一生懸命な標的型サイバー攻撃犯、対策疲れのセキュリティ部門 ─「対策疲れ」に陥らない、運用のポイントとは | ScanNetSecurity
2021.08.03(火)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 脅威動向 記事

一生懸命な標的型サイバー攻撃犯、対策疲れのセキュリティ部門 ─「対策疲れ」に陥らない、運用のポイントとは

11月14日、ザ・プリンスタワー東京において開催された「Trend Micro DIRECTION」では、トレンドマイクロ社内外のスピーカーによる多くのセッションが行われた。本稿では、「標的型サイバー攻撃に備える~攻撃の実態と専門知識を活用した運用体制とは」について紹介する。

脆弱性と脅威 脅威動向
11月14日、ザ・プリンスタワー東京において開催された「Trend Micro DIRECTION」では、トレンドマイクロ社内外のスピーカーによる多くのセッションが行われた。本稿では、トレンドマイクロで、脅威の解析・対策支援で企業ユーザを日々サポートするスレットモニタリングセンター マネージャー 兼 TrendMicro Security Incident Response Team チーム技術統括責任者である六宮智悟氏によるセッション「標的型サイバー攻撃に備える~攻撃の実態と専門知識を活用した運用体制とは」について紹介する。

●標的型サイバー攻撃を行う攻撃者は常に一生懸命

六宮氏はまず、標的型サイバー攻撃の各攻撃ステージを「事前調査」「初期潜入」「攻撃基盤の構築/C&C通信」「情報探索」「情報集約」「情報送出」で説明、さらに実際のインシデント現場では、ケースごとにさらに何十段階にもおよぶ攻撃フェーズが確認されることを紹介した。そこからは一連の攻撃を長期間に渡り執拗に仕掛ける標的型サイバー攻撃の特性が見てとれるという。六宮氏は、IT部門の担当者が細かな手口のすべてを理解する必要はないものの、攻撃には複数の段階つまり「流れ」があること、攻撃者の思考を理解するために、その流れを理解することが必要であるとした。

可視化される脅威は一部であっても、その裏には相関するいくつもの攻撃の事象が隠されている可能性があるのだ。攻撃の一端となる異常を効率よく見分け、必要な情報を保護するためには、対策製品だけではなく普段からの「運用」が重要になると、六宮氏は指摘する。一方で、企業の実情を見ると、標的型サイバー攻撃のための運用ができているケースは多くないと言う。六宮氏は、企業の実情とそのリスクについて、攻撃の傾向から次のように説明をはじめた。

攻撃には、正規の管理ツール「PsExec」を悪用する例や、「echo」「ftp」などのコマンドを悪用する例など、多くの手法が確認されている。六宮氏は「echo」「ftp」の事例を紹介し、「攻撃者は常に手法を工夫、アップデートしながら執拗な攻撃を行っている」とした。実際の攻撃事例などをみると、すでに完成された攻撃手法のように思える。しかし、次々に攻撃手法が確認されるということは、攻撃者側も最新の対策をかいくぐろうとしていることであり、目標を達成するために「攻撃者は常に一生懸命である」と六宮氏は言う。

「標的型サイバー攻撃を行う攻撃者は常に一生懸命。では、守る側はどうなのか?」と六宮氏は疑問を投げかける。同社がユーザに実施した「セキュリティ対策アセスメント」に関するヒアリングでは、対策する側のセキュリティに対する「理想論と実情」のギャップが目立つという。その具体例として、六宮氏は2つのケースを挙げた。

ひとつはメールの添付ファイルにおける対策だ。多くの場合、「業務に必要なファイルのみ受信するように対策している」というが、zip圧縮されたexeファイルをブロックしていることは少ない。最近の標的型サイバー攻撃では、セキュリティソフトに検知されないよう、パスワードのかかったzipファイルを利用するケースが多く確認されている。以前から確認されている手法ではあるが、アイコン偽装などの手法と組み合わせることで、今でも十分に効果がある手法であり、対応していないと感染のリスクが高くなってしまう。

もうひとつのケースは、アカウントの管理だ。ドメインアカウントに「複雑化」と「定期変更」を施していても、リモートサポートツールなど運用で使うアカウントは棚卸しされず、パスワードが放置されていることも少なくない。標的型サイバー攻撃では、リモートサポートツールに代表されるような「正規のツール」を悪用して不正な操作を実行しようとした手口も確認されていることから、注意が必要だという。

●「対策疲れ」に陥る理由とは

セキュリティ対策の現状は「理想論と実情」のギャップがあり、攻撃者はそのギャップを狙ってくる。標的型サイバー攻撃は、刻々と手法を変え、様々なアプローチを組み合わせて攻撃を仕掛けてくるため、全方位に対策しようとした場合、守る側の対策は多岐にわたり、労力・コストは莫大なものなる。こういったことから「対策疲れ」に陥っているケースが非常に多いと言う。

六宮氏は、いつ発生するかわからない、多種多様な攻撃に対する終わりのない戦いを続けていくためには、考え方を変える必要があるとした。標的型サイバー攻撃への対策は、相手を理解することと自分を知ることで、やるべきことが見えてくるという。つまり、対策の基本的な考え方として「組織が守るべきもの」を明らかにすることが非常に重要なのだ。それは機密情報であったり顧客情報であったり、インフラや評判(のれん)であったりする。「守るべきもの」を考え、整理していくことで、必要な対策が見えてくるわけだ。

セキュリティ対策全般に言える当然とも言える考え方であるが、しかし、インシデントの現場では、整理できていないケースが多いと六宮氏は指摘する。それが現場に伝わっていないと「対策疲れ」に陥ってしまう。守るべき対象を棚卸しし、必要なセキュリティを考えることこそが、「対策疲れ」を防ぎ、自社に最適な対策を施す第一歩になるという。

●対策にツールは有効だが、重要なのは導入後の運用

数多くの企業ユーザの声やインシデントに接してきた六宮氏はまた、運用現場の課題として次のことを指摘する。何らかしらの対策製品を導入したものの使いこなせない、という声が実に多くに聞かれるというのだ。標的型サイバー攻撃対策製品は、確かに有効だ。しかし、それを活かしてインシデントハンドリングまで行うには、運用が重要となる。

なぜなら、対策製品は可視化が可能だが、見えるのは「点」でしかない。可視化された複数の「点」から事象を推測し、相関関係を導き出すには「知見を有する人」が必要になる。また、標的型サイバー攻撃は時間をかけて継続的に行われるため、対策する側もまた継続性が求められる。継続性と言っても製品を導入しておけばいいというのではない。インシデントに気づくための運用が重要なのである。つまり、インシデントが発生した際の「異常時運用」だけではなく、標的型サイバー攻撃の僅かな「異変」に気づくためにも、「定常時運用」を見直すべきだと六宮氏は強調した。

標的型サイバー攻撃への対策には、対策製品という「ツール」が有効だが、大切なのはツールを導入した後の運用部分になる。六宮氏は、脅威動向の知識と豊富な対策経験を持つ専門家らによる、セキュリティライフサイクルの様々なフェーズを支援するサービス、トレンドマイクロ セキュリティ エキスパート サービスの概要を紹介しながら、ツールを導入した後の「知見」に基づく運用の重要性について言及した。

昨今の高度化したサイバー攻撃の対策には、脅威の兆候把握や、得られたデータやログの解析といった、単なるIT機器や情報システムの運用管理を超えた、インテリジェンスとも呼びうる知見が必要となりつつある。こうした背景のもと同氏が紹介するサービスの需要は今後、ますます高まっていくことが予想される。

六宮氏は、今一度「守るべきものを守る」ことをスタート地点としてセキュリティ対策を見直すことを提言し、セッションを締めくくった。
《吉澤 亨史( Kouji Yoshizawa )》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数の脆弱性 画像

複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数の脆弱性
JPRS、PowerDNS Authoritative Server の脆弱性情報を公開 画像

JPRS、PowerDNS Authoritative Server の脆弱性情報を公開
NISC、2020年東京オリンピック・パラリンピック競技大会に乗じたサイバー攻撃に警戒 画像

NISC、2020年東京オリンピック・パラリンピック競技大会に乗じたサイバー攻撃に警戒
複数のOracle製品のクリティカルパッチアップデートについて注意喚起 画像

複数のOracle製品のクリティカルパッチアップデートについて注意喚起
Minecraft Java Edition にディレクトリトラバーサルの脆弱性 画像

Minecraft Java Edition にディレクトリトラバーサルの脆弱性
DELL Client Firmware Update Utility のカーネルドライバにおいて管理者権限の奪取につながる任意のカーネル空間メモリの読み書きが可能な脆弱性(Scan Tech Report) 画像

DELL Client Firmware Update Utility のカーネルドライバにおいて管理者権限の奪取につながる任意のカーネル空間メモリの読み書きが可能な脆弱性(Scan Tech Report)

インシデント・事故 記事一覧へ

PHPMailer を使用したシステムで不具合、メール連続送信時に「CC」欄のアドレスがクリアされず 画像

PHPMailer を使用したシステムで不具合、メール連続送信時に「CC」欄のアドレスがクリアされず
「ノミダニフィラリアサイト」登録ユーザーと獣医師の個人情報流出、警視庁の連絡で発覚 画像

「ノミダニフィラリアサイト」登録ユーザーと獣医師の個人情報流出、警視庁の連絡で発覚
個人情報保護委員会、マイナンバーのヒヤリハット・漏えい事例をまとめた資料を公表 画像

個人情報保護委員会、マイナンバーのヒヤリハット・漏えい事例をまとめた資料を公表
時事通信社記者がUSBメモリ紛失、だんまりを決め込むも一年後警察からの連絡で発覚 画像

時事通信社記者がUSBメモリ紛失、だんまりを決め込むも一年後警察からの連絡で発覚
KLab IDに外部から大量の不正アクセス、約52万件の確認メールを送信 画像

KLab IDに外部から大量の不正アクセス、約52万件の確認メールを送信
コロナ対策リーダーへのワクチン接種案内メール、約44,000名に誤送信 画像

コロナ対策リーダーへのワクチン接種案内メール、約44,000名に誤送信

調査・レポート・白書 記事一覧へ

CrowdStrike Adversary Calender 2021 年 8 月( PIONEER KITTEN ) 画像

CrowdStrike Adversary Calender 2021 年 8 月( PIONEER KITTEN )
2021年第2四半期 J-CSIPレポート、問い合わせフォームに身代金を要求する脅迫文 ほか 画像

2021年第2四半期 J-CSIPレポート、問い合わせフォームに身代金を要求する脅迫文 ほか
IPA脆弱性届出、製品別は「Webアプリ」が最多に -- 四半期レポート 画像

IPA脆弱性届出、製品別は「Webアプリ」が最多に -- 四半期レポート
McAfee Labs 脅威レポート 2021年第1四半期、ランサムウェアの脅威目立つ 画像

McAfee Labs 脅威レポート 2021年第1四半期、ランサムウェアの脅威目立つ
テクニカルサポート詐欺実態調査、日本人の被害経験 世界平均下回る 画像

テクニカルサポート詐欺実態調査、日本人の被害経験 世界平均下回る
マイクロソフト「医療機関向けクラウドサービス対応セキュリティリファレンス(2021年度)」公開 画像

マイクロソフト「医療機関向けクラウドサービス対応セキュリティリファレンス(2021年度)」公開

研修・セミナー・カンファレンス 記事一覧へ

最新医療系 IT システムのセキュリティを「生体検査」、見えてきた脆弱性 画像

最新医療系 IT システムのセキュリティを「生体検査」、見えてきた脆弱性
最後の経済フロンティア ~ アフリカのサイバー攻撃、ESETが3つの事例分析 画像

最後の経済フロンティア ~ アフリカのサイバー攻撃、ESETが3つの事例分析
CrowdStrikeの考えるインシデント対応のポイント解説 Webセミナー開催 画像

CrowdStrikeの考えるインシデント対応のポイント解説 Webセミナー開催
今年はオンラインとフィジカル、「CODE BLUE 2021」ハイブリッド開催 画像

今年はオンラインとフィジカル、「CODE BLUE 2021」ハイブリッド開催
電子カルテシステムの脆弱性、米薬害訴訟 オピオイドクライシスきっかけで明らかに 画像

電子カルテシステムの脆弱性、米薬害訴訟 オピオイドクライシスきっかけで明らかに
CrowdStrike、運用負荷を軽減するエンドポイント保護への移行について解説 Webセミナー開催 画像

CrowdStrike、運用負荷を軽減するエンドポイント保護への移行について解説 Webセミナー開催

製品・サービス・業界動向 記事一覧へ

コードレビューSaaS「Sider」にクレデンシャル情報の流出防止機能を追加 画像

コードレビューSaaS「Sider」にクレデンシャル情報の流出防止機能を追加
ログ収集・監視ソフトウェア「LogStare Collector」の新バージョンリリース、METRICS監視を拡張しログ収集が可能に 画像

ログ収集・監視ソフトウェア「LogStare Collector」の新バージョンリリース、METRICS監視を拡張しログ収集が可能に
オープンソースソフトウェアのセキュリティリスクを測定「Scorecards V2」をリリース 画像

オープンソースソフトウェアのセキュリティリスクを測定「Scorecards V2」をリリース
キャリアヴェイル、「CustomerStare」を使用した不調やトラブルの無料調査を先着5社へ 画像

キャリアヴェイル、「CustomerStare」を使用した不調やトラブルの無料調査を先着5社へ
ランサムウェア対策ポータルサイト開設 画像

ランサムウェア対策ポータルサイト開設
イエラエセキュリティ、テレワーク環境におけるセキュリティ対策状況をホワイトハッカーの視点で評価 画像

イエラエセキュリティ、テレワーク環境におけるセキュリティ対策状況をホワイトハッカーの視点で評価

おしらせ 記事一覧へ

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×