標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは

2014/07/15


 近年、企業システムのセキュリティに対する最大の脅威と目されるようになったのが「標的型攻撃」。これまで本コーナーでは標的型攻撃に対抗するための「入口対策」「内部対策」「出口対策」を解説してきた。しかし対策が必要な理由であるシステムの弱点についてあまり触れてこなかった。攻撃者は弱点を見つけ次第にそこを攻撃してくる。システムを防衛するためには、攻撃者がよく狙う弱点を知ることも大切だ。今回は、IPAが発表した「攻撃者に狙われる設計・運用上の弱点についてのレポート」をベースに、システム運用・設計の10の落とし穴を紹介し、改めて対策を考えてみる。

標的型攻撃

システム運用・設計の不行き届きが招く大被害

 まずは標的型攻撃の1つの典型的な例を見てみよう。以下は、各種報道や被害企業の公表資料などをベースにしてキーマンズネット編集部が作成した架空の想定事例だ。

【発端】…初期潜入
 ある日、A社の設計部門で働くMさんが、関連会社のB社のいつもの営業担当者Kさんからのメールを受け取った。そのメールには「打ち合わせ議事録.PDF」という名前のPDF文書が添付されており、Mさんは何の疑問も抱かずそれを開いた。内容は古い会議議事録だったので不審に思いはしたものの「慎重を期して再送したのだろう」と考え返信もせずに忘れてしまった。ところがこのメールはKさんとはまったく別の、A社の設計情報を狙う第三者からのものだった。送信元アドレスはB社のものに偽装されていたばかりか、メール本文や添付ファイル、送信者名は、B社のメールシステムを盗聴して入手した「本物」が使われていた。ただ添付ファイルに悪意ある加工が加えられており、外部からウイルスを呼びこむプログラムが忍ばされていた。A社のゲートウェイのUTMやMさんのPCのアンチウイルスツールも、その不正コードの存在を検知できなかった。

【バックドアの設置、外部サーバーとの交信】…侵入基盤構築

 MさんのPCには外部から「バックドア型トロイの木馬」ウイルスが仕込まれた。その機能により、MさんのPCは常時外部のC&Cサーバーと通信するようになった。しかし業務を邪魔する活動は一切なく、Mさんはウイルスの活動に気がつくことがなかった。

【攻撃基地化・侵入の拡大】…基盤構築/内部侵入・調査
 Mさんは業務用サーバーの管理を時々担当することがあり、特権ユーザーとしてさまざまな管理業務を同じPCを使って行っていた。またA社ではディレクトリサービスにより利用者管理を行っていた。攻撃者は情報収集用のプログラムを送り込み、MさんのPCからアクセス可能な他のPCやディレクトリサーバー、業務サーバーへのログインアカウントを次々に窃取することに成功した。しばらくすると、MさんのPCやネットワーク上で隣接するPCが侵入基地と化し、社内情報を収集しては攻撃者のもとに送信する仕組みが出来上がってしまった。

【被害の顕在化】…目的遂行の結果

 それから数ヵ月経った頃、A社の顧客から不審なスパムメールの増加が指摘されるようになった。また、機密のはずの設計情報が流出したと考えられる他社の製品開発情報が聞こえてくるようにもなった。どうやらA社の顧客情報や設計情報をはじめ、さまざまな機密情報が外部に流出しているように思われた。A社がセキュリティ専門会社に調査を依頼したところ、上述の事実が次々に判明していった。Mさんがアクセスできる領域を越えて、さらに社内システムの深部にまで侵入が進み、多くの情報が盗み見られた可能性が明らかになった。

 ……標的型攻撃はだいたいこれに類似した経過をたどって被害を生じさせている。問題はMさんのPCに攻撃「第1弾」の着弾を防止することが難しいことだ。現在はいくら入口対策をとっても、完全に最初の侵入を防ぐことができないことは常識化していて、その後のウイルスのふるまいを発見して対処し、被害が生じるのを防ぐ「内部対策」および「出口対策」も「入口対策」同様に重視されるようになった。
 IPAではこうした標的型攻撃のプロセスを細かく分析している。それによると、ウイルスの侵入とその後のシステム内部での活動にはおおよそのパターンがあり、図1のように最初の着弾の後、そのPC内部からネットワーク上の隣接するPC、さらにサーバーセグメントのディレクトリサーバーや顧客データベースなどの重要情報にまで侵入を拡大していくのが常だ。

図1 内部で侵入を拡大する「標的型攻撃」のイメージ
図1 内部で侵入を拡大する「標的型攻撃」のイメージ
資料提供:IPA

  この内部での不正活動の多くがシステム設計や運用の弱点を狙って実行される。よく狙われる弱点があらかじめわかれば、ウイルスが侵入してもその後の活動を封じ込めることができることになる。
 以下では、よく狙われる弱点とは何か、その弱点をなくすための対策には何があるかを紹介していく。


1

システムに内在する「10の落とし穴」とは?

 IPAでは昨年8月「『標的型メール攻撃』対策に向けたシステム設計ガイド」を発表し、攻撃のプロセスとシステム設計・運用対策とを解説している。そしてそれを補完するために対策が必要になる理由である「攻撃者が狙うシステム設計や運用の弱点」を解説する「攻撃者に狙われる設計・運用上の弱点についてのレポート」を今年3月に発表した。以下では、この「レポート」に示された次の「10の落とし穴」を取り上げ、それぞれの落とし穴を防ぐ対策を紹介していくことにしよう。

(1)

メールチェックとサーバーなどの運用管理用の端末が同一

(2)

分離できていないネットワーク

(3)

止められないファイル共有サービス

(4)

初期キッティングで配布される共通のローカルAdministrator

(5)

使いこなせないWindowsセキュリティログ

(6)

パッチ配布のためのDomain Admin

(7)

ファイアウォールのフィルタリングルール形骸化

(8)

不足している認証プロキシの活用とログ分析

(9)

なんでも通すCONNECTメソッド

(10)

放置される長期間のhttpセッション

セキュリティ情報局にご登録頂いた方限定で「標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


標的型攻撃/標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「標的型攻撃」関連情報をランダムに表示しています。

標的型攻撃」関連の製品

ファイル暗号化の落とし穴、「まさか」を防ぐ4つのポイント 【日本電気】 次世代マルウェア対策「CylancePROTECT」 【日立ソリューションズ】 標的型攻撃対策・メール無害化ソリューション 【サイバーソリューションズ】
暗号化 アンチウイルス メールセキュリティ
ファイル暗号化の落とし穴、「まさか」を防ぐ4つのポイント AI技術を利用した、パターンファイルを必要としないマルウェア対策。未知/既知を問わず、マルウェアが実行される前にエンドポイント上で検知・防御する。 標的型攻撃を阻止する新たな手法「インターネット分離」と「メールの無害化」。
セキュリティリスクを最小限に抑え、業務効率を損なわないメール無害化ソリューション。

標的型攻撃」関連の特集


各企業のセキュリティ対策予算は? 今回の調査では企業規模によるセキュリティ対策予算の「格差」が浮き彫…



306人を対象に「企業におけるログの管理状況(2013年)」を調査。ログの取得頻度は64.1%が「不…



 ドアのカギを開けっ放しにして外出する人はほとんどいないはずだ。誰だって家の中の大事なモノを取られた…


標的型攻撃」関連のセミナー

Logstorage紹介セミナー 【アシスト】  

開催日 3月24日(金)   開催地 大阪府   参加費 無料

セキュリティ対策、各種法令対応、リスクマネジメントの一環として、各システムから出力されるログは効率よく管理、運用することが求められております。 しかし実際にはロ…

ハンズオンで学ぶ!PC資産管理と情報漏えい対策 【エムオーテックス】  

開催日 4月5日(水)   開催地 大阪府   参加費 無料

マイナンバー制度の開始や個人情報保護法の改正に伴い、お客様の情報セキュリティの重要性は日に日に増しています。情報漏えいのリスクは、従来からの内部からの情報漏えい…

標的型攻撃対策ソリューションセミナー 【NRIセキュアテクノロジーズ】  

開催日 4月13日(木)   開催地 東京都   参加費 無料

情報漏洩防止のみならず、昨今猛威をふるうランサムウェア対策という観点からも、標的型攻撃への対策はますますその重要度が増しています。本セミナーでは最近の標的型攻撃…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30007189


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ