検索
連載

サイバー攻撃者が狙う「アタックサーフェス」が増えた今、境界防御に加えて重視すべきこととはITmedia Security Week 2023 春

2023年3月に開催された「ITmedia Security Week 2023 春」の「拡大するアタックサーフェス、“社内攻撃”を想定せよ」ゾーンにおいて、現役ペネトレーションテスターの上野宣氏が「拡大するアタックサーフェス、攻撃者は如何に侵入するのか」と題して講演した。

Share
Tweet
LINE
Hatena

 疑似的に企業や組織のシステムに侵入するペネトレーションテスターの目から見た組織は、攻撃の起点となる場所が増え続けている。守る側は攻撃者の視点を持ち、広がる攻撃界面(アタックサーフェス)を守らねばならない。上野氏がそのためのヒントを語った。

攻撃者は明確な意図と目的を持つ


トライコーダ 代表取締役の上野宣氏

 上野氏は冒頭「恐らく皆さんが想定している脅威より、現実の脅威の方がかなり複雑でレベルが高いだろう。それが昨今のサイバー攻撃の現実だ」と話す。ペネトレーションテスターとしてテストする立場から、攻撃の現状と組織におけるアタックサーフェスの考え方を上野氏は説く。

 攻撃者はいま、明確な意図と目的を持って組織を攻撃している。これまではマルウェアを添付したメールを無差別に、大量に送信して攻撃する、いわば通り魔のようなスタイルだったが、最近では「特定の情報が欲しい」「ランサムウェアの脅迫で金銭が欲しい」など、ターゲットに対しての明確な意図と目的を持った「暗殺者のようなスタイル」で攻撃することが増えた。

 目的のために攻撃は数カ月〜数年単位の長期にわたることもある。攻撃者の中には個人ではなく、組織的、国家的背景を持つ者もおり、資金も潤沢だ。対象は特定企業や組織だが、関連会社や取引先も「サプライチェーンの脆弱(ぜいじゃく)な部分」として狙われることが問題になっている。もちろん、働き方改革によるクラウド活用やテレワークも狙われる対象だ。

 このような場合、攻撃が長期にわたることもあり、攻撃者は事前にしっかりと調査する。「ソーシャルエンジニアリング」の技術を使い、標的型メールやフィッシングメール/サイトを人間の心理的な隙を突く形で用意する。

 「攻撃者は会社の情報や会社でやりとりしている情報を調べる。組織に詳しくなければ分からない情報を使って相手を信頼させることで、メールを開かせたり、サイトにID/パスワードを入力させたりする。信用によって心理的なハードルが下がり、ユーザーがだまされやすくなってしまう」(上野氏)

 もはや「ウイルスをインストールさせたら終わり」という時代ではないのだ。


攻撃者は明確な意図と目的を持っている(上野氏の講演資料から引用)

 攻撃方法も変化している。高度な機能を持つマルウェアを1つ忍び込ませるような方法だと、従来のマルウェア検知の仕組みで簡単に存在が明らかになってしまう。そうならぬように攻撃者は相手のシステムに合わせて攻撃方法を変化させる。

 社内に侵入した後は、奪取したユーザー権限やOS標準のコマンド、端末にインストール済みのツールを使い、ユーザーの環境に存在するものを活用して横展開し、攻撃する。外部との通信もDNSやHTTPSといった、当たり前に使われるプロトコルに忍ばせる。そのため、EDR(Endpoint Detection and Response)やログ解析でも見つけにくいのが現状だ。

 その上、これまではWebサーバや社内PC、社内システム、メールなどだったが、テレワークやクラウド利用が進んだ現在では拡大の一途をたどっている。

 例えばモバイルデバイス、エンドポイントのデバイスが社外や自宅に出ていることや、産業用制御システム(ICS)、サプライチェーンの一部となる関連会社や取引先のシステムや従業員もアタックサーフェスとして狙われる。これまでの境界防御セキュリティで守られていたものも、テレワークで利用するVPNやリモートデスクトップの仕組みが、その境界を突破されることで、新たなアタックサーフェスになっていることにも注目したい。

ペネトレーションテストとは?

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る