一生懸命な標的型サイバー攻撃犯、対策疲れのセキュリティ部門 ─「対策疲れ」に陥らない、運用のポイントとは | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.02.21(木)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 脅威動向 記事

一生懸命な標的型サイバー攻撃犯、対策疲れのセキュリティ部門 ─「対策疲れ」に陥らない、運用のポイントとは

11月14日、ザ・プリンスタワー東京において開催された「Trend Micro DIRECTION」では、トレンドマイクロ社内外のスピーカーによる多くのセッションが行われた。本稿では、「標的型サイバー攻撃に備える~攻撃の実態と専門知識を活用した運用体制とは」について紹介する。

脆弱性と脅威 脅威動向
11月14日、ザ・プリンスタワー東京において開催された「Trend Micro DIRECTION」では、トレンドマイクロ社内外のスピーカーによる多くのセッションが行われた。本稿では、トレンドマイクロで、脅威の解析・対策支援で企業ユーザを日々サポートするスレットモニタリングセンター マネージャー 兼 TrendMicro Security Incident Response Team チーム技術統括責任者である六宮智悟氏によるセッション「標的型サイバー攻撃に備える~攻撃の実態と専門知識を活用した運用体制とは」について紹介する。

●標的型サイバー攻撃を行う攻撃者は常に一生懸命

六宮氏はまず、標的型サイバー攻撃の各攻撃ステージを「事前調査」「初期潜入」「攻撃基盤の構築/C&C通信」「情報探索」「情報集約」「情報送出」で説明、さらに実際のインシデント現場では、ケースごとにさらに何十段階にもおよぶ攻撃フェーズが確認されることを紹介した。そこからは一連の攻撃を長期間に渡り執拗に仕掛ける標的型サイバー攻撃の特性が見てとれるという。六宮氏は、IT部門の担当者が細かな手口のすべてを理解する必要はないものの、攻撃には複数の段階つまり「流れ」があること、攻撃者の思考を理解するために、その流れを理解することが必要であるとした。

可視化される脅威は一部であっても、その裏には相関するいくつもの攻撃の事象が隠されている可能性があるのだ。攻撃の一端となる異常を効率よく見分け、必要な情報を保護するためには、対策製品だけではなく普段からの「運用」が重要になると、六宮氏は指摘する。一方で、企業の実情を見ると、標的型サイバー攻撃のための運用ができているケースは多くないと言う。六宮氏は、企業の実情とそのリスクについて、攻撃の傾向から次のように説明をはじめた。

攻撃には、正規の管理ツール「PsExec」を悪用する例や、「echo」「ftp」などのコマンドを悪用する例など、多くの手法が確認されている。六宮氏は「echo」「ftp」の事例を紹介し、「攻撃者は常に手法を工夫、アップデートしながら執拗な攻撃を行っている」とした。実際の攻撃事例などをみると、すでに完成された攻撃手法のように思える。しかし、次々に攻撃手法が確認されるということは、攻撃者側も最新の対策をかいくぐろうとしていることであり、目標を達成するために「攻撃者は常に一生懸命である」と六宮氏は言う。

「標的型サイバー攻撃を行う攻撃者は常に一生懸命。では、守る側はどうなのか?」と六宮氏は疑問を投げかける。同社がユーザに実施した「セキュリティ対策アセスメント」に関するヒアリングでは、対策する側のセキュリティに対する「理想論と実情」のギャップが目立つという。その具体例として、六宮氏は2つのケースを挙げた。

ひとつはメールの添付ファイルにおける対策だ。多くの場合、「業務に必要なファイルのみ受信するように対策している」というが、zip圧縮されたexeファイルをブロックしていることは少ない。最近の標的型サイバー攻撃では、セキュリティソフトに検知されないよう、パスワードのかかったzipファイルを利用するケースが多く確認されている。以前から確認されている手法ではあるが、アイコン偽装などの手法と組み合わせることで、今でも十分に効果がある手法であり、対応していないと感染のリスクが高くなってしまう。

もうひとつのケースは、アカウントの管理だ。ドメインアカウントに「複雑化」と「定期変更」を施していても、リモートサポートツールなど運用で使うアカウントは棚卸しされず、パスワードが放置されていることも少なくない。標的型サイバー攻撃では、リモートサポートツールに代表されるような「正規のツール」を悪用して不正な操作を実行しようとした手口も確認されていることから、注意が必要だという。

●「対策疲れ」に陥る理由とは

セキュリティ対策の現状は「理想論と実情」のギャップがあり、攻撃者はそのギャップを狙ってくる。標的型サイバー攻撃は、刻々と手法を変え、様々なアプローチを組み合わせて攻撃を仕掛けてくるため、全方位に対策しようとした場合、守る側の対策は多岐にわたり、労力・コストは莫大なものなる。こういったことから「対策疲れ」に陥っているケースが非常に多いと言う。

六宮氏は、いつ発生するかわからない、多種多様な攻撃に対する終わりのない戦いを続けていくためには、考え方を変える必要があるとした。標的型サイバー攻撃への対策は、相手を理解することと自分を知ることで、やるべきことが見えてくるという。つまり、対策の基本的な考え方として「組織が守るべきもの」を明らかにすることが非常に重要なのだ。それは機密情報であったり顧客情報であったり、インフラや評判(のれん)であったりする。「守るべきもの」を考え、整理していくことで、必要な対策が見えてくるわけだ。

セキュリティ対策全般に言える当然とも言える考え方であるが、しかし、インシデントの現場では、整理できていないケースが多いと六宮氏は指摘する。それが現場に伝わっていないと「対策疲れ」に陥ってしまう。守るべき対象を棚卸しし、必要なセキュリティを考えることこそが、「対策疲れ」を防ぎ、自社に最適な対策を施す第一歩になるという。

●対策にツールは有効だが、重要なのは導入後の運用

数多くの企業ユーザの声やインシデントに接してきた六宮氏はまた、運用現場の課題として次のことを指摘する。何らかしらの対策製品を導入したものの使いこなせない、という声が実に多くに聞かれるというのだ。標的型サイバー攻撃対策製品は、確かに有効だ。しかし、それを活かしてインシデントハンドリングまで行うには、運用が重要となる。

なぜなら、対策製品は可視化が可能だが、見えるのは「点」でしかない。可視化された複数の「点」から事象を推測し、相関関係を導き出すには「知見を有する人」が必要になる。また、標的型サイバー攻撃は時間をかけて継続的に行われるため、対策する側もまた継続性が求められる。継続性と言っても製品を導入しておけばいいというのではない。インシデントに気づくための運用が重要なのである。つまり、インシデントが発生した際の「異常時運用」だけではなく、標的型サイバー攻撃の僅かな「異変」に気づくためにも、「定常時運用」を見直すべきだと六宮氏は強調した。

標的型サイバー攻撃への対策には、対策製品という「ツール」が有効だが、大切なのはツールを導入した後の運用部分になる。六宮氏は、脅威動向の知識と豊富な対策経験を持つ専門家らによる、セキュリティライフサイクルの様々なフェーズを支援するサービス、トレンドマイクロ セキュリティ エキスパート サービスの概要を紹介しながら、ツールを導入した後の「知見」に基づく運用の重要性について言及した。

昨今の高度化したサイバー攻撃の対策には、脅威の兆候把握や、得られたデータやログの解析といった、単なるIT機器や情報システムの運用管理を超えた、インテリジェンスとも呼びうる知見が必要となりつつある。こうした背景のもと同氏が紹介するサービスの需要は今後、ますます高まっていくことが予想される。

六宮氏は、今一度「守るべきものを守る」ことをスタート地点としてセキュリティ対策を見直すことを提言し、セッションを締めくくった。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

三井住友カードを騙るフィッシング報告、注意を呼びかけ(フィッシング対策協議会) 画像

三井住友カードを騙るフィッシング報告、注意を呼びかけ(フィッシング対策協議会)
1位から4位をマイニングマルウェアが占める--月例レポート(チェック・ポイント) 画像

1位から4位をマイニングマルウェアが占める--月例レポート(チェック・ポイント)
国内改ざんサイトの実例を紹介(デジタルアーツ) 画像

国内改ざんサイトの実例を紹介(デジタルアーツ)
複数の理由で「アカウント検証」をクリックさせようとするAmazon偽メール(フィッシング対策協議会) 画像

複数の理由で「アカウント検証」をクリックさせようとするAmazon偽メール(フィッシング対策協議会)
アドビ「Creative Cloud Desktop Application」に任意コード実行の脆弱性(JVN) 画像

アドビ「Creative Cloud Desktop Application」に任意コード実行の脆弱性(JVN)
Facebook、Twitter ~メジャー SNS で堂々と活動するサイバー犯罪者 画像

Facebook、Twitter ~メジャー SNS で堂々と活動するサイバー犯罪者

インシデント・事故 記事一覧へ

チケットの案内に関するメール誤送信、データ編集時の操作ミスでアドレスと顧客情報にズレ(阪神タイガース) 画像

チケットの案内に関するメール誤送信、データ編集時の操作ミスでアドレスと顧客情報にズレ(阪神タイガース)
フィッシングメールで教員と学生のパスワードが盗取、3,727件のメールが外部に不正転送(東京理科大学) 画像

フィッシングメールで教員と学生のパスワードが盗取、3,727件のメールが外部に不正転送(東京理科大学)
誤って宛先にグループ化したアドレスを設定し送信(宮城県) 画像

誤って宛先にグループ化したアドレスを設定し送信(宮城県)
宴会セールス従業員が顧客の個人情報が保存された業務用スマートフォンを紛失(阪急阪神ホテルズ) 画像

宴会セールス従業員が顧客の個人情報が保存された業務用スマートフォンを紛失(阪急阪神ホテルズ)
市立中学にて個人情報含むUSBメモリ紛失、複数の対策実施予定(千葉市) 画像

市立中学にて個人情報含むUSBメモリ紛失、複数の対策実施予定(千葉市)
親子DE発達凸凹学習塾86の「86チェッカー」利用者のアドレスが流出(MOYU) 画像

親子DE発達凸凹学習塾86の「86チェッカー」利用者のアドレスが流出(MOYU)

調査・レポート・白書 記事一覧へ

メールサーバセキュリティ診断の結果、61%が「要改善」(デージーネット) 画像

メールサーバセキュリティ診断の結果、61%が「要改善」(デージーネット)
Telnetへの攻撃は大きく減少するも、半数以上がIoT機器を狙う攻撃(NICT) 画像

Telnetへの攻撃は大きく減少するも、半数以上がIoT機器を狙う攻撃(NICT)
Windows10 導入企業 4 割がセキュリティ強化のためと回答(GfKジャパン) 画像

Windows10 導入企業 4 割がセキュリティ強化のためと回答(GfKジャパン)
宅配便業者を騙るSMSと、セクストーションメールが急増(IPA) 画像

宅配便業者を騙るSMSと、セクストーションメールが急増(IPA)
フィッシングメールの相談が増加、BECも4件の情報提供(IPA) 画像

フィッシングメールの相談が増加、BECも4件の情報提供(IPA)
企業への攻撃数が増加傾向、特に50~199人規模が突出(サイバーセキュリティクラウド) 画像

企業への攻撃数が増加傾向、特に50~199人規模が突出(サイバーセキュリティクラウド)

研修・セミナー・カンファレンス 記事一覧へ

マイニングマルウェアを脆弱性影響分析に活用 - LACのアイデア 画像

マイニングマルウェアを脆弱性影響分析に活用 - LACのアイデア
NGAV・EDRは怖くない、一人情シス安心の賢いセキュリティ対策を紹介(ソリトン、セコムトラストシステムズ) 画像

NGAV・EDRは怖くない、一人情シス安心の賢いセキュリティ対策を紹介(ソリトン、セコムトラストシステムズ)
未来の重要セキュリティ職種「スレットハンター」とは 画像

未来の重要セキュリティ職種「スレットハンター」とは
インテリジェンスと標準化をキーワードに考えるセキュリティ戦略セミナー(SHIFT SECURITY) 画像

インテリジェンスと標準化をキーワードに考えるセキュリティ戦略セミナー(SHIFT SECURITY)
機械学習・ディープラーニングの安全なセキュリティへの活用 画像

機械学習・ディープラーニングの安全なセキュリティへの活用
今回は愛知でも開催、クルマのサイバー攻撃実証セミナー ~ 市販ゲームコントローラでブレーキやアクセル制御も 画像

今回は愛知でも開催、クルマのサイバー攻撃実証セミナー ~ 市販ゲームコントローラでブレーキやアクセル制御も

製品・サービス・業界動向 記事一覧へ

BECを含む詐欺メールに自動対応するソリューション(シマンテック) 画像

BECを含む詐欺メールに自動対応するソリューション(シマンテック)
「デジサート研究所」を設立、新たなセキュリティ脅威に産学連携で対応(デジサート・ジャパン) 画像

「デジサート研究所」を設立、新たなセキュリティ脅威に産学連携で対応(デジサート・ジャパン)
ソフトウェアでインターネット分離環境構築(テクマトリックス) 画像

ソフトウェアでインターネット分離環境構築(テクマトリックス)
量子コンピュータでも解読不可、デジタル署名アルゴリズム試験成功(デジサート・ジャパン) 画像

量子コンピュータでも解読不可、デジタル署名アルゴリズム試験成功(デジサート・ジャパン)
プリンタを「分離」、基幹/一般ネットワークを1台に(NEC) 画像

プリンタを「分離」、基幹/一般ネットワークを1台に(NEC)
IDとPCの双方を監視し分析するマネージドサービス(JBS) 画像

IDとPCの双方を監視し分析するマネージドサービス(JBS)

おしらせ 記事一覧へ

記事に関するお詫びと訂正:メール誤送信を助長する表現について 画像

記事に関するお詫びと訂正:メール誤送信を助長する表現について
【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター 画像

【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター
プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り) 画像

プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り)
ScanNetSecurity 創刊 20 周年の御礼 画像

ScanNetSecurity 創刊 20 周年の御礼
編集部海外取材お土産 < 応募締切 9/30 > 画像

編集部海外取材お土産 < 応募締切 9/30 >
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像

[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×