サイバー攻撃の入口にSNSが!? 攻撃手口とその対策

IT・IT製品TOP > Key Conductors > 小坂 嘉誉(CA Technologies ) > サイバー攻撃の入口にSNSが!? 攻撃手口とその対策
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

サイバー攻撃の入口にSNSが!? 攻撃手口とその対策

エンドポイントセキュリティ 2013/05/28

 最終回となる今回は、サイバー攻撃とSNSの関係について考察する。「SNS」と「サイバー攻撃」・・この2つの言葉に関連性を見出すのは難しいと思われる方も多いかも知れないが、実は悪意のある攻撃者はサイバー攻撃を仕掛ける初期の段階で、このSNSを利用しているという現実がある。特にこのサイバー攻撃について、特定の企業、団体をターゲットとしたものを標的型攻撃、英語ではAPT(Advanced Persistent Threat)と呼んでいる。  

 日本企業が狙われた標的型攻撃の例としては、2011年のソニープレイステーションネットワークの不正侵入事件がある。この事件では7700万件におよぶ個人情報が流出し、さらに1000万件のクレジットカード情報が流出した可能性があると見られている。被害総額は2兆円にのぼるとも言われ、非常に大きなニュースとなった。更に、日本の防衛関連企業数社が同時多発的に攻撃を受け、世間を騒がせた。

【ユースケース6 】標的型攻撃の入口はSNSだった

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 このように、大きな社会問題となっている標的型攻撃だが、実はこの攻撃の入口にSNSが利用されているケースも少なくない。

 攻撃のターゲット企業を特定した攻撃者がまず行うことは、侵入経路となる「ユーザを発見」することだ。このユーザの発見にSNSが使われるのである。  

 例えば、FacebookやTwitter、LinkedInなどのSNSを利用して攻撃対象の企業名で検索すれば、勤務先としてその企業名を登録しているユーザがすぐに特定できる。次にその企業に実在する人物などに成りすましてアカウントを作成し、“友達“のリクエストを送信する。ここで何名かと友達になることができれば、この時点でユーザの発見は完了。すでに入口は大きく開いていることになる。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 ユーザと繋がってしまえば、何回かやり取りをする中で、「マルウェア」を含んだURLへ誘導し何かをダウンロードさせたり、直接ファイルを送ったりすることで、相手端末への侵入が可能になる。そして一度端末に入ってしまえば、巧妙に存在を隠しながらマルウェアは活動し、会社のリモートアクセス用のID/パスワード情報を取得したり、会社の端末であれば会社のネットワークに接続した際にネットワークに侵入したり、会社のアドレスリストを不正に取得してフィッシングメールを出すなど、マルウェアを社内に侵入させることができる。

 その後は、マルウェアに感染した端末がC&Cサーバ(Command &Controlサーバ)と呼ばれる管理サーバとバックドア通信を行いながら、ターゲットとなる重要情報が存在するサーバへの攻撃を開始していくわけである。

以上のように、SNSは標的型攻撃の入り口になり得ることがわかった。それではここで、対策について考えていきたいと思う。

【対策】入口対策は限界に ― 内部対策の徹底が重要

 まず、標的型攻撃対策として挙げられるのは、マルウェアやウィルスが外部より入らないように“入口を守る”対策だ。ただ、ファイアウォールやウィルス検知ソフトを利用して外部の脅威から守ることは基本として必要だが、大多数の企業がこれを実施しているにも関わらず攻撃を防ぐことができていない事実を考えると、入口対策には限界がみえている。

 そこで、現在有力な対策の1つとされているのは、内部対策である。内部対策の目指すところは、万が一不正なプログラムを埋め込まれたとしても、それによる被害を回避する、もしくは最小限に留めることである。
これは例えば、企業の顧客情報や特許技術情報などの知的財産情報が格納されている重要サーバの防御のために使われる。
 では、実際の2つの対策方法を見てみよう。

1. 不正な経路からのアクセスをシャットアウトし、個人PCからの侵入を阻止
 通常マルウェアに感染した端末は、重要なデータが保管されているサーバにマルウェアを仕掛けようとする。そこで企業内であろうと管理端末以外からのアクセスをシャットアウトし、不正な経路での侵入を阻止する。

2. 重要データを保護し、不正アクセスからの情報漏洩を防止
 重要データ自体の保護も重要なため、権限のないユーザに対しては、複製や削除はもちろん、閲覧さえもできないようにするというのもポイントである。ここで1つ問題になりやすいのは、いわゆる「特権ID」である。「Administrator」や「root」といったユーザは、すべての情報にアクセスできるため、これらのアカウントが利用されると保護ができなくなるケースもあるので、これら特権IDに対しても制限をかける必要がある。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

【考慮点】重要データへのアクセス履歴を取得し、問題発生時も追跡可能に

 考慮すべき点として、アクセスログの取得が挙げられる。「誰が・いつ・どんなことを」というログをしっかり取得しておくことで、万が一問題が発生した時でも説明責任を果たすことができる。ここでも特権IDのログは重要で、企業のIT部門が共有で使用する場合が多い特権IDに対する作業者の特定は、必ず考慮したい点となる。

最後に・・・・  

「最後の砦は、やはり人間」

 これまで4回に渡りソーシャルネットワークがもたらすメリットとリスク、その対策について考察した。これまで紹介してきた不正アプリケーションのダウンロードや偽ページを利用したフィッシング、そしてSNSが入口となる標的型攻撃などは、いずれも高度なハッキング技術というよりは人間の心理、あるいは行動における盲点やミスを突いて不正に情報を入手する、いわゆる“ソーシャル・エンジニアリング”の手法をも取り入れながら行われている。  
 ということは、私たちがしっかりとその攻撃手法を学び、攻撃者の意図に乗らないように注意することで、大部分の攻撃は防ぐことができるということだ。よく言われることだが、セキュリティに完璧はない。いかに優れたセキュリティ技術であっても、それを利用し管理するのは人間であり、セキュリティの最後の砦は私たち人間だという自覚を持つことが重要なのではないだろうか。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006217


IT・IT製品TOP > Key Conductors > 小坂 嘉誉(CA Technologies ) > サイバー攻撃の入口にSNSが!? 攻撃手口とその対策

このページの先頭へ

キーマンズネットとは
ソリューション技術本部 プロダクトソリューション部 マネージャ。1997年CA Technologies入社。2004年よりアイデンティティ/アクセス管理製品担当。シングルサインオン、ID管理、フェデレーション、2要素認証などのIAM領域の提案活動に従事。CISSP。

ページトップへ