日本CISO協会
PCI-DSS 最新資料一括請求
You are at:»»標的型攻撃という言葉に惑わされない対策とは
コラム

標的型攻撃という言葉に惑わされない対策とは

By コメントはまだありません
標的型攻撃という言葉に惑わされない対策とは

標的型攻撃がもたらすリスクから対策を考えてみる

さて、大手旅行会社が標的型攻撃を受けて、数百万人の顧客情報の漏えいの「可能性」ということがあり、IT系のメディアのみならず一般のメディアでもいろいろ報道がありました。大手企業ですし、認知度も高い、ということでそのような状況もしょうがないでしょう。

また、所管の官公庁も「標的型攻撃対応のガイドラインを作って出す!」と言ってますが、今までいろんな所で標的型攻撃に限らずガイドラインを作っており、そういったものの立場とか中身とかちゃんとみているのでしょうか?あと、標的型攻撃ではない手法で漏えいしたら、また、それ用のガイドラインを作るのでしょうか?など、いろいろ感想はありますが、このコラムが公開されるころには、事故に関する記事はいろいろ出ていると思います。

事故の経緯とか、誰の責任だとか、こういう対策をしておけば事故は防げたのに、等々。これらの記事、あくまで、それは大手旅行会社における事故であって、ほとんどの人にとっては「あなたの組織で起こった事故ではありません」。たしかに、同じような手口は使われますし、もしかしたら、システムの構成なんかも似ているかもしれません。

しかし、乱暴な言い方ですが、

「よそはよそ、うちはうち」

です。大手旅行会社は参考にするにしても、自分のところは自分で考えましょう。

ということで、「うちはうち」ですが、「じゃあ、どうすればいいの?」という話ですね。私はあくまで「コンサル」の立場から、特定の製品・サービスの話ではなく「標的型攻撃」に対しての考え方を今回のコラムで書いてみようかと思います。

標的型攻撃の手口から考える

さて、大手旅行会社での標的型攻撃、手口としては

  1. 電子メールで不正ソフトが含まれた添付ファイルを送付
  2. 端末利用者が添付ファイルを開いてしまい、不正ソフトがインストール
  3. 不正ソフトがインストールされた端末を足場に攻撃者は活動
  4. サーバ上の顧客個人情報を狙う

でした。しかし、標的型攻撃の手口としては、添付ファイル付きの電子メール以外にも、メール本文中のリンクを踏ませる、Webサイトに細工を仕掛ける、等もありますし、直接顧客情報を扱っているWebサイトを攻撃したり、関連するサイトを攻撃し、そこを足場に目標のサイトを攻撃したり、といろいろあるはずですが、今回は下記の3つの条件を満たす攻撃に絞ってみます。

  1. 狙いは目標組織内の機密情報・顧客個人情報の取得
  2. 外部公開サイト等への直接攻撃ではない。
  3. 社内LAN上を経由した攻撃

として考え、外部サイト等の直接的な不正アクセス(通常この形の攻撃はそのサイトを標的としていますが標的型攻撃という表現はあまり使われません。)を除いて考えます。

さて、ここで標的型攻撃への対応を考えるために、重要な点は3番目の社内LANを経由する、という点になります。標的型攻撃の具体的な手法としては、大手旅行会社でも使われた、社内端末に不正な遠隔操作ソフトをインストールして足場にする、また、複合機等の社内LANに接続されている端末機以外のノードの脆弱性を攻撃して乗っ取ってしまう方法などがあります。このように攻撃者が社内LAN上に足場を確保し、その上で機密情報・顧客個人情報を狙うわけです。

社内LAN上に足場を確保するということはどういうことか?分かりやすく言うと、攻撃者が内部の利用者になりすましているのと同じ状況であるということです。したがって、内部の利用者が出来ることは攻撃者にも可能であるという状況であり、これを前提に対策を考える必要があります。

この状況をちょっと考えてみましょう。社内LAN上に足場がある、内部利用者と攻撃者が同じことが出来る、この状況で攻撃者への対策を考えるということは、内部利用者への対策を考えるのと同じ…。

分かった方もいるかもしれませんが、標的型攻撃は、社内LAN上の足場を確保して以降は内部利用者の不正による攻撃と同じとみることが可能です。つまり、標的型攻撃への対策は内部利用者の不正対策を考えれば良いということなのであり、内部不正対策が強固に行われていれば、攻撃者が社内LAN上に足場を確保できたとしても、攻撃者が狙う情報へのアクセスもかなり難しくなるのです。

ということで、組織の中で内部不正対策は行われているのか?という点ですが、まだまだ未整備という組織が多いです。何故かというと、「社員は不正のリスクが低い」という前提のもと、内部不正よりも外部からの攻撃や委託先の対策を重要視しているところが多いのが現状だと思われるので、この部分は今後どうするかを考えていく必要が大きいでしょう。

攻撃者に足場を作られて以降の対策についてほんの少し考えてみましたが、当然のことですがその前の「足場を作られない」という部分も非常に重要です。ただ、最近の状況を振り返ってみると、無差別攻撃的なやり方での足場作りは防げても、ピンポイントで組織を狙った足場作りは防げない可能性は低くはありません。したがって、足場を作られてからの対策も世の中の表面的な記事(これも?)に惑わされずに考えていただければと思います。

NANAROQ株式会社セキュリティ・エグゼクティブ・ディレクター
中島浩光

About Author

Related Posts

Comments are closed.

日本CISO協会
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.