2016.08.28(日)

標的型攻撃対策はイントラネットの自己点検から(アズビル セキュリティフライデー)

特集 特集

アズビル セキュリティフライデー株式会社は、パスワード運用強化ツール「認術修業」やファイルサーバ専用アクセスログ収集システム「VISUACT」といった、イントラネットを中心とした、ITセキュリティの基礎となる領域にこだわり続ける企業である。

標的型サイバー攻撃をテーマに、同社代表取締役 佐内大司氏に話を聞いた。

●標的型攻撃こそが本来の攻撃の姿

標的型攻撃と普通の攻撃は何が違うということですけれど、普通の攻撃の定義はあまりはっきりしていませんが、普通の攻撃には自己顕示の部分がすごくあったのではないでしょうか。旗取っちゃったぞ、ホームページ書き換えちゃったぞ、という。一方で標的型攻撃には自己顕示の部分はまったくありません。

標的型攻撃でも何が何でもやり遂げるための複数の手を打って、最終的に何かを取ってきます。しかし、侵入して、痕跡を消して、バックドアを作るというところで、絶対に見つからないように、隠蔽にありとあらゆる最善を尽くしたアプローチを行う、という点が標的型攻撃において非常に高度化しているように感じています。ただ単純に情報を取ったり、ホームページを改ざんするというようなものとは、そこが本質的に違っているのでしょう。しかし、これが教科書通りのハッキングなのではないでしょうか。私としては標的型攻撃こそが本来の攻撃の姿だと思っています。

その標的型攻撃で行われる、隠蔽工作の手法の中で、最も簡単なものは、リテラシーの低い、いわゆるIT弱者を利用することです。IT弱者は安易に行動しますし、それに気がつきません。その弱者を使い、多数の踏み台を経由させることによって、攻撃の足が付かないようにしていくことができます。

●標的型攻撃ではイントラネットの脆弱なアカウントが狙われる

IT弱者が標的型攻撃によって攻撃を受け、イントラネットにマルウェアが入り込んでしまうと、狙われるのは脆弱なアカウントです。イントラネットの中には、ほとんど監査されてないサーバーがあって、消し忘れアカウントがあったり、パスワードが付いてないアカウントがあります。また各企業は例えばパスワードは8文字以上にしなきゃいけない、記号を入れなきゃいけない、3ヶ月に1回替える、などのルールを決めていますが、守られずに簡単なパスワードを設定していることも多く見られます。

このような脆弱なアカウントはIT管理者は見つからないと思ってるのですが、ハッカーの視点では見つかりますし、同様にマルウェアもその脆弱なアカウントを見つけてしまいます。そして、脆弱なアカウントを利用してどこでも自由にアクセスできて、好きなところに拡散させ、自由にログを消すことができるようになるなど、簡単に活動ができるようになってしまうのです。

そして万が一標的型攻撃でやられたことが判明したときは、何が原因なのか、セキュリティ専門会社の調査を受けることになります。調査報告があがったときに、パスワードの付いてない管理者アカウントがあったとか、管理されてないサーバーがあったとか、セキュリティポリシー違反のアカウントが出てくるということは、実はリスクマネージメント上もいちばんいけないことなのです。

●管理の甘いアカウントをスキャンしてリストアップ

そのようなイントラネットに存在する、脆弱な、管理の甘いアカウントを、スキャンしてリストアップするのが弊社から発売しているSS2000です。2003年当時だとまだセキュリティ教育が進んでなかったので、40%のアカウントにハッカーが侵入できてしまう状態でした。最近ではだいぶ改善されてますが、でも、まだまだ数字に出てくるくらい多数の脆弱なアカウントが見つかります。

全部の脆弱なアカウントがなくならないまでも、定期的な検査を行っていなかったのと、そういう検査を定期的にやっているのでは、リスクマネージメントの点からも全然違います。ですから、定期的な検査を啓蒙できればいいと思っています。そろそろ自己点検の時代じゃないでしょうか。

●標的型攻撃対策にはネットワークをモニターすることが極めて重要

また、標的型攻撃によってイントラネットにマルウェアが入り込むと、中でいろいろな活動をはじめます。しかしながらマルウェアはネットワークの中でどれがサーバーかということを必ずしも認識してません。見つけたノードにはすべてアクセスしようとしますので、その普段と異なる通信を検出することによって、マルウェアが検出できると考えています。サーバーへのアクセスはクライアントからサーバーに向いているはずですし、行くはずのないところに対してWindowsネットワークのアクセスが飛んだらおかしいですよね。

このように、標的型攻撃に対しては、ネットワークをモニターすることが、極めて重要になると考えています。マルウェアも内部ネットワークにアクセスしない限り、内部の情報は取れないわけですから、内部のアクセスをきちっと記録していくということが重要だろうと。出口対策ブームで出口のことばかりいいますけど、出ていくとは限らないわけですし、マルウェアが高度化していく中でどうやって出ていくかというところも高度化していくわけですから。

そういう意味で、ネットワークの多点でログを取りましょう、というのがVisuact-Liteという製品になります。動作を軽めにして、たくさん設置して、イントラネットの細かいデータをたくさん取りましょうというのがコンセプトです。ただ、これはコストのかかることなので、いかに監視するポイントを集約して、例えばセグメント間や、部門間のどこに集約して監視するのかということが、対策上は重要になってくると思います。
《ScanNetSecurity》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. KPMG のサイバーセキュリティ経営 (1) 経営者の 3 つの関心事とは

    KPMG のサイバーセキュリティ経営 (1) 経営者の 3 つの関心事とは

  2. [数字でわかるサイバーセキュリティ] 約4割がセキュリティ被害、総務省「通信利用動向調査」

    [数字でわかるサイバーセキュリティ] 約4割がセキュリティ被害、総務省「通信利用動向調査」

  3. [セキュリティ ホットトピック] 話題の「ポケモンGO」、その面白さと危険度

    [セキュリティ ホットトピック] 話題の「ポケモンGO」、その面白さと危険度

  4. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  5. [インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD)

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. 仮想化によって拡大するセキュリティリスク、海外子会社で発生したVM削除事件

  8. [Security Days 2016 インタビュー] コンサルティングファームが提供するセキュリティの「全体最適」(KPMGコンサルティング)

  9. [緊急寄稿] 電脳コイルとポケモンGO の誘う AR 犯罪新時代

  10. Scan BASIC MEMBERS 登録方法(お土産大放出キャンペーン実施中!)

  11. ISMS認証とは何か■第1回■

  12. 【インタビュー】忘れられがちな内部対策、標的型サイバー攻撃対策

  13. ここが変だよ日本のセキュリティ 第21回「セキュリティ人材は生き残ることができるか?」

  14. ソリトンシステムズのサイバーセキュリティ 第2回 「 『ランサムウェア』 が試金石? 今、企業の多層防御が試される」

  15. クロスルート証明書に潜む危険性

  16. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  17. なぜ中小企業における不正送金被害が続出しているのか 第5回「中小企業から見たUTMの利点」

  18. piyolog Mk-II 第10回 「DoS攻撃対策、必要とする人本位で考えて欲しいコト」

  19. ソリトンシステムズのサイバーセキュリティ 第4回 「究極のサイバー攻撃対策はIT退化なのか?増え続ける 『何もしないことのリスク』 」

  20. [インタビュー]キャリア15年目、新井悠が描くマルウェア研究者のキャリア(トレンドマイクロ)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×