「最新セキュリティ動向〜シフトする脅威」(1) 攻撃対象と攻撃目的はどのように変わったのか? | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

「最新セキュリティ動向〜シフトする脅威」(1) 攻撃対象と攻撃目的はどのように変わったのか?

特集 特集

NTTデータ・セキュリティ株式会社
診断サービスグループ ペネトレーションテストチーム 辻 伸弘


昨年末にNTTデータ・セキュリティ株式会社が開催したセミナー「最新セキュリティ動向から見る脅威と対策」では、質的に様変わりしつつあるセキュリティ脅威の最新事情と、企業が取るべき効果的な対策について語られた。

なかでも、NTTデータ・セキュリティ 診断サービスグループ ペネトレーションテストチームの辻 伸弘氏による講演「最新セキュリティ動向 〜シフトする脅威」では、攻撃対象や目的の変化が生み出す新しい攻撃実態を、会場内に仮設したLANを実際に攻撃を行い、デモンストレーション形式で説明するという興味深い手法がとられた。当日の講演の模様をレポートしよう。

協力:NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/

───

>> 現在までの脅威、公開サーバ等を狙う愉快犯

まず最初に辻氏の講演では、これまでの伝統的な攻撃手法は、公開サーバを狙う攻撃と個人のパソコンを狙う攻撃の二種類あったことが解説された。

すなわち、Web改ざんやDDoS攻撃、リソース占有による踏み台等の、いわゆる公開サーバを狙う攻撃と、もうひとつは、メールで拡散するウイルスや、ネットワークに感染するワームといった、個人のパソコンを狙う攻撃である。

このように従来の攻撃ではもっぱら、公開サーバや個人のパソコンが攻撃対象とされており、企業内のLAN等の内部ネットワークは、メール拡散型ウイルス等の被害はあったものの、主な攻撃対象ではなかったと言えるという。

それでは従来型の攻撃者はいったいどんな動機で攻撃を行っていたのか。

従来型の攻撃者の動機の類型は以下の通りである。公開サーバへの攻撃では、たとえばWebサイトの改ざんやDDoS攻撃、リソースの占有のほとんどは、若者やギークによる自己顕示や、政治宗教の立場による思想的怨恨などが動機として行われていたという。自己顕示の特殊なケースとして、ブラジルでは、学生や若者がIT技術の水準を就職希望の企業にアピールするため、いわば就職活動としてWeb改ざんが行われることがあるという例も挙げられた。

個人ユーザを狙う攻撃は、自己顕示に加え、啓蒙活動も含まれる。すなわち、特定の脆弱性にパッチを施さないユーザーに対して警鐘を鳴らすことを目的とした数々のワームやウイルスなどがそれである(「コンセプトワーム」「コンセプトウイルス」と呼ばれる)。

双方の動機に共通するのは、攻撃者が自分の技術と知識を駆使し、コンピュータに対して被害を与え、私的な好奇心や自己顕示欲、思想的意志を満たす点であると言える。


>> 様変わりする脅威、すべてのコンピュータの向こうの金銭を狙う犯罪者

以上に対して、ここ1〜2年の新しい攻撃手法は、公開サーバや個人のパソコンだけではなく、すべてのコンピュータと、そのユーザを狙う攻撃にシフトしているという。

攻撃の具体例としては、不正にユーザに送金させるためのフィッシング詐欺や、ユーザの情報を搾取するキーロガーやスクリーンキャプチャ、ボットネットへの誘導などが例に挙げられる。

こうした新しい攻撃へのシフトは、攻撃者の動機が、コンピュータ自身への被害ではなく、攻撃をすることで得たIDやパスワードをもとにした不正送金や、自分が構築したボットネットを不正利用に有償レンタルするなどの、具体的な金銭的利益を目的としていることが原因だ。


>> ボットネットのレンタル料金とは

大きくシフトした脅威の例として、ボットネットが詳しく解説された。ボットネットとは、コンピュータウイルスの一機能で、コンピュータに感染し、そのコンピュータをネットワークを通じて外部から操ることを目的として作成されたプログラムである。

感染したコンピュータは外部からの指令を待ち受け、与えられた指示に従って様々な処理を実行させられてしまう。そのようなコンピュータと指令を送るコンピュータで構成されたネットワークをボットネットという

ボットへの感染は、従来のウイルス同様、メール添付、HTMLメール等ネットワーク経由によるものや、人為的な侵入によりボットプログラムをインストールされ感染するケース、Webサイトを閲覧した際に脆弱性を利用され感染するなどさまざまだという。

一度ボットに感染し侵入されると、ボットに感染したコンピュータは悪意のあるユーザが用意した特定のサーバへ自ら接続を行い、ボットネットワークを構成する一員となってしまう。

ボットの親玉サーバへの接続の際に、ファイアウォールは通常内部から外部への通信に寛容に設定されていることが多いため、ブロックされないことが多い。NTTデータ・セキュリティ株式会社 診断サービスグループが行ったペネトレーションテストの結果によれば、ボットが内側から行った通信は、簡単にファイアウォールを通過してしまったという。そして、一度接続が確立してセッションが成立すれば、そのパソコンは外部から自由に操作することが可能になってしまう。DDosやスパム送信等の指令を下され、攻撃に利用されてしまうわけだ。たとえば悪意ある個人や組織がスパム送信用サーバとして1万台のボットネットワークをレンタルした場合、そのレンタル料は1時間300ドルが相場だという。

辻氏によれば、世界各国でボットネットワークが確認されており、2005年10月の警察庁調査では、日本国内でも14万台のボット感染のネットワークが確認されたそうである。ボットはその全ての処理をステルス化して、目立たない工夫をこらしているため、多くのユーザーは自分が毎日使っているパソコンがボットに感染していることには気づいていないそうである。

そして実際に、ゼロデイアタックとして報道された「Vector Markup Language の脆弱性により、リモートでコードが実行される (MS06-055)」をついたWebブラウザでアクセスすると、攻撃を受けてしまうデモンストレーションが行われた。会場内のデモ環境で、ユーザーを模したパソコンからデモ用のHTMLファイルにWebブラウザでアクセスし、ユーザーがエクスプロイットコードを含むリンクをクリックすると、悪意のあるプログラムがいとも簡単にインストールされてしまった。

【取材・文:SCAN編集部】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×