」「内部対策」「出口対策」を解説してきた。しかし対策が必要な理由であるシステムの弱点についてあまり触れてこなかった。攻撃者は弱点を見つけ次第にそこを攻撃してくる。システムを防衛するためには、攻撃者がよく狙う弱点を知ることも大切だ。今回は、IPAが発表した「攻撃者に狙われる設計・運用上の弱点についてのレポート」をベースに、システム運用・設計の10の落とし穴を紹介し、改めて対策を考えてみる。

標的型攻撃

システム運用・設計の不行き届きが招く大被害

 まずは標的型攻撃の1つの典型的な例を見てみよう。以下は、各種報道や被害企業の公表資料などをベースにしてキーマンズネット編集部が作成した架空の想定事例だ。

【発端】…初期潜入
 ある日、A社の設計部門で働くMさんが、関連会社のB社のいつもの営業担当者Kさんからのメールを受け取った。そのメールには「打ち合わせ議事録.PDF」という名前のPDF文書が添付されており、Mさんは何の疑問も抱かずそれを開いた。内容は古い会議議事録だったので不審に思いはしたものの「慎重を期して再送したのだろう」と考え返信もせずに忘れてしまった。ところがこのメールはKさんとはまったく別の、A社の設計情報を狙う第三者からのものだった。送信元アドレスはB社のものに偽装されていたばかりか、メール本文や添付ファイル、送信者名は、B社のメールシステムを盗聴して入手した「本物」が使われていた。ただ添付ファイルに悪意ある加工が加えられており、外部からウイルスを呼びこむプログラムが忍ばされていた。A社のゲートウェイのUTMやMさんのPCのアンチウイルスツールも、その不正コードの存在を検知できなかった。

【バックドアの設置、外部サーバーとの交信】…侵入基盤構築

 MさんのPCには外部から「バックドア型トロイの木馬」ウイルスが仕込まれた。その機能により、MさんのPCは常時外部のC&Cサーバーと通信するようになった。しかし業務を邪魔する活動は一切なく、Mさんはウイルスの活動に気がつくことがなかった。

【攻撃基地化・侵入の拡大】…基盤構築/内部侵入・調査
 Mさんは業務用サーバーの管理を時々担当することがあり、特権ユーザーとしてさまざまな管理業務を同じPCを使って行っていた。またA社ではディレクトリサービスにより利用者管理を行っていた。攻撃者は情報収集用のプログラムを送り込み、MさんのPCからアクセス可能な他のPCやディレクトリサーバー、業務サーバーへのログインアカウントを次々に窃取することに成功した。しばらくすると、MさんのPCやネットワーク上で隣接するPCが侵入基地と化し、社内情報を収集しては攻撃者のもとに送信する仕組みが出来上がってしまった。

【被害の顕在化】…目的遂行の結果

 それから数ヵ月経った頃、A社の顧客から不審なスパムメールの増加が指摘されるようになった。また、機密のはずの設計情報が流出したと考えられる他社の製品開発情報が聞こえてくるようにもなった。どうやらA社の顧客情報や設計情報をはじめ、さまざまな機密情報が外部に流出しているように思われた。A社がセキュリティ専門会社に調査を依頼したところ、上述の事実が次々に判明していった。Mさんがアクセスできる領域を越えて、さらに社内システムの深部にまで侵入が進み、多くの情報が盗み見られた可能性が明らかになった。

 ……標的型攻撃はだいたいこれに類似した経過をたどって被害を生じさせている。問題はMさんのPCに攻撃「第1弾」の着弾を防止することが難しいことだ。現在はいくら入口対策をとっても、完全に最初の侵入を防ぐことができないことは常識化していて、その後のウイルスのふるまいを発見して対処し、被害が生じるのを防ぐ「内部対策」および「出口対策」も「入口対策」同様に重視されるようになった。
 IPAではこうした標的型攻撃のプロセスを細かく分析している。それによると、ウイルスの侵入とその後のシステム内部での活動にはおおよそのパターンがあり、図1のように最初の着弾の後、そのPC内部からネットワーク上の隣接するPC、さらにサーバーセグメントのディレクトリサーバーや顧客データベースなどの重要情報にまで侵入を拡大していくのが常だ。

図1 内部で侵入を拡大する「標的型攻撃」のイメージ
図1 内部で侵入を拡大する「標的型攻撃」のイメージ
資料提供:IPA

  この内部での不正活動の多くがシステム設計や運用の弱点を狙って実行される。よく狙われる弱点があらかじめわかれば、ウイルスが侵入してもその後の活動を封じ込めることができることになる。
 以下では、よく狙われる弱点とは何か、その弱点をなくすための対策には何があるかを紹介していく。


1

システムに内在する「10の落とし穴」とは?

 IPAでは昨年8月「『標的型メール攻撃』対策に向けたシステム設計ガイド」を発表し、攻撃のプロセスとシステム設計・運用対策とを解説している。そしてそれを補完するために対策が必要になる理由である「攻撃者が狙うシステム設計や運用の弱点」を解説する「攻撃者に狙われる設計・運用上の弱点についてのレポート」を今年3月に発表した。以下では、この「レポート」に示された次の「10の落とし穴」を取り上げ、それぞれの落とし穴を防ぐ対策を紹介していくことにしよう。

(1)

メールチェックとサーバーなどの運用管理用の端末が同一

(2)

分離できていないネットワーク

(3)

止められないファイル共有サービス

(4)

初期キッティングで配布される共通のローカルAdministrator

(5)

使いこなせないWindowsセキュリティログ

(6)

パッチ配布のためのDomain Admin

(7)

ファイアウォールのフィルタリングルール形骸化

(8)

不足している認証プロキシの活用とログ分析

(9)

なんでも通すCONNECTメソッド

(10)

放置される長期間のhttpセッション

セキュリティ情報局にご登録頂いた方限定で「標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


標的型攻撃/標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「標的型攻撃」関連情報をランダムに表示しています。

標的型攻撃」関連の製品

エンドポイント可視化で標的型攻撃を検出 【シマンテック】 ActSecureクラウドメールセキュリティサービス 【NEC】 クライアント仮想化ソリューション Ericom 【アシスト】
アンチウイルス メールセキュリティ VDI
狙われるエンドポイント――サンドボックスをもすり抜ける脅威と、どう戦うか 標的型メール攻撃対策やメール誤送信対策、事後調査や監査対応などに有効なメールアーカイブ機能などのセキュリティ対策をクラウド(SaaS型)で提供。最短7日で導入可能。 あらゆるデバイスにWindowsアプリ、VDI、物理PCへの接続を提供。低帯域でも快適な通信プロトコル、ブラウザをRDPクライアントとして使える機能等を備えている。

標的型攻撃」関連の特集


日本の政党や官庁、企業も狙われた!日韓のハクティビズムとサイバー攻撃の事例から学ぶ、標的型攻撃への“…



マルウェア感染の3割がメールから、アンチウイルスで検知できないことも!データで実状を知り、対策法を押…



日々送られてくる迷惑メール、処理に無駄な時間をとられていませんか?悪質なメールから、あなたのメールア…


標的型攻撃」関連のセミナー

クラウドの『プライベート化』戦略 最前線 【ブロードバンドタワー】 注目 

開催日 3月8日(水)   開催地 東京都   参加費 無料

本セミナーでは、自社の業務やビジネスに最適化した、真の意味で「プライベート化」されたインフラづくりをテーマに各界のトップエンジニアより最新テクノロジーの活用術を…

〜導入検討中のユーザー様向け〜標的型攻撃対策紹介セミナー 【サイバーソリューションズ】  

開催日 1月27日(金),2月24日(金),3月10日(金)   開催地 大阪府   参加費 無料

昨今、標的型攻撃の脅威は対岸の火事では無くなりつつあります。日本を代表する機関・企業が万全の対策を行っていたにも関わらず、メールの標的型攻撃により、数百万人規模…

巧妙化する標的型攻撃に必要な対策とは 【主催:アシスト 】  

開催日 4月25日(火)   開催地 東京都   参加費 無料

標的型攻撃を完全に"防御"することは難しいため、マルウェアに侵入されることを前提とした多重のデータ保護(内部対策)や、マルウェアが組織内に存在するか否か、存在す…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30007189


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ