標的型攻撃、って聞いたことありますか?内部の関係者を装ったメールをクリックしてついメールを開いてしまい、知らぬうちにウイルスに感染し、システムの内部から機密情報を外部のサーバへどんどん勝手に送られてしまい、情報漏洩してしまうというものです。
現在のサイバー攻撃は、高度化、巧妙化していて、「防御」だけでは防具ことはできません。攻撃を受け、かつ「侵入されることを前提」として、いかに被害を最小限に抑えるかというセキュリティ対策を検討することが求められます。
攻撃を受け、かつ「侵入されることを前提」とする。つまり「感染することを前提」に対策を打つ必要があります。。。が、お客様に、「感染することを前提」なんて言っても、『感染しないようにしてくれ』『攻撃自体を受けないようにしてくれ』と言われかねません。
ここでは、私がお客様に説明するときに行っている、「なぜ「侵入されることを前提」にして対策を検討していく必要があるのか」っていうそのコンセプトそのものを理解いただくときの説明の仕方をまとめました。
お客様にセキュリティ対策の必要性を説く際にも、この説明をお客様に理解いただくことが重要であり、まず自分たちがきちんと理解できるようになりましょう!
1.キルチェーンはもともと軍事用語
キルチェーンとは、もともと軍事用語で、攻撃の構造を以下の様にモデル化したものとなります。
- 標的の特定(Target identification)
- 標的への武力の指向(Force dispatch to target)
- 標的を攻撃するかどうかの決心と命令(Decision and order to attack the target)
- 標的の破壊(Destruction of the target)
2. サイバーキルチェーンとは
サイバーキルチェーンとは、アメリカの大手軍需企業のロッキード・マーチン社が提唱したモデル化の考え方です。標的型攻撃における攻撃者の一連の行動を、軍事行動になぞらえてモデル化しています
| フェーズ | 説明 |
|---|---|
| 偵察(Reconnaissance) | 攻撃者がターゲットの組織に関する情報を基に、侵入の糸口を探るフェーズ |
| 武器化(Weaponization) | 偵察行為で得られた情報を基に、攻撃者がターゲットへ届ける攻撃要素(マルウェア、実行ファイルや不正なドキュメントなど、攻撃コードなど)を生成 |
| 配送(Delivery) | 攻撃者が作成した攻撃要素(武器)を、何らかの手段を用い(メールへの添付、不正なサイトへの誘導など)ターゲットへ届けるフェーズ |
| 攻撃(Exploitation) | ターゲットへ届けられた攻撃要素(武器)トリガーされるフェーズです。メールに添付されたマクロファイルを実行してしまう、といったアクションにより、次のフェーズへ移る |
| インストール(Installation) | 前段のアクションにより、インストールされたマルウェアにより、RAT(Remote Access Tool)と呼ばれる遠隔操作用のマルウェアが展開され、さらに様々なマルウェアがインストールされたりする |
| 遠隔操作(Command and Control) | アタッカーの用意するC&Cサーバを通じてRATへ遠隔制御を行い、ネットワーク内の偵察や勢力の拡大、権限の昇格など、目的の遂行に向けた活動を繰り返す |
| 目的実行(Actions on Objective) | 潜伏活動の結果、ターゲットに対する最終的な目的を達成します。目的の達成後、自身の活動痕跡に対するハウスキーピングが図られる場合もある |
標的型攻撃の具体的な手順
もう少し標的型攻撃の手順を具体的にして、サイバーキルチェーンを解説します。
| 大フェーズ | タイトル | 説明 |
|---|---|---|
| 初期潜入 | 偵察(情報収集) | ポートスキャンによりシステム上の脆弱性情報を収集するほか、インターネット上に公開された組織図や社員情報、メールアドレス、SNSでの会話を基に、攻撃者が標的の情報を収集。 |
| 標的型攻撃メールの送付 | 偵察行為で得られた情報を基に、ターゲットとする組織や個人へ、マルウェア、実行ファイルや不正なドキュメント、攻撃コードなどの添付した標的型攻撃メールを送信するなどして、攻撃者が侵入を開始。 | |
| 構築 | 1人目感染バックドア構築 | 攻撃者が標的を感染させ、感染者のPCの中にトロイの木馬を仕込む等、バックドアを構築する。 |
| 潜伏・端末情報、構成情報の入手 | 攻撃者が、端末上に仕掛けたトロイの木馬やマルウェアにて端末情報、構成情報の入手し、標的に長期滞在する手段を確立する。 | |
| 内部侵入・調査 | 管理者権限窃取 | 端末上に仕掛けたトロイの木馬やマルウェアにて端末の管理者権限を窃取するほか、C&C通信による遠隔操作の確立したうえで、RAT(Remote Access Tool)と呼ばれる遠隔操作用のマルウェアを展開し、更に他のマルウェアをダウンロードなどを行う。 |
| 他端末侵入 | 組織内部のネットワーク内で、同一セグメントの他の端末などへ、マルウェアの感染を拡大させ、ネットワーク内の偵察や勢力の拡大、権限の昇格など、目的の遂行に向けた活動を繰り返す | |
| サーバ侵入 | 組織内部のネットワーク内で、端末だけでなく、ファイルサーバ等機密情報の存在するサーバへ侵入する。 | |
| 目的遂行 | 外部サーバへ情報漏えい | 機密情報の外部への送信やデータ破壊など、攻撃者が最終目的を達成する。 |
標的型攻撃のイメージ
先ほどの内容をイメージ化しました。
①攻撃者は、ポートスキャンによりシステム上の脆弱性情報を収集したり、いろんな情報収集を行います。
②標的とする組織、職員に対して、標的型攻撃メールを送信します。
③1人目がマルウェアに感染します。
④マルウェアにより、端末情報、構成情報が入手されます。
⑤管理者権限を奪取されたり、C&Cサーバ(command & controlサーバ)からの遠隔操作が行われるようになります。
⑥Windowsのファイル共有プロトコルなどを利用して、マルウェアがNW上の他端末へマルウェアをコピーし侵入し、複数の端末が感染します。
⑦Windowsのファイル共有プロトコルなどを利用して、マルウェアがNW上のサーバへ侵入します。
⑧最終的には、サーバが乗っ取られ、サーバ上の機密情報が攻撃者のC&Cサーバへ転送され、情報漏洩等がおきます。
標的型攻撃時に気付かないことが問題
標的型攻撃を受けると、大きくは、標的型攻撃等により端末がマルウェアに感染し、イントラネットを経由してマルウェア感染が蔓延し、内部通信を利用して機密情報にアクセスし、機密情報の外部漏洩が発生するということになりますが、これらは瞬時に行われるのではなく数か月にわたって行われ続けることがあります。
ここで、一番問題なのは、標的型攻撃メールで1台目の端末感染から最終的な情報漏洩が行われるまでの間ずっと、当該組織がこの事象に気付かないということがあるということです。
3. 「侵入されることを前提」としたセキュリティ対策-「攻撃の連鎖を断ち切る」
現在のサイバー攻撃は、高度化、巧妙化していて、「防御」だけでは防具ことはできません。攻撃を受け、かつ「侵入されることを前提」として、いかに被害を最小限に抑えるかというセキュリティ対策を検討することが求められます。
特に、標的型攻撃の全ての連鎖に対策をするのは現実的には難しく、標的型攻撃のいずれかの段階で「攻撃の連鎖を断ち切る」ことができれば、攻撃が次の段階に進むことを阻止できる可能性が高まります。 「侵入されることを前提とした対策」とはどのようなものがあるかというと、例えば、侵入されることを前提に、組織内ネットワークから外部ネットワークの疑わしい通信をブロックする出口対策ソリューションを導入することで、攻撃の連鎖の最後の鎖を断ち切ることが実現可能となります。また、あえて攻撃を受ける「ハニーポット」と呼ばれる疑似システムを用意し、そこに攻撃を集中させ、重要なシステムを攻撃対象から外すことで、攻撃の連鎖を止めるという対策も考えられます。
個別の業務システムや、ネットワークだけでそれぞれセキュリティ対策を実施するのではなく、各システムを横断で見て、組織のシステム全体に対する「攻撃の連鎖を断ち切る」セキュリティ対策の検討が必要となります。
0 件のコメント :
コメントを投稿