一生懸命な標的型サイバー攻撃犯、対策疲れのセキュリティ部門 ─「対策疲れ」に陥らない、運用のポイントとは | ScanNetSecurity
2021.01.16(土)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 脅威動向 記事

一生懸命な標的型サイバー攻撃犯、対策疲れのセキュリティ部門 ─「対策疲れ」に陥らない、運用のポイントとは

11月14日、ザ・プリンスタワー東京において開催された「Trend Micro DIRECTION」では、トレンドマイクロ社内外のスピーカーによる多くのセッションが行われた。本稿では、「標的型サイバー攻撃に備える~攻撃の実態と専門知識を活用した運用体制とは」について紹介する。

脆弱性と脅威 脅威動向
11月14日、ザ・プリンスタワー東京において開催された「Trend Micro DIRECTION」では、トレンドマイクロ社内外のスピーカーによる多くのセッションが行われた。本稿では、トレンドマイクロで、脅威の解析・対策支援で企業ユーザを日々サポートするスレットモニタリングセンター マネージャー 兼 TrendMicro Security Incident Response Team チーム技術統括責任者である六宮智悟氏によるセッション「標的型サイバー攻撃に備える~攻撃の実態と専門知識を活用した運用体制とは」について紹介する。

●標的型サイバー攻撃を行う攻撃者は常に一生懸命

六宮氏はまず、標的型サイバー攻撃の各攻撃ステージを「事前調査」「初期潜入」「攻撃基盤の構築/C&C通信」「情報探索」「情報集約」「情報送出」で説明、さらに実際のインシデント現場では、ケースごとにさらに何十段階にもおよぶ攻撃フェーズが確認されることを紹介した。そこからは一連の攻撃を長期間に渡り執拗に仕掛ける標的型サイバー攻撃の特性が見てとれるという。六宮氏は、IT部門の担当者が細かな手口のすべてを理解する必要はないものの、攻撃には複数の段階つまり「流れ」があること、攻撃者の思考を理解するために、その流れを理解することが必要であるとした。

可視化される脅威は一部であっても、その裏には相関するいくつもの攻撃の事象が隠されている可能性があるのだ。攻撃の一端となる異常を効率よく見分け、必要な情報を保護するためには、対策製品だけではなく普段からの「運用」が重要になると、六宮氏は指摘する。一方で、企業の実情を見ると、標的型サイバー攻撃のための運用ができているケースは多くないと言う。六宮氏は、企業の実情とそのリスクについて、攻撃の傾向から次のように説明をはじめた。

攻撃には、正規の管理ツール「PsExec」を悪用する例や、「echo」「ftp」などのコマンドを悪用する例など、多くの手法が確認されている。六宮氏は「echo」「ftp」の事例を紹介し、「攻撃者は常に手法を工夫、アップデートしながら執拗な攻撃を行っている」とした。実際の攻撃事例などをみると、すでに完成された攻撃手法のように思える。しかし、次々に攻撃手法が確認されるということは、攻撃者側も最新の対策をかいくぐろうとしていることであり、目標を達成するために「攻撃者は常に一生懸命である」と六宮氏は言う。

「標的型サイバー攻撃を行う攻撃者は常に一生懸命。では、守る側はどうなのか?」と六宮氏は疑問を投げかける。同社がユーザに実施した「セキュリティ対策アセスメント」に関するヒアリングでは、対策する側のセキュリティに対する「理想論と実情」のギャップが目立つという。その具体例として、六宮氏は2つのケースを挙げた。

ひとつはメールの添付ファイルにおける対策だ。多くの場合、「業務に必要なファイルのみ受信するように対策している」というが、zip圧縮されたexeファイルをブロックしていることは少ない。最近の標的型サイバー攻撃では、セキュリティソフトに検知されないよう、パスワードのかかったzipファイルを利用するケースが多く確認されている。以前から確認されている手法ではあるが、アイコン偽装などの手法と組み合わせることで、今でも十分に効果がある手法であり、対応していないと感染のリスクが高くなってしまう。

もうひとつのケースは、アカウントの管理だ。ドメインアカウントに「複雑化」と「定期変更」を施していても、リモートサポートツールなど運用で使うアカウントは棚卸しされず、パスワードが放置されていることも少なくない。標的型サイバー攻撃では、リモートサポートツールに代表されるような「正規のツール」を悪用して不正な操作を実行しようとした手口も確認されていることから、注意が必要だという。

●「対策疲れ」に陥る理由とは

セキュリティ対策の現状は「理想論と実情」のギャップがあり、攻撃者はそのギャップを狙ってくる。標的型サイバー攻撃は、刻々と手法を変え、様々なアプローチを組み合わせて攻撃を仕掛けてくるため、全方位に対策しようとした場合、守る側の対策は多岐にわたり、労力・コストは莫大なものなる。こういったことから「対策疲れ」に陥っているケースが非常に多いと言う。

六宮氏は、いつ発生するかわからない、多種多様な攻撃に対する終わりのない戦いを続けていくためには、考え方を変える必要があるとした。標的型サイバー攻撃への対策は、相手を理解することと自分を知ることで、やるべきことが見えてくるという。つまり、対策の基本的な考え方として「組織が守るべきもの」を明らかにすることが非常に重要なのだ。それは機密情報であったり顧客情報であったり、インフラや評判(のれん)であったりする。「守るべきもの」を考え、整理していくことで、必要な対策が見えてくるわけだ。

セキュリティ対策全般に言える当然とも言える考え方であるが、しかし、インシデントの現場では、整理できていないケースが多いと六宮氏は指摘する。それが現場に伝わっていないと「対策疲れ」に陥ってしまう。守るべき対象を棚卸しし、必要なセキュリティを考えることこそが、「対策疲れ」を防ぎ、自社に最適な対策を施す第一歩になるという。

●対策にツールは有効だが、重要なのは導入後の運用

数多くの企業ユーザの声やインシデントに接してきた六宮氏はまた、運用現場の課題として次のことを指摘する。何らかしらの対策製品を導入したものの使いこなせない、という声が実に多くに聞かれるというのだ。標的型サイバー攻撃対策製品は、確かに有効だ。しかし、それを活かしてインシデントハンドリングまで行うには、運用が重要となる。

なぜなら、対策製品は可視化が可能だが、見えるのは「点」でしかない。可視化された複数の「点」から事象を推測し、相関関係を導き出すには「知見を有する人」が必要になる。また、標的型サイバー攻撃は時間をかけて継続的に行われるため、対策する側もまた継続性が求められる。継続性と言っても製品を導入しておけばいいというのではない。インシデントに気づくための運用が重要なのである。つまり、インシデントが発生した際の「異常時運用」だけではなく、標的型サイバー攻撃の僅かな「異変」に気づくためにも、「定常時運用」を見直すべきだと六宮氏は強調した。

標的型サイバー攻撃への対策には、対策製品という「ツール」が有効だが、大切なのはツールを導入した後の運用部分になる。六宮氏は、脅威動向の知識と豊富な対策経験を持つ専門家らによる、セキュリティライフサイクルの様々なフェーズを支援するサービス、トレンドマイクロ セキュリティ エキスパート サービスの概要を紹介しながら、ツールを導入した後の「知見」に基づく運用の重要性について言及した。

昨今の高度化したサイバー攻撃の対策には、脅威の兆候把握や、得られたデータやログの解析といった、単なるIT機器や情報システムの運用管理を超えた、インテリジェンスとも呼びうる知見が必要となりつつある。こうした背景のもと同氏が紹介するサービスの需要は今後、ますます高まっていくことが予想される。

六宮氏は、今一度「守るべきものを守る」ことをスタート地点としてセキュリティ対策を見直すことを提言し、セッションを締めくくった。
《吉澤 亨史( Kouji Yoshizawa )》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み 画像

マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み
Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report) 画像

Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report)
SKYSEA Client View のインストーラに DLL 読み込みに関する脆弱性 画像

SKYSEA Client View のインストーラに DLL 読み込みに関する脆弱性
WordPress 用WooCommerceプラグインのNAB Transact エクステンションにおけるデータの整合性検証不備に関する脆弱性 画像

WordPress 用WooCommerceプラグインのNAB Transact エクステンションにおけるデータの整合性検証不備に関する脆弱性
トレンドマイクロ製InterScan Web Securityシリーズの管理画面用サービスに複数の脆弱性 画像

トレンドマイクロ製InterScan Web Securityシリーズの管理画面用サービスに複数の脆弱性
SolarWinds Orion APIに認証回避の脆弱性、アップデートを呼びかけ 画像

SolarWinds Orion APIに認証回避の脆弱性、アップデートを呼びかけ

インシデント・事故 記事一覧へ

kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出 画像

kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出
カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認 画像

カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認
ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い 画像

ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い
神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意 画像

神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意
横浜市交通局職員 懲戒処分、定期券販売機を不正利用し 個人情報検索 画像

横浜市交通局職員 懲戒処分、定期券販売機を不正利用し 個人情報検索
総務省サイバーセキュリティ統括官室 メーリングリスト誤設定 画像

総務省サイバーセキュリティ統括官室 メーリングリスト誤設定

調査・レポート・白書 記事一覧へ

IDC予測、2024年までのセキュリティ製品サービス市場規模 画像

IDC予測、2024年までのセキュリティ製品サービス市場規模
企業 IT予算 増加基調維持、コロナ対応による予算増など要因 画像

企業 IT予算 増加基調維持、コロナ対応による予算増など要因
2021年の十大セキュリティトレンド、情報セキュリティ監査人がチェックするポイントとは 画像

2021年の十大セキュリティトレンド、情報セキュリティ監査人がチェックするポイントとは
地方公共団体の特定個人情報の取扱い、おおむね必要な措置を実施済 画像

地方公共団体の特定個人情報の取扱い、おおむね必要な措置を実施済
利用者中心の行政サービス設計 12 箇条、首相官邸が明示 画像

利用者中心の行政サービス設計 12 箇条、首相官邸が明示
「地方公共団体における情報セキュリティポリシーに関するガイドライン」7 つの改定ポイント 画像

「地方公共団体における情報セキュリティポリシーに関するガイドライン」7 つの改定ポイント

研修・セミナー・カンファレンス 記事一覧へ

SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策 画像

SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策
CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信 画像

CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信
NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催 画像

NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催
セキュリティインシデントの当事者になったその後 画像

セキュリティインシデントの当事者になったその後
セキュリスト(SecuriST)認定脆弱性診断士のプレ開講、7名の受講者インタビュー公開 画像

セキュリスト(SecuriST)認定脆弱性診断士のプレ開講、7名の受講者インタビュー公開
過去の情報も危険にさらす量子コンピュータ、今から対策を~デジサートが指摘 画像

過去の情報も危険にさらす量子コンピュータ、今から対策を~デジサートが指摘

製品・サービス・業界動向 記事一覧へ

東京海上日動と連携、Microsoft Azureの障害やサイバー攻撃を補償 画像

東京海上日動と連携、Microsoft Azureの障害やサイバー攻撃を補償
世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男 画像

世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男
統合管理ソフト「AT-SESC」をバージョンアップ、接続端末の可視化と識別可能に 画像

統合管理ソフト「AT-SESC」をバージョンアップ、接続端末の可視化と識別可能に
「セコムプロフェッショナルサポート」が経産省策定「情報セキュリティサービス基準適合サービスリスト」に登録 画像

「セコムプロフェッショナルサポート」が経産省策定「情報セキュリティサービス基準適合サービスリスト」に登録
M1チップ搭載のMacBook Air等による確定申告、ICカードリーダライタ非対応の可能性 画像

M1チップ搭載のMacBook Air等による確定申告、ICカードリーダライタ非対応の可能性
イエラエの技術者がインシデント対応支援、30万円/日のチケット制 画像

イエラエの技術者がインシデント対応支援、30万円/日のチケット制

おしらせ 記事一覧へ

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×