2016.06.29(水)

標的型攻撃対策はイントラネットの自己点検から(アズビル セキュリティフライデー)

特集 特集

アズビル セキュリティフライデー株式会社は、パスワード運用強化ツール「認術修業」やファイルサーバ専用アクセスログ収集システム「VISUACT」といった、イントラネットを中心とした、ITセキュリティの基礎となる領域にこだわり続ける企業である。

標的型サイバー攻撃をテーマに、同社代表取締役 佐内大司氏に話を聞いた。

●標的型攻撃こそが本来の攻撃の姿

標的型攻撃と普通の攻撃は何が違うということですけれど、普通の攻撃の定義はあまりはっきりしていませんが、普通の攻撃には自己顕示の部分がすごくあったのではないでしょうか。旗取っちゃったぞ、ホームページ書き換えちゃったぞ、という。一方で標的型攻撃には自己顕示の部分はまったくありません。

標的型攻撃でも何が何でもやり遂げるための複数の手を打って、最終的に何かを取ってきます。しかし、侵入して、痕跡を消して、バックドアを作るというところで、絶対に見つからないように、隠蔽にありとあらゆる最善を尽くしたアプローチを行う、という点が標的型攻撃において非常に高度化しているように感じています。ただ単純に情報を取ったり、ホームページを改ざんするというようなものとは、そこが本質的に違っているのでしょう。しかし、これが教科書通りのハッキングなのではないでしょうか。私としては標的型攻撃こそが本来の攻撃の姿だと思っています。

その標的型攻撃で行われる、隠蔽工作の手法の中で、最も簡単なものは、リテラシーの低い、いわゆるIT弱者を利用することです。IT弱者は安易に行動しますし、それに気がつきません。その弱者を使い、多数の踏み台を経由させることによって、攻撃の足が付かないようにしていくことができます。

●標的型攻撃ではイントラネットの脆弱なアカウントが狙われる

IT弱者が標的型攻撃によって攻撃を受け、イントラネットにマルウェアが入り込んでしまうと、狙われるのは脆弱なアカウントです。イントラネットの中には、ほとんど監査されてないサーバーがあって、消し忘れアカウントがあったり、パスワードが付いてないアカウントがあります。また各企業は例えばパスワードは8文字以上にしなきゃいけない、記号を入れなきゃいけない、3ヶ月に1回替える、などのルールを決めていますが、守られずに簡単なパスワードを設定していることも多く見られます。

このような脆弱なアカウントはIT管理者は見つからないと思ってるのですが、ハッカーの視点では見つかりますし、同様にマルウェアもその脆弱なアカウントを見つけてしまいます。そして、脆弱なアカウントを利用してどこでも自由にアクセスできて、好きなところに拡散させ、自由にログを消すことができるようになるなど、簡単に活動ができるようになってしまうのです。

そして万が一標的型攻撃でやられたことが判明したときは、何が原因なのか、セキュリティ専門会社の調査を受けることになります。調査報告があがったときに、パスワードの付いてない管理者アカウントがあったとか、管理されてないサーバーがあったとか、セキュリティポリシー違反のアカウントが出てくるということは、実はリスクマネージメント上もいちばんいけないことなのです。

●管理の甘いアカウントをスキャンしてリストアップ

そのようなイントラネットに存在する、脆弱な、管理の甘いアカウントを、スキャンしてリストアップするのが弊社から発売しているSS2000です。2003年当時だとまだセキュリティ教育が進んでなかったので、40%のアカウントにハッカーが侵入できてしまう状態でした。最近ではだいぶ改善されてますが、でも、まだまだ数字に出てくるくらい多数の脆弱なアカウントが見つかります。

全部の脆弱なアカウントがなくならないまでも、定期的な検査を行っていなかったのと、そういう検査を定期的にやっているのでは、リスクマネージメントの点からも全然違います。ですから、定期的な検査を啓蒙できればいいと思っています。そろそろ自己点検の時代じゃないでしょうか。

●標的型攻撃対策にはネットワークをモニターすることが極めて重要

また、標的型攻撃によってイントラネットにマルウェアが入り込むと、中でいろいろな活動をはじめます。しかしながらマルウェアはネットワークの中でどれがサーバーかということを必ずしも認識してません。見つけたノードにはすべてアクセスしようとしますので、その普段と異なる通信を検出することによって、マルウェアが検出できると考えています。サーバーへのアクセスはクライアントからサーバーに向いているはずですし、行くはずのないところに対してWindowsネットワークのアクセスが飛んだらおかしいですよね。

このように、標的型攻撃に対しては、ネットワークをモニターすることが、極めて重要になると考えています。マルウェアも内部ネットワークにアクセスしない限り、内部の情報は取れないわけですから、内部のアクセスをきちっと記録していくということが重要だろうと。出口対策ブームで出口のことばかりいいますけど、出ていくとは限らないわけですし、マルウェアが高度化していく中でどうやって出ていくかというところも高度化していくわけですから。

そういう意味で、ネットワークの多点でログを取りましょう、というのがVisuact-Liteという製品になります。動作を軽めにして、たくさん設置して、イントラネットの細かいデータをたくさん取りましょうというのがコンセプトです。ただ、これはコストのかかることなので、いかに監視するポイントを集約して、例えばセグメント間や、部門間のどこに集約して監視するのかということが、対策上は重要になってくると思います。
《ScanNetSecurity》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. ソリトンシステムズのサイバーセキュリティ 第6回 「理解されないデジタル・フォレンジック(後編) - 攻撃者優位を打破 できるか?」

    ソリトンシステムズのサイバーセキュリティ 第6回 「理解されないデジタル・フォレンジック(後編) - 攻撃者優位を打破 できるか?」

  2. ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」

    ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」

  3. ここが変だよ日本のセキュリティ 第22回「セキュリティ対策の弱点探しキーワード 前篇」

    ここが変だよ日本のセキュリティ 第22回「セキュリティ対策の弱点探しキーワード 前篇」

  4. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  5. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  6. ソリトンシステムズのサイバーセキュリティ 第1回 「日本企業は、なぜ現実感の無い『有事』のセキュリティ理想論を追うのか?」

  7. ソリトンシステムズのサイバーセキュリティ 第5回 「理解されないデジタル・フォレンジック(前編) - お願いだから端末に触らないで!」

  8. クロスルート証明書に潜む危険性

  9. piyolog Mk-II 第10回 「DoS攻撃対策、必要とする人本位で考えて欲しいコト」

  10. ソリトンシステムズのサイバーセキュリティ 第2回 「 『ランサムウェア』 が試金石? 今、企業の多層防御が試される」

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×