標的型攻撃対策はイントラネットの自己点検から(アズビル セキュリティフライデー) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2016.12.11(日)

標的型攻撃対策はイントラネットの自己点検から(アズビル セキュリティフライデー)

特集 特集

アズビル セキュリティフライデー株式会社は、パスワード運用強化ツール「認術修業」やファイルサーバ専用アクセスログ収集システム「VISUACT」といった、イントラネットを中心とした、ITセキュリティの基礎となる領域にこだわり続ける企業である。

標的型サイバー攻撃をテーマに、同社代表取締役 佐内大司氏に話を聞いた。

●標的型攻撃こそが本来の攻撃の姿

標的型攻撃と普通の攻撃は何が違うということですけれど、普通の攻撃の定義はあまりはっきりしていませんが、普通の攻撃には自己顕示の部分がすごくあったのではないでしょうか。旗取っちゃったぞ、ホームページ書き換えちゃったぞ、という。一方で標的型攻撃には自己顕示の部分はまったくありません。

標的型攻撃でも何が何でもやり遂げるための複数の手を打って、最終的に何かを取ってきます。しかし、侵入して、痕跡を消して、バックドアを作るというところで、絶対に見つからないように、隠蔽にありとあらゆる最善を尽くしたアプローチを行う、という点が標的型攻撃において非常に高度化しているように感じています。ただ単純に情報を取ったり、ホームページを改ざんするというようなものとは、そこが本質的に違っているのでしょう。しかし、これが教科書通りのハッキングなのではないでしょうか。私としては標的型攻撃こそが本来の攻撃の姿だと思っています。

その標的型攻撃で行われる、隠蔽工作の手法の中で、最も簡単なものは、リテラシーの低い、いわゆるIT弱者を利用することです。IT弱者は安易に行動しますし、それに気がつきません。その弱者を使い、多数の踏み台を経由させることによって、攻撃の足が付かないようにしていくことができます。

●標的型攻撃ではイントラネットの脆弱なアカウントが狙われる

IT弱者が標的型攻撃によって攻撃を受け、イントラネットにマルウェアが入り込んでしまうと、狙われるのは脆弱なアカウントです。イントラネットの中には、ほとんど監査されてないサーバーがあって、消し忘れアカウントがあったり、パスワードが付いてないアカウントがあります。また各企業は例えばパスワードは8文字以上にしなきゃいけない、記号を入れなきゃいけない、3ヶ月に1回替える、などのルールを決めていますが、守られずに簡単なパスワードを設定していることも多く見られます。

このような脆弱なアカウントはIT管理者は見つからないと思ってるのですが、ハッカーの視点では見つかりますし、同様にマルウェアもその脆弱なアカウントを見つけてしまいます。そして、脆弱なアカウントを利用してどこでも自由にアクセスできて、好きなところに拡散させ、自由にログを消すことができるようになるなど、簡単に活動ができるようになってしまうのです。

そして万が一標的型攻撃でやられたことが判明したときは、何が原因なのか、セキュリティ専門会社の調査を受けることになります。調査報告があがったときに、パスワードの付いてない管理者アカウントがあったとか、管理されてないサーバーがあったとか、セキュリティポリシー違反のアカウントが出てくるということは、実はリスクマネージメント上もいちばんいけないことなのです。

●管理の甘いアカウントをスキャンしてリストアップ

そのようなイントラネットに存在する、脆弱な、管理の甘いアカウントを、スキャンしてリストアップするのが弊社から発売しているSS2000です。2003年当時だとまだセキュリティ教育が進んでなかったので、40%のアカウントにハッカーが侵入できてしまう状態でした。最近ではだいぶ改善されてますが、でも、まだまだ数字に出てくるくらい多数の脆弱なアカウントが見つかります。

全部の脆弱なアカウントがなくならないまでも、定期的な検査を行っていなかったのと、そういう検査を定期的にやっているのでは、リスクマネージメントの点からも全然違います。ですから、定期的な検査を啓蒙できればいいと思っています。そろそろ自己点検の時代じゃないでしょうか。

●標的型攻撃対策にはネットワークをモニターすることが極めて重要

また、標的型攻撃によってイントラネットにマルウェアが入り込むと、中でいろいろな活動をはじめます。しかしながらマルウェアはネットワークの中でどれがサーバーかということを必ずしも認識してません。見つけたノードにはすべてアクセスしようとしますので、その普段と異なる通信を検出することによって、マルウェアが検出できると考えています。サーバーへのアクセスはクライアントからサーバーに向いているはずですし、行くはずのないところに対してWindowsネットワークのアクセスが飛んだらおかしいですよね。

このように、標的型攻撃に対しては、ネットワークをモニターすることが、極めて重要になると考えています。マルウェアも内部ネットワークにアクセスしない限り、内部の情報は取れないわけですから、内部のアクセスをきちっと記録していくということが重要だろうと。出口対策ブームで出口のことばかりいいますけど、出ていくとは限らないわけですし、マルウェアが高度化していく中でどうやって出ていくかというところも高度化していくわけですから。

そういう意味で、ネットワークの多点でログを取りましょう、というのがVisuact-Liteという製品になります。動作を軽めにして、たくさん設置して、イントラネットの細かいデータをたくさん取りましょうというのがコンセプトです。ただ、これはコストのかかることなので、いかに監視するポイントを集約して、例えばセグメント間や、部門間のどこに集約して監視するのかということが、対策上は重要になってくると思います。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [インタビュー] セキュリティ人材育成は日本だけの課題ではない、デロイトサイバーチーム日蘭対談

    [インタビュー] セキュリティ人材育成は日本だけの課題ではない、デロイトサイバーチーム日蘭対談

  2. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

    生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  3. KPMG のサイバーセキュリティ経営 (3) セキュリティ部門と経営者のギャップ

    KPMG のサイバーセキュリティ経営 (3) セキュリティ部門と経営者のギャップ

  4. [セキュリティ ホットトピック] 未成年によるサイバー犯罪が多発、営利目的と違う動機に注目

  5. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  6. [数字でわかるサイバーセキュリティ] 2016年上半期サイバー脅威、8割以上「非公開アドレス」を標的

  7. [数字でわかるサイバーセキュリティ] 個人情報1492人分、放射性物質の研究成果も流出? 富山大学にサイバー攻撃

  8. [インタビュー] セキュリティ診断で検知される脆弱性の傾向に変化あり(NTTデータ先端技術)

  9. ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ?」

  10. シーズン1 「R式サイバーシステム」 第1回「プロローグ:身代金」

全カテゴリランキング

特集

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×