40〜50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載。今回は、RPGに必ずといっていいほど登場する「ダンジョン」を例に、「初めて侵入したシステム内での攻撃者の動き方」について説明したい。
40〜50代の経営者や管理職に向けて、ロールプレイングゲーム(RPG)を題材にセキュリティについて理解を深めてもらう連載「RPGに学ぶセキュリティ」。第1章は「レベルアップ」編、第2章は「自分の城にあった伝説の武器で倒された魔王編」として、セキュリティ人材育成の難しさやリスク管理の重要性についてお話しした。
今回は、RPGに必ずといっていいほど登場する「ダンジョン」を例に、「初めて侵入したシステム内での攻撃者の動き方」について説明したい。セキュリティ対策は目に見えにくいことから、システム内では攻撃者の侵入状況の把握は難しく、対策も講じにくい。しかし、攻撃者にとってもその状況は同じなのかもしれない。侵入した攻撃者は、侵入前に「そのシステムの内部がどうなっているか」を明確に把握しているわけではなく、暗中模索で状況を把握し始めるのだ。その際に攻撃者が使用するコマンドなどから、RPGにおけるダンジョンを例に攻撃者がどのような行動をするのかを解説したい。
RPGは、街や城など敵のモンスターが出ない領域と、敵と戦闘を行う「バトルフィールド」などと呼ばれる領域の大きく2つで構成されている。前者は主人公たちが装備をそろえたり、宿屋に泊まったりするなどのRPGのストーリーを進める場所であり、後者は主に主人公たちが経験値を上げたりする場所だ。
そのバトルフィールドの中には、必ずと言っていいほどダンジョンと呼ばれる特殊なフィールドがある。特殊というと少々語弊があるかもしれない。場合によっては、ほとんど通常のバトルフィールドと変わらないことも少なくないからだ。また、ダンジョンを攻略することがメインの「ダンジョン〇〇」や「〇〇のダンジョン」というようなRPG作品も定番化しており、そのようなRPGでは、ゲームの世界全体がダンジョンになっている。
しかし、1980年代の子ども時代の筆者がプレイしたRPG(その頃からダンジョン〇〇というようなシリーズはあったが)少々違うものが多かった。ダンジョンは草原のような一般のバトルフィールドと違い、単純に画面が暗く、主人公のごく周辺以外はほとんどが見えなかった。理由は、8ビットコンピュータの時代だったので処理能力の問題だと思うが、とにかくダンジョンは単純に黒く暗いものが多かった。
それらのダンジョンを突破するためには、松明(たいまつ)やダンジョンを明るくする魔法が必要だった。ただし、このダンジョンが暗い演出は、かなり古めのRPGの手法といっていいだろう。今回は、このような暗くて見えにくいRPGのダンジョンをサイバー攻撃やセキュリティ対策に例えてみたい。
RPGの主人公は好きこのんで暗くて陰気なダンジョンに入ったわけではなく、目的があって侵入する。そこに存在する強いモンスターを倒してアイテムを入手したり、捕まっている王女様を助けたりするなどが目的だ。つまり、主人公はダンジョンに侵入する前にある程度の事前調査を行って、明確な目的を持って侵入している。その目的を達成させないようにしているのがモンスター側だ。主人公が、その妨害をかいくぐって目的を達成することでRPGのストーリーは進んでいく。
ダンジョンは、ダンジョン自体が本来誰の持ち物なのかは置いておいても、一般のバトルフィールドよりモンスターは高頻度に現れることが多いため、少なくともモンスター側に実効支配されているといっていいだろう。つまり、ダンジョンを支配しているモンスター側から見ると主人公は不正侵入者といえる。ここでは、サイバー攻撃における攻撃者が主人公であり、モンスターは防御側ということになる。
また、RPGもサイバー攻撃もどちらも、いつでも好きなときに離脱できるのが大きな特徴だ。RPGは、いつでもダンジョンから離脱でき、ゲームの進行状態をセーブ(保存)した時点に戻ることができるので、非常に低リスクで進行できる。一方、物理的なダンジョンの侵入の場合は、容易に離脱することが難しく、自分の身に大きな危険が降り掛かる可能性が高い。RPG同様、サイバー空間にも、そのようなリスクがほとんどないので、攻撃者も気軽に侵入してくる。これが、サイバー攻撃がなかなか止まない大きな理由といっていいだろう。サイバー攻撃は、このような理由で低リスクかつ(場合によっては)大きなリターンが見込める非常にもうかりやすいビジネスになっているのだ。
サイバー攻撃では攻撃者に当たるのは主人公だ。その主人公がダンジョンに侵入し、どのような動きをするかを追い掛けてみたい。まず攻撃者は、そのダンジョンがどうなっているのかを知らなければならないので、「初期調査フェーズ」に入る。次に、より深くダンジョンを知るために「探索フェーズ」に移る。そして、ダンジョンの全体像など、必要な情報が把握できれば最終目的を達成し、目当ての武器やアイテム、王女様などを入手することができるのだ。これがダンジョンにおける主人公の基本的な行動パターンである。
では、ダンジョンに足を踏み入れた(RPGでは主人公に当たる)攻撃者は、内部ネットワークやサーバ、クライアントに侵入した際にどのような動きをするのだろう。その動きは、防御側が何の準備もしていなければ把握できない。しかし、ネットワークのプロキシログやサーバのシステムログなどの証跡を解析することができれば、攻撃者が侵入後にどのような動きをしていったかが分かる可能性は高い。
この図は、JPCERT コーディネーションセンターがまとめた、「攻撃者が悪用するWindowsコマンド」のランキングである。これを見ると、攻撃者の動きは「侵入初期」「探索フェーズ」「感染拡大フェーズ」によって異なることが分かる。そして、実はダンジョンに侵入したRPGの主人公の動きとあまり変わらない。暗闇の中を探索する行動パターンはRPGにおけるダンジョンでもサーバに侵入したサイバー攻撃でも本質的に同じということだ。
具体策としてその3つのフェーズのコマンドがRPGのダンジョンにおける何に当たるかを示してみた。
最も多く使用されているコマンドは「tasklist」だ。つまり、侵入したPCやサーバでどのようなタスク(プロセスまたはプログラム)が実行されているかを把握する。もし、そのPCやサーバにセキュリティ対策ソフトが動作している場合、それをオフにしたいということだろう。ダンジョンに侵入した主人公も何らかのトラップを見つけて解除しなければ、目的までたどり着けず、同じ動きをするだろう。
2位以下のコマンドも、OSのバージョンやIPアドレスの確認は自分がどこにいるかを知るためのものであり、これらはダンジョンを明るく照らす松明や魔法のようなものだ。侵入初期でダンジョンがどうなっているかが分からない状況での動きといえるだろう。
侵入者の次の行動は探索フェーズだ。トラップを解除しダンジョンの状況をある程度把握した後に、本格的に目的達成のための情報収集に移るのだ。そのため、「dir」「net view」「ping」といったコマンドで、何が見えるか、またどこまで行けるかを盛んに確認するのだ。RPGの主人公がダンジョンにある程度慣れてから、開けられる宝箱は全て開け、行けるところは全て行ってみるなどの行動をとるのと酷似している。
サイバー攻撃の攻撃者もRPGの主人公も最終目標に到達する。攻撃者にとっては、そのサーバやPCにある個人情報や機密情報を窃取することはもちろん、その端末を操ってリソースを不正に使用し続けることやその後に更新される最新情報を常に摂取できる“駄々漏れ”の状況を作ることが最終目的になる。そして、巧妙にその状況を隠蔽(いんぺい)し長期間にわたって攻撃者に都合の良い状況を作る。その後、攻撃者が出入りできる「バックドア」と呼ばれるものを設置し、そのサーバやPCなどを利用し続けるのだ。
この点は、必要なアイテムを獲得できれば終了という、ダンジョンに侵入した主人公とは異なり、管理者が不正侵入などに気付くか、システムリプレースなどがあるまで、長期間にわたって利用し続けられる。
このような状況に陥らないために、不正侵入を検知するセキュリティ対策製品を導入し、ログの解析も定期的に実施するなどのセキュリティ対策の実施と運用が重要になる。その中でも、特にセキュリティ対策を正しく動作させるための運用が肝になる。不正侵入などの検知とインシデント対応を効率的に実行するためには、「緊急時にどのような動きができるのか」をあらかじめ想定し、的確な運用設計に落とし込み、それに基づいたセキュリティ運用が適正に行われていなければならない。
インシデント対応は高度かつ巧妙な攻撃が増えている昨今、なかなか難しいが、いざ発生したときにログが適正に取れていないことも散見される。「攻撃者がどのように侵入し、何をしていったか」も分からない状況では、当然のことながら、「何が漏れたか」も分からなくなってしまう。このような状況に陥らないためには、セキュリティに関する的確な運用設計と適正な運用が重要だ。
つまり、防御側にはRPGのダンジョンのトラップのような仕組みで、不正侵入してくる攻撃者の目的を達成させる前に諦めさせることが重要だ。RPGのようなゲームで制作側がこれをやってしまうと「○○○ンチスの謎」や「某国民的コメディアンの挑戦状」のようになり、「無理ゲー」などと呼ばれて一部マニアに楽しまれてしまう。しかし、サイバー攻撃の攻撃者は楽しむ必要はなく、実現できれば理想的なセキュリティ対策となるはずだ。
Copyright © ITmedia, Inc. All Rights Reserved.