サイバー攻撃者が狙う「アタックサーフェス」が増えた今、境界防御に加えて重視すべきこととは：ITmedia Security Week 2023 春

2023年3月に開催された「ITmedia Security Week 2023 春」の「拡大するアタックサーフェス、“社内攻撃”を想定せよ」ゾーンにおいて、現役ペネトレーションテスターの上野宣氏が「拡大するアタックサーフェス、攻撃者は如何に侵入するのか」と題して講演した。

[宮田健，＠IT]

　疑似的に企業や組織のシステムに侵入するペネトレーションテスターの目から見た組織は、攻撃の起点となる場所が増え続けている。守る側は攻撃者の視点を持ち、広がる攻撃界面（アタックサーフェス）を守らねばならない。上野氏がそのためのヒントを語った。

攻撃者は明確な意図と目的を持つ

トライコーダ 代表取締役の上野宣氏

　上野氏は冒頭「恐らく皆さんが想定している脅威より、現実の脅威の方がかなり複雑でレベルが高いだろう。それが昨今のサイバー攻撃の現実だ」と話す。ペネトレーションテスターとしてテストする立場から、攻撃の現状と組織におけるアタックサーフェスの考え方を上野氏は説く。

　攻撃者はいま、明確な意図と目的を持って組織を攻撃している。これまではマルウェアを添付したメールを無差別に、大量に送信して攻撃する、いわば通り魔のようなスタイルだったが、最近では「特定の情報が欲しい」「ランサムウェアの脅迫で金銭が欲しい」など、ターゲットに対しての明確な意図と目的を持った「暗殺者のようなスタイル」で攻撃することが増えた。

　目的のために攻撃は数カ月〜数年単位の長期にわたることもある。攻撃者の中には個人ではなく、組織的、国家的背景を持つ者もおり、資金も潤沢だ。対象は特定企業や組織だが、関連会社や取引先も「サプライチェーンの脆弱（ぜいじゃく）な部分」として狙われることが問題になっている。もちろん、働き方改革によるクラウド活用やテレワークも狙われる対象だ。

　このような場合、攻撃が長期にわたることもあり、攻撃者は事前にしっかりと調査する。「ソーシャルエンジニアリング」の技術を使い、標的型メールやフィッシングメール／サイトを人間の心理的な隙を突く形で用意する。

　「攻撃者は会社の情報や会社でやりとりしている情報を調べる。組織に詳しくなければ分からない情報を使って相手を信頼させることで、メールを開かせたり、サイトにID／パスワードを入力させたりする。信用によって心理的なハードルが下がり、ユーザーがだまされやすくなってしまう」（上野氏）

　もはや「ウイルスをインストールさせたら終わり」という時代ではないのだ。

攻撃者は明確な意図と目的を持っている（上野氏の講演資料から引用）

　攻撃方法も変化している。高度な機能を持つマルウェアを1つ忍び込ませるような方法だと、従来のマルウェア検知の仕組みで簡単に存在が明らかになってしまう。そうならぬように攻撃者は相手のシステムに合わせて攻撃方法を変化させる。

　社内に侵入した後は、奪取したユーザー権限やOS標準のコマンド、端末にインストール済みのツールを使い、ユーザーの環境に存在するものを活用して横展開し、攻撃する。外部との通信もDNSやHTTPSといった、当たり前に使われるプロトコルに忍ばせる。そのため、EDR（Endpoint Detection and Response）やログ解析でも見つけにくいのが現状だ。

　その上、これまではWebサーバや社内PC、社内システム、メールなどだったが、テレワークやクラウド利用が進んだ現在では拡大の一途をたどっている。

　例えばモバイルデバイス、エンドポイントのデバイスが社外や自宅に出ていることや、産業用制御システム（ICS）、サプライチェーンの一部となる関連会社や取引先のシステムや従業員もアタックサーフェスとして狙われる。これまでの境界防御セキュリティで守られていたものも、テレワークで利用するVPNやリモートデスクトップの仕組みが、その境界を突破されることで、新たなアタックサーフェスになっていることにも注目したい。

ペネトレーションテストとは？