一生懸命な標的型サイバー攻撃犯、対策疲れのセキュリティ部門 ─「対策疲れ」に陥らない、運用のポイントとは | ScanNetSecurity
2020.12.05(土)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 脅威動向 記事

一生懸命な標的型サイバー攻撃犯、対策疲れのセキュリティ部門 ─「対策疲れ」に陥らない、運用のポイントとは

11月14日、ザ・プリンスタワー東京において開催された「Trend Micro DIRECTION」では、トレンドマイクロ社内外のスピーカーによる多くのセッションが行われた。本稿では、「標的型サイバー攻撃に備える~攻撃の実態と専門知識を活用した運用体制とは」について紹介する。

脆弱性と脅威 脅威動向
11月14日、ザ・プリンスタワー東京において開催された「Trend Micro DIRECTION」では、トレンドマイクロ社内外のスピーカーによる多くのセッションが行われた。本稿では、トレンドマイクロで、脅威の解析・対策支援で企業ユーザを日々サポートするスレットモニタリングセンター マネージャー 兼 TrendMicro Security Incident Response Team チーム技術統括責任者である六宮智悟氏によるセッション「標的型サイバー攻撃に備える~攻撃の実態と専門知識を活用した運用体制とは」について紹介する。

●標的型サイバー攻撃を行う攻撃者は常に一生懸命

六宮氏はまず、標的型サイバー攻撃の各攻撃ステージを「事前調査」「初期潜入」「攻撃基盤の構築/C&C通信」「情報探索」「情報集約」「情報送出」で説明、さらに実際のインシデント現場では、ケースごとにさらに何十段階にもおよぶ攻撃フェーズが確認されることを紹介した。そこからは一連の攻撃を長期間に渡り執拗に仕掛ける標的型サイバー攻撃の特性が見てとれるという。六宮氏は、IT部門の担当者が細かな手口のすべてを理解する必要はないものの、攻撃には複数の段階つまり「流れ」があること、攻撃者の思考を理解するために、その流れを理解することが必要であるとした。

可視化される脅威は一部であっても、その裏には相関するいくつもの攻撃の事象が隠されている可能性があるのだ。攻撃の一端となる異常を効率よく見分け、必要な情報を保護するためには、対策製品だけではなく普段からの「運用」が重要になると、六宮氏は指摘する。一方で、企業の実情を見ると、標的型サイバー攻撃のための運用ができているケースは多くないと言う。六宮氏は、企業の実情とそのリスクについて、攻撃の傾向から次のように説明をはじめた。

攻撃には、正規の管理ツール「PsExec」を悪用する例や、「echo」「ftp」などのコマンドを悪用する例など、多くの手法が確認されている。六宮氏は「echo」「ftp」の事例を紹介し、「攻撃者は常に手法を工夫、アップデートしながら執拗な攻撃を行っている」とした。実際の攻撃事例などをみると、すでに完成された攻撃手法のように思える。しかし、次々に攻撃手法が確認されるということは、攻撃者側も最新の対策をかいくぐろうとしていることであり、目標を達成するために「攻撃者は常に一生懸命である」と六宮氏は言う。

「標的型サイバー攻撃を行う攻撃者は常に一生懸命。では、守る側はどうなのか?」と六宮氏は疑問を投げかける。同社がユーザに実施した「セキュリティ対策アセスメント」に関するヒアリングでは、対策する側のセキュリティに対する「理想論と実情」のギャップが目立つという。その具体例として、六宮氏は2つのケースを挙げた。

ひとつはメールの添付ファイルにおける対策だ。多くの場合、「業務に必要なファイルのみ受信するように対策している」というが、zip圧縮されたexeファイルをブロックしていることは少ない。最近の標的型サイバー攻撃では、セキュリティソフトに検知されないよう、パスワードのかかったzipファイルを利用するケースが多く確認されている。以前から確認されている手法ではあるが、アイコン偽装などの手法と組み合わせることで、今でも十分に効果がある手法であり、対応していないと感染のリスクが高くなってしまう。

もうひとつのケースは、アカウントの管理だ。ドメインアカウントに「複雑化」と「定期変更」を施していても、リモートサポートツールなど運用で使うアカウントは棚卸しされず、パスワードが放置されていることも少なくない。標的型サイバー攻撃では、リモートサポートツールに代表されるような「正規のツール」を悪用して不正な操作を実行しようとした手口も確認されていることから、注意が必要だという。

●「対策疲れ」に陥る理由とは

セキュリティ対策の現状は「理想論と実情」のギャップがあり、攻撃者はそのギャップを狙ってくる。標的型サイバー攻撃は、刻々と手法を変え、様々なアプローチを組み合わせて攻撃を仕掛けてくるため、全方位に対策しようとした場合、守る側の対策は多岐にわたり、労力・コストは莫大なものなる。こういったことから「対策疲れ」に陥っているケースが非常に多いと言う。

六宮氏は、いつ発生するかわからない、多種多様な攻撃に対する終わりのない戦いを続けていくためには、考え方を変える必要があるとした。標的型サイバー攻撃への対策は、相手を理解することと自分を知ることで、やるべきことが見えてくるという。つまり、対策の基本的な考え方として「組織が守るべきもの」を明らかにすることが非常に重要なのだ。それは機密情報であったり顧客情報であったり、インフラや評判(のれん)であったりする。「守るべきもの」を考え、整理していくことで、必要な対策が見えてくるわけだ。

セキュリティ対策全般に言える当然とも言える考え方であるが、しかし、インシデントの現場では、整理できていないケースが多いと六宮氏は指摘する。それが現場に伝わっていないと「対策疲れ」に陥ってしまう。守るべき対象を棚卸しし、必要なセキュリティを考えることこそが、「対策疲れ」を防ぎ、自社に最適な対策を施す第一歩になるという。

●対策にツールは有効だが、重要なのは導入後の運用

数多くの企業ユーザの声やインシデントに接してきた六宮氏はまた、運用現場の課題として次のことを指摘する。何らかしらの対策製品を導入したものの使いこなせない、という声が実に多くに聞かれるというのだ。標的型サイバー攻撃対策製品は、確かに有効だ。しかし、それを活かしてインシデントハンドリングまで行うには、運用が重要となる。

なぜなら、対策製品は可視化が可能だが、見えるのは「点」でしかない。可視化された複数の「点」から事象を推測し、相関関係を導き出すには「知見を有する人」が必要になる。また、標的型サイバー攻撃は時間をかけて継続的に行われるため、対策する側もまた継続性が求められる。継続性と言っても製品を導入しておけばいいというのではない。インシデントに気づくための運用が重要なのである。つまり、インシデントが発生した際の「異常時運用」だけではなく、標的型サイバー攻撃の僅かな「異変」に気づくためにも、「定常時運用」を見直すべきだと六宮氏は強調した。

標的型サイバー攻撃への対策には、対策製品という「ツール」が有効だが、大切なのはツールを導入した後の運用部分になる。六宮氏は、脅威動向の知識と豊富な対策経験を持つ専門家らによる、セキュリティライフサイクルの様々なフェーズを支援するサービス、トレンドマイクロ セキュリティ エキスパート サービスの概要を紹介しながら、ツールを導入した後の「知見」に基づく運用の重要性について言及した。

昨今の高度化したサイバー攻撃の対策には、脅威の兆候把握や、得られたデータやログの解析といった、単なるIT機器や情報システムの運用管理を超えた、インテリジェンスとも呼びうる知見が必要となりつつある。こうした背景のもと同氏が紹介するサービスの需要は今後、ますます高まっていくことが予想される。

六宮氏は、今一度「守るべきものを守る」ことをスタート地点としてセキュリティ対策を見直すことを提言し、セッションを締めくくった。
《吉澤 亨史( Kouji Yoshizawa )》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

GitLab において Issue の値処理の不備によりサーバ内の任意のファイルが読み取り可能となる脆弱性(Scan Tech Report) 画像

GitLab において Issue の値処理の不備によりサーバ内の任意のファイルが読み取り可能となる脆弱性(Scan Tech Report)
トレンドマイクロ InterScan Messaging Securityシリーズに複数の脆弱性 画像

トレンドマイクロ InterScan Messaging Securityシリーズに複数の脆弱性
NISC、ランサムウェアによるサイバー攻撃に注意喚起 画像

NISC、ランサムウェアによるサイバー攻撃に注意喚起
改ざんチェックのないCBCモードで暗号化されたバイナリ実行ファイルに任意コードを埋め込まれる脆弱性 画像

改ざんチェックのないCBCモードで暗号化されたバイナリ実行ファイルに任意コードを埋め込まれる脆弱性
国税庁をかたるフィッシングを確認、「払い戻しの通知」メールに注意を呼びかけ 画像

国税庁をかたるフィッシングを確認、「払い戻しの通知」メールに注意を呼びかけ
ウイルスバスター for Mac に複数の脆弱性、最新版へのアップグレードを呼びかけ 画像

ウイルスバスター for Mac に複数の脆弱性、最新版へのアップグレードを呼びかけ

インシデント・事故 記事一覧へ

システム開発会社にオーダーメイド型ランサムウェアによる標的型攻撃、アクセスログ削除し痕跡消す 画像

システム開発会社にオーダーメイド型ランサムウェアによる標的型攻撃、アクセスログ削除し痕跡消す
日本経済新聞のオンラインカンファレンスプラットフォームの名刺交換機能に不具合、同時同秒ダウンロードで情報流出事故発生 画像

日本経済新聞のオンラインカンファレンスプラットフォームの名刺交換機能に不具合、同時同秒ダウンロードで情報流出事故発生
イエラエセキュリティ CSIRT支援室 第3回「AWS EC2 のHDD解析(フォレンジック)」 画像

イエラエセキュリティ CSIRT支援室 第3回「AWS EC2 のHDD解析(フォレンジック)」
パナソニック「パートナーDIRECT」の情報流出、約4,000件が会員情報と一致 画像

パナソニック「パートナーDIRECT」の情報流出、約4,000件が会員情報と一致
10月の東証でのシステム障害、調査委員会からの報告書を公表 画像

10月の東証でのシステム障害、調査委員会からの報告書を公表
「羽生結弦2021カスタマイズカレンダー」専用販売サイトに不正アクセス、購入者情報が流出の可能性 画像

「羽生結弦2021カスタマイズカレンダー」専用販売サイトに不正アクセス、購入者情報が流出の可能性

調査・レポート・白書 記事一覧へ

ヘイトとの戦い、Facebookコミュニティレポート第7版公開 画像

ヘイトとの戦い、Facebookコミュニティレポート第7版公開
ガートナーが日本のセキュリティ管理者に向けた3つのポイント 画像

ガートナーが日本のセキュリティ管理者に向けた3つのポイント
脅威メール件名例:「業務報告」「金曜日の会議のチェックリスト」「在庫確認表」「請求書送付のお願い」「組織図更新」 画像

脅威メール件名例:「業務報告」「金曜日の会議のチェックリスト」「在庫確認表」「請求書送付のお願い」「組織図更新」
個人情報保護委員会の上半期の活動を取りまとめ、漏えい報告件数は481件 画像

個人情報保護委員会の上半期の活動を取りまとめ、漏えい報告件数は481件
「Disney+」「GitHub」「Imperva」「Tesla」「Zoom」他 9つのセキュリティ侵害分析レポート 画像

「Disney+」「GitHub」「Imperva」「Tesla」「Zoom」他 9つのセキュリティ侵害分析レポート
McAfee Labs 脅威レポート 2020年版、コロナ便乗脅威 605 %に増加 ほか 画像

McAfee Labs 脅威レポート 2020年版、コロナ便乗脅威 605 %に増加 ほか

研修・セミナー・カンファレンス 記事一覧へ

2021年「サイバーセキュリティ月間」行事募集開始、オンラインイベントも可 画像

2021年「サイバーセキュリティ月間」行事募集開始、オンラインイベントも可
6つのインシデント事例から考えるクラウドのセキュリティ対策、追加開催決定(SHIFT SECURITY) 画像

6つのインシデント事例から考えるクラウドのセキュリティ対策、追加開催決定(SHIFT SECURITY)
プログラミング教室で保護者と子ども向けセキュリティワークショップ開催 画像

プログラミング教室で保護者と子ども向けセキュリティワークショップ開催
五百円のセキュリティ対策惜しみ五千円の飲み会に参加 ~ 中小企業セキュリティ 本当の課題 画像

五百円のセキュリティ対策惜しみ五千円の飲み会に参加 ~ 中小企業セキュリティ 本当の課題
ゼロトラストをエンドポイントデバイスに拡大「CROWDSTRIKE VIRTUAL FORUM」11月27日開催 画像

ゼロトラストをエンドポイントデバイスに拡大「CROWDSTRIKE VIRTUAL FORUM」11月27日開催
日本ハッカー協会会員向けに EC-Council 講座を特別料金で、価格は会員のみに開示 画像

日本ハッカー協会会員向けに EC-Council 講座を特別料金で、価格は会員のみに開示

製品・サービス・業界動向 記事一覧へ

ドコモ法人端末に紛失時用簡易MDM機能、iOSは遠隔ロックと初期化非対応 画像

ドコモ法人端末に紛失時用簡易MDM機能、iOSは遠隔ロックと初期化非対応
クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」に手動巡回機能追加 画像

クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」に手動巡回機能追加
デザイナー・ユーザー双方の視点でUI / UX 診断サービス 画像

デザイナー・ユーザー双方の視点でUI / UX 診断サービス
G7策定「サイバー演習計画に関するG7の基礎的要素」公表 画像

G7策定「サイバー演習計画に関するG7の基礎的要素」公表
「IIJ Firewall Management Service」にPalo Alto Networks社製品追加、タイとインドネシアで展開 画像

「IIJ Firewall Management Service」にPalo Alto Networks社製品追加、タイとインドネシアで展開
ネット上から企業の資産を自動検出、セキュリティリスクを可視化する「CyCognito」提供 画像

ネット上から企業の資産を自動検出、セキュリティリスクを可視化する「CyCognito」提供

おしらせ 記事一覧へ

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×