標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは

2014/07/15


 近年、企業システムのセキュリティに対する最大の脅威と目されるようになったのが「標的型攻撃」。これまで本コーナーでは標的型攻撃に対抗するための「入口対策」「内部対策」「出口対策」を解説してきた。しかし対策が必要な理由であるシステムの弱点についてあまり触れてこなかった。攻撃者は弱点を見つけ次第にそこを攻撃してくる。システムを防衛するためには、攻撃者がよく狙う弱点を知ることも大切だ。今回は、IPAが発表した「攻撃者に狙われる設計・運用上の弱点についてのレポート」をベースに、システム運用・設計の10の落とし穴を紹介し、改めて対策を考えてみる。

標的型攻撃

システム運用・設計の不行き届きが招く大被害

 まずは標的型攻撃の1つの典型的な例を見てみよう。以下は、各種報道や被害企業の公表資料などをベースにしてキーマンズネット編集部が作成した架空の想定事例だ。

【発端】…初期潜入
 ある日、A社の設計部門で働くMさんが、関連会社のB社のいつもの営業担当者Kさんからのメールを受け取った。そのメールには「打ち合わせ議事録.PDF」という名前のPDF文書が添付されており、Mさんは何の疑問も抱かずそれを開いた。内容は古い会議議事録だったので不審に思いはしたものの「慎重を期して再送したのだろう」と考え返信もせずに忘れてしまった。ところがこのメールはKさんとはまったく別の、A社の設計情報を狙う第三者からのものだった。送信元アドレスはB社のものに偽装されていたばかりか、メール本文や添付ファイル、送信者名は、B社のメールシステムを盗聴して入手した「本物」が使われていた。ただ添付ファイルに悪意ある加工が加えられており、外部からウイルスを呼びこむプログラムが忍ばされていた。A社のゲートウェイのUTMやMさんのPCのアンチウイルスツールも、その不正コードの存在を検知できなかった。

【バックドアの設置、外部サーバーとの交信】…侵入基盤構築

 MさんのPCには外部から「バックドア型トロイの木馬」ウイルスが仕込まれた。その機能により、MさんのPCは常時外部のC&Cサーバーと通信するようになった。しかし業務を邪魔する活動は一切なく、Mさんはウイルスの活動に気がつくことがなかった。

【攻撃基地化・侵入の拡大】…基盤構築/内部侵入・調査
 Mさんは業務用サーバーの管理を時々担当することがあり、特権ユーザーとしてさまざまな管理業務を同じPCを使って行っていた。またA社ではディレクトリサービスにより利用者管理を行っていた。攻撃者は情報収集用のプログラムを送り込み、MさんのPCからアクセス可能な他のPCやディレクトリサーバー、業務サーバーへのログインアカウントを次々に窃取することに成功した。しばらくすると、MさんのPCやネットワーク上で隣接するPCが侵入基地と化し、社内情報を収集しては攻撃者のもとに送信する仕組みが出来上がってしまった。

【被害の顕在化】…目的遂行の結果

 それから数ヵ月経った頃、A社の顧客から不審なスパムメールの増加が指摘されるようになった。また、機密のはずの設計情報が流出したと考えられる他社の製品開発情報が聞こえてくるようにもなった。どうやらA社の顧客情報や設計情報をはじめ、さまざまな機密情報が外部に流出しているように思われた。A社がセキュリティ専門会社に調査を依頼したところ、上述の事実が次々に判明していった。Mさんがアクセスできる領域を越えて、さらに社内システムの深部にまで侵入が進み、多くの情報が盗み見られた可能性が明らかになった。

 ……標的型攻撃はだいたいこれに類似した経過をたどって被害を生じさせている。問題はMさんのPCに攻撃「第1弾」の着弾を防止することが難しいことだ。現在はいくら入口対策をとっても、完全に最初の侵入を防ぐことができないことは常識化していて、その後のウイルスのふるまいを発見して対処し、被害が生じるのを防ぐ「内部対策」および「出口対策」も「入口対策」同様に重視されるようになった。
 IPAではこうした標的型攻撃のプロセスを細かく分析している。それによると、ウイルスの侵入とその後のシステム内部での活動にはおおよそのパターンがあり、図1のように最初の着弾の後、そのPC内部からネットワーク上の隣接するPC、さらにサーバーセグメントのディレクトリサーバーや顧客データベースなどの重要情報にまで侵入を拡大していくのが常だ。

図1 内部で侵入を拡大する「標的型攻撃」のイメージ
図1 内部で侵入を拡大する「標的型攻撃」のイメージ
資料提供:IPA

  この内部での不正活動の多くがシステム設計や運用の弱点を狙って実行される。よく狙われる弱点があらかじめわかれば、ウイルスが侵入してもその後の活動を封じ込めることができることになる。
 以下では、よく狙われる弱点とは何か、その弱点をなくすための対策には何があるかを紹介していく。


1

システムに内在する「10の落とし穴」とは?

 IPAでは昨年8月「『標的型メール攻撃』対策に向けたシステム設計ガイド」を発表し、攻撃のプロセスとシステム設計・運用対策とを解説している。そしてそれを補完するために対策が必要になる理由である「攻撃者が狙うシステム設計や運用の弱点」を解説する「攻撃者に狙われる設計・運用上の弱点についてのレポート」を今年3月に発表した。以下では、この「レポート」に示された次の「10の落とし穴」を取り上げ、それぞれの落とし穴を防ぐ対策を紹介していくことにしよう。

(1)

メールチェックとサーバーなどの運用管理用の端末が同一

(2)

分離できていないネットワーク

(3)

止められないファイル共有サービス

(4)

初期キッティングで配布される共通のローカルAdministrator

(5)

使いこなせないWindowsセキュリティログ

(6)

パッチ配布のためのDomain Admin

(7)

ファイアウォールのフィルタリングルール形骸化

(8)

不足している認証プロキシの活用とログ分析

(9)

なんでも通すCONNECTメソッド

(10)

放置される長期間のhttpセッション

セキュリティ情報局にご登録頂いた方限定で「標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


標的型攻撃/標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「標的型攻撃」関連情報をランダムに表示しています。

標的型攻撃」関連の製品

SSL特化で暗号処理も安全性も向上 SSL Visibility Appliance 【マクニカネットワークス株式会社】 WebARGUS (ウェブアルゴス) 【デジタル・インフォメーション・テクノロジー】 統合IT資産管理ツール QND 【クオリティソフト】
その他ネットワークセキュリティ関連 IPS IT資産管理
安心と思ったSSL暗号化は攻撃者も使ってくる、既に悪用は過半数 Webサイトを常時監視し、サイバー攻撃・標的型攻撃によって万一改ざんされても、瞬時にそれを検知して1秒未満で元通りに自動修復できるセキュリティ対策ソフト。 クライアントPCの現状把握や台帳作成などの基本的な資産管理や、セキュリティ管理、ライセンス管理、PC操作ログ取得、外部メディア制御など、総合的な管理が可能。

標的型攻撃」関連の特集


 IPAセキュリティセンターでは、2011年1月27日に学習教材と演習環境をセットにした「脆弱性体験…



こんにちは。吉政創成の吉政でございます。今回の「見落としがちなマイナンバーのこと」は前回、前々回に続…



2010年上半期に見られた攻撃の傾向をまとめてケースファイルとしてご紹介。いまもっとも“警戒”したい…


標的型攻撃」関連のセミナー

DataCenter Networking Conference 2016 【ナノオプト・メディア】 締切間近 

開催日 12月9日(金)   開催地 東京都   参加費 無料

SDN/NFVなどデータセンターユーザーのニーズに応える最先端テクノロジーとソリューションを解説■キーノート■     ※敬称略●データセンターをとりまくネット…

半年前の情報はもう古い!ランサムウェア最新対策セミナー 【主催:ソフトバンク コマース&サービス/協賛:マカフィー】 注目 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

猛威を振るい続けるランサムウェア。近年よく聞かれるようになりましたが、かなり古くから存在する攻撃手法の1つです。常に進化・変貌を重ねており、個人から大手企業まで…

【Proofpoint】触って実践・体験セミナー 【NRIセキュアテクノロジーズ】  

開催日 12月14日(水),1月11日(水),1月26日(木),2月7日(火),2月22日(水)   開催地 東京都   参加費 無料

特定の企業や組織を狙って、マルウェアやフィッシングメールを送りつける標的型攻撃や、身代金を要求するランサムウエアが急増するなか、その入り口となるメールセキュリテ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30007189


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ