標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは

2014/07/15


 近年、企業システムのセキュリティに対する最大の脅威と目されるようになったのが「標的型攻撃」。これまで本コーナーでは標的型攻撃に対抗するための「入口対策」「内部対策」「出口対策」を解説してきた。しかし対策が必要な理由であるシステムの弱点についてあまり触れてこなかった。攻撃者は弱点を見つけ次第にそこを攻撃してくる。システムを防衛するためには、攻撃者がよく狙う弱点を知ることも大切だ。今回は、IPAが発表した「攻撃者に狙われる設計・運用上の弱点についてのレポート」をベースに、システム運用・設計の10の落とし穴を紹介し、改めて対策を考えてみる。

標的型攻撃

システム運用・設計の不行き届きが招く大被害

 まずは標的型攻撃の1つの典型的な例を見てみよう。以下は、各種報道や被害企業の公表資料などをベースにしてキーマンズネット編集部が作成した架空の想定事例だ。

【発端】…初期潜入
 ある日、A社の設計部門で働くMさんが、関連会社のB社のいつもの営業担当者Kさんからのメールを受け取った。そのメールには「打ち合わせ議事録.PDF」という名前のPDF文書が添付されており、Mさんは何の疑問も抱かずそれを開いた。内容は古い会議議事録だったので不審に思いはしたものの「慎重を期して再送したのだろう」と考え返信もせずに忘れてしまった。ところがこのメールはKさんとはまったく別の、A社の設計情報を狙う第三者からのものだった。送信元アドレスはB社のものに偽装されていたばかりか、メール本文や添付ファイル、送信者名は、B社のメールシステムを盗聴して入手した「本物」が使われていた。ただ添付ファイルに悪意ある加工が加えられており、外部からウイルスを呼びこむプログラムが忍ばされていた。A社のゲートウェイのUTMやMさんのPCのアンチウイルスツールも、その不正コードの存在を検知できなかった。

【バックドアの設置、外部サーバーとの交信】…侵入基盤構築

 MさんのPCには外部から「バックドア型トロイの木馬」ウイルスが仕込まれた。その機能により、MさんのPCは常時外部のC&Cサーバーと通信するようになった。しかし業務を邪魔する活動は一切なく、Mさんはウイルスの活動に気がつくことがなかった。

【攻撃基地化・侵入の拡大】…基盤構築/内部侵入・調査
 Mさんは業務用サーバーの管理を時々担当することがあり、特権ユーザーとしてさまざまな管理業務を同じPCを使って行っていた。またA社ではディレクトリサービスにより利用者管理を行っていた。攻撃者は情報収集用のプログラムを送り込み、MさんのPCからアクセス可能な他のPCやディレクトリサーバー、業務サーバーへのログインアカウントを次々に窃取することに成功した。しばらくすると、MさんのPCやネットワーク上で隣接するPCが侵入基地と化し、社内情報を収集しては攻撃者のもとに送信する仕組みが出来上がってしまった。

【被害の顕在化】…目的遂行の結果

 それから数ヵ月経った頃、A社の顧客から不審なスパムメールの増加が指摘されるようになった。また、機密のはずの設計情報が流出したと考えられる他社の製品開発情報が聞こえてくるようにもなった。どうやらA社の顧客情報や設計情報をはじめ、さまざまな機密情報が外部に流出しているように思われた。A社がセキュリティ専門会社に調査を依頼したところ、上述の事実が次々に判明していった。Mさんがアクセスできる領域を越えて、さらに社内システムの深部にまで侵入が進み、多くの情報が盗み見られた可能性が明らかになった。

 ……標的型攻撃はだいたいこれに類似した経過をたどって被害を生じさせている。問題はMさんのPCに攻撃「第1弾」の着弾を防止することが難しいことだ。現在はいくら入口対策をとっても、完全に最初の侵入を防ぐことができないことは常識化していて、その後のウイルスのふるまいを発見して対処し、被害が生じるのを防ぐ「内部対策」および「出口対策」も「入口対策」同様に重視されるようになった。
 IPAではこうした標的型攻撃のプロセスを細かく分析している。それによると、ウイルスの侵入とその後のシステム内部での活動にはおおよそのパターンがあり、図1のように最初の着弾の後、そのPC内部からネットワーク上の隣接するPC、さらにサーバーセグメントのディレクトリサーバーや顧客データベースなどの重要情報にまで侵入を拡大していくのが常だ。

図1 内部で侵入を拡大する「標的型攻撃」のイメージ
図1 内部で侵入を拡大する「標的型攻撃」のイメージ
資料提供:IPA

  この内部での不正活動の多くがシステム設計や運用の弱点を狙って実行される。よく狙われる弱点があらかじめわかれば、ウイルスが侵入してもその後の活動を封じ込めることができることになる。
 以下では、よく狙われる弱点とは何か、その弱点をなくすための対策には何があるかを紹介していく。


1

システムに内在する「10の落とし穴」とは?

 IPAでは昨年8月「『標的型メール攻撃』対策に向けたシステム設計ガイド」を発表し、攻撃のプロセスとシステム設計・運用対策とを解説している。そしてそれを補完するために対策が必要になる理由である「攻撃者が狙うシステム設計や運用の弱点」を解説する「攻撃者に狙われる設計・運用上の弱点についてのレポート」を今年3月に発表した。以下では、この「レポート」に示された次の「10の落とし穴」を取り上げ、それぞれの落とし穴を防ぐ対策を紹介していくことにしよう。

(1)

メールチェックとサーバーなどの運用管理用の端末が同一

(2)

分離できていないネットワーク

(3)

止められないファイル共有サービス

(4)

初期キッティングで配布される共通のローカルAdministrator

(5)

使いこなせないWindowsセキュリティログ

(6)

パッチ配布のためのDomain Admin

(7)

ファイアウォールのフィルタリングルール形骸化

(8)

不足している認証プロキシの活用とログ分析

(9)

なんでも通すCONNECTメソッド

(10)

放置される長期間のhttpセッション

セキュリティ情報局にご登録頂いた方限定で「標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


標的型攻撃/標的型攻撃に狙われる!?注意すべき“10の落とし穴”とは」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「標的型攻撃」関連情報をランダムに表示しています。

標的型攻撃」関連の製品

アンチウイルスだけには頼れない、最新ランサムウェアに対する対処法は? 【Ivanti Software】 標的型攻撃対策・メール無害化ソリューション 【サイバーソリューションズ】 インターネット分離で業務効率とセキュリティを両立する条件とは 【日立製作所】
その他エンドポイントセキュリティ関連 メールセキュリティ その他仮想化関連
アンチウイルスだけには頼れない、最新ランサムウェアへの対処法は? 標的型攻撃を阻止する新たな手法「インターネット分離」と「メールの無害化」。
セキュリティリスクを最小限に抑え、業務効率を損なわないメール無害化ソリューション。
その「インターネット分離」は本当に良い方法か?

標的型攻撃」関連の特集


標的型攻撃やネットワークセキュリティの対策状況、UTMの導入状況などを2015年に実施した調査と比較…



2010年上半期に見られた攻撃の傾向をまとめてケースファイルとしてご紹介。いまもっとも“警戒”したい…



  2010年は「サイバー攻撃」、「サイバー戦争」という言葉が一般新聞紙面でも取り沙汰されるようにな…


標的型攻撃」関連のセミナー

「企業に迫り来る新たなサイバー攻撃への対策を考える」セミナー 【日本ユニシス/ユニアデックス】  

開催日 1月10日(水)   開催地 東京都   参加費 無料

 ランサムウェアや標的型メール攻撃に加え、公開Webサーバーを狙った攻撃は猛威を振るっており、増加の一途をたどっています。これらのサイバー攻撃は単一の対策だけで…

LanScopeCatで実現するエンドポイントセキュリティ対策 【NDIソリューションズ】  

開催日 12月15日(金),1月19日(金)   開催地 東京都   参加費 無料

<入口・出口対策>クラウド型セキュリティサービスのご紹介<内部脅威対策>LanScopeCatで実現する内部脅威対策と働き方の見える化<外部脅威対策>人工知能と…

止まない標的型攻撃。情報漏えい対策の最後の砦とは? 【キヤノンITソリューションズ】 締切間近 

開催日 12月15日(金)   開催地 大阪府   参加費 無料

止まない標的型攻撃。情報漏えい対策の最後の砦とは?〜Webを通じた外部との不正通信対策をご紹介〜働き方改革による業務環境の多様化や、クラウドサービスの普及に伴い…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30007189


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ