標的型攻撃対策はイントラネットの自己点検から(アズビル セキュリティフライデー)

2013年5月21日(火) 12時15分
このエントリーをはてなブックマークに追加
「ネットワークをモニターすることが、極めて重要」アズビル セキュリティフライデー株式会社 代表取締役 佐内 大司氏の画像
「ネットワークをモニターすることが、極めて重要」アズビル セキュリティフライデー株式会社 代表取締役 佐内 大司氏
SS2000によるイントラネットの侵入テストの画像
SS2000によるイントラネットの侵入テスト
アズビル セキュリティフライデー株式会社は、パスワード運用強化ツール「認術修業」やファイルサーバ専用アクセスログ収集システム「VISUACT」といった、イントラネットを中心とした、ITセキュリティの基礎となる領域にこだわり続ける企業である。

標的型サイバー攻撃をテーマに、同社代表取締役 佐内大司氏に話を聞いた。

●標的型攻撃こそが本来の攻撃の姿

標的型攻撃と普通の攻撃は何が違うということですけれど、普通の攻撃の定義はあまりはっきりしていませんが、普通の攻撃には自己顕示の部分がすごくあったのではないでしょうか。旗取っちゃったぞ、ホームページ書き換えちゃったぞ、という。一方で標的型攻撃には自己顕示の部分はまったくありません。

標的型攻撃でも何が何でもやり遂げるための複数の手を打って、最終的に何かを取ってきます。しかし、侵入して、痕跡を消して、バックドアを作るというところで、絶対に見つからないように、隠蔽にありとあらゆる最善を尽くしたアプローチを行う、という点が標的型攻撃において非常に高度化しているように感じています。ただ単純に情報を取ったり、ホームページを改ざんするというようなものとは、そこが本質的に違っているのでしょう。しかし、これが教科書通りのハッキングなのではないでしょうか。私としては標的型攻撃こそが本来の攻撃の姿だと思っています。

その標的型攻撃で行われる、隠蔽工作の手法の中で、最も簡単なものは、リテラシーの低い、いわゆるIT弱者を利用することです。IT弱者は安易に行動しますし、それに気がつきません。その弱者を使い、多数の踏み台を経由させることによって、攻撃の足が付かないようにしていくことができます。

●標的型攻撃ではイントラネットの脆弱なアカウントが狙われる

IT弱者が標的型攻撃によって攻撃を受け、イントラネットにマルウェアが入り込んでしまうと、狙われるのは脆弱なアカウントです。イントラネットの中には、ほとんど監査されてないサーバーがあって、消し忘れアカウントがあったり、パスワードが付いてないアカウントがあります。また各企業は例えばパスワードは8文字以上にしなきゃいけない、記号を入れなきゃいけない、3ヶ月に1回替える、などのルールを決めていますが、守られずに簡単なパスワードを設定していることも多く見られます。

このような脆弱なアカウントはIT管理者は見つからないと思ってるのですが、ハッカーの視点では見つかりますし、同様にマルウェアもその脆弱なアカウントを見つけてしまいます。そして、脆弱なアカウントを利用してどこでも自由にアクセスできて、好きなところに拡散させ、自由にログを消すことができるようになるなど、簡単に活動ができるようになってしまうのです。

そして万が一標的型攻撃でやられたことが判明したときは、何が原因なのか、セキュリティ専門会社の調査を受けることになります。調査報告があがったときに、パスワードの付いてない管理者アカウントがあったとか、管理されてないサーバーがあったとか、セキュリティポリシー違反のアカウントが出てくるということは、実はリスクマネージメント上もいちばんいけないことなのです。

●管理の甘いアカウントをスキャンしてリストアップ

そのようなイントラネットに存在する、脆弱な、管理の甘いアカウントを、スキャンしてリストアップするのが弊社から発売しているSS2000です。2003年当時だとまだセキュリティ教育が進んでなかったので、40%のアカウントにハッカーが侵入できてしまう状態でした。最近ではだいぶ改善されてますが、でも、まだまだ数字に出てくるくらい多数の脆弱なアカウントが見つかります。

全部の脆弱なアカウントがなくならないまでも、定期的な検査を行っていなかったのと、そういう検査を定期的にやっているのでは、リスクマネージメントの点からも全然違います。ですから、定期的な検査を啓蒙できればいいと思っています。そろそろ自己点検の時代じゃないでしょうか。

●標的型攻撃対策にはネットワークをモニターすることが極めて重要

また、標的型攻撃によってイントラネットにマルウェアが入り込むと、中でいろいろな活動をはじめます。しかしながらマルウェアはネットワークの中でどれがサーバーかということを必ずしも認識してません。見つけたノードにはすべてアクセスしようとしますので、その普段と異なる通信を検出することによって、マルウェアが検出できると考えています。サーバーへのアクセスはクライアントからサーバーに向いているはずですし、行くはずのないところに対してWindowsネットワークのアクセスが飛んだらおかしいですよね。

このように、標的型攻撃に対しては、ネットワークをモニターすることが、極めて重要になると考えています。マルウェアも内部ネットワークにアクセスしない限り、内部の情報は取れないわけですから、内部のアクセスをきちっと記録していくということが重要だろうと。出口対策ブームで出口のことばかりいいますけど、出ていくとは限らないわけですし、マルウェアが高度化していく中でどうやって出ていくかというところも高度化していくわけですから。

そういう意味で、ネットワークの多点でログを取りましょう、というのがVisuact-Liteという製品になります。動作を軽めにして、たくさん設置して、イントラネットの細かいデータをたくさん取りましょうというのがコンセプトです。ただ、これはコストのかかることなので、いかに監視するポイントを集約して、例えばセグメント間や、部門間のどこに集約して監視するのかということが、対策上は重要になってくると思います。
《ScanNetSecurity》

注目ニュース

icon
[Security Days 2013 インタビュー] 武器よりもそれを使う攻撃者の分析が重要(マクニカネットワークス)

マクニカネットワークス株式会社は、セキュリティ、ネットワーク、テレコム関連の商品開発や輸入販売を行う。

icon
[Security Days 2013 インタビュー] 標的型攻撃、仮想化、BYODは「実態を見えなく」する--「SKYSEA」で可視化(Sky)

ITが便利になっている反面、「実態が見えない」状態になっていると感じています。標的型攻撃はターゲットに気づかれないように攻撃しますし、仮想化は物理環境を見えなくしてしまいます。BYODでは従業員が実際に...

icon

ネットワークバリューコンポネンツは、「FireEye&Impervaセキュリティセミナー:外部攻撃と内部漏えいの脅威から情報資産を徹底的に防御」を2月26日に開催する。

icon
[インタビュー]監視体制に基づいた、青年団的セキュリティ事故対応組織を(NTTデータ先端技術)

標的型サイバー攻撃の現状と対策に関する、同社セキュリティ事業部のセキュリティアーキテクチャグループ長である植草祐則氏へのインタビュー第2回目では、事故発生後の対応について話を聞いた。

icon
[インタビュー]標的型攻撃は、ひとりヒットしたら目的を達成し素早く逃げる(NTTデータ先端技術)

NTTデータ先端技術株式会社は、セキュリティ分野における幅広い知識やノウハウと、多様なニーズに対し付加価値の高いサービスを提供している。今回は標的型サイバー攻撃とその対策について、同社セキュリティ事業...

icon
【対談】日本はIT技術活用では後進国、「開国」後は狩り場になる

オンラインバンキングを乗っ取って送金するという手口は、日本にもやってきました。これは、国際的な犯罪組織が日本をマーケットとして見出した、そして日本の犯罪組織も国際化したということです。今年は『サイ...

icon
【インタビュー】誰もが「最初の被害者」、標的型サイバー攻撃は出口対策が必須(デジタルアーツ)

従来のセキュリティ対策は、何か被害が発生してはじめて問題が明らかになり、情報収集と分析を行い、対応を行うというプロセスを踏んでいました。標的型サイバー攻撃は事情が異なります。

icon
セキュリティの基礎体力作りとは、標的型サイバー攻撃対策

僕は、いままであたりまえにやってこなければならなかったことをちゃんとやること以外ないと思います。それは、きちんとパッチをあてたり、ファイルのアクセス権やアカウント管理をしたり、PDCAサイクルをきちん...

icon
【インタビュー】リスクをゼロにはできない、標的型サイバー攻撃対策(GSX)

実戦同様のサイバー攻撃を実施し、システムの脆弱性を診断する「タイガーチームサービス」を日本で最初に提供したのがグローバルセキュリティエキスパート株式会社(GSX)だ。標的型サイバー攻撃とその対策について...

icon
【インタビュー】攻撃者が欲しがっている情報を把握する、標的型サイバー攻撃対策

標的型サイバー攻撃を行う攻撃者はITのプロということを認識した対策が必要で、そこに100%はありません。入口対策のレベルアップはもちろん、内部と出口をうまく組み合わせて脅威の緩和につとめて欲しいと思いま...

icon
【インタビュー】忘れられがちな内部対策、標的型サイバー攻撃対策

標的型サイバー攻撃の実態と、対策製品の種類と用途、具体的製品名称、それぞれの有効性について、最新のサイバー脅威に詳しい株式会社ラックの上級サイバー分析官、岩井博樹氏に聞いた。

RSS

特集・連載

ピックアップフォト