編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

APT攻撃が社内に残す「攻撃基地」を除去せよ--米マカフィー担当者

齋藤公二 (インサイト)

2012-04-27 09:00

APT攻撃は出口対策だけでは不十分

 APT攻撃(Advanced Persistent Threat)への対策の1つとして、出口対策の重要性が叫ばれている。侵入を防ぐための入り口対策だけではなく、侵入後に社外へのデータの不正送信を防ぐことで、被害を最小限に抑えようとするものだ。

 だが、米McAfeeでプロダクトマーケティング兼ネットワークセキュリティ担当バイスプレジデントを務めるグレッグ・ブラウン氏は「データの不正送信を防ぐだけでは不十分だ」と指摘する。

グレッグ・ブラウン氏
グレッグ・ブラウン氏

「不正送信に気づいてそれに対処したとしても、社内ネットワークには情報窃取のための基地とも言うべきコントロールベースが残されているケースがある。それを見逃すと、再び不正送信が始まってしまう」(ブラウン氏)

 実際、昨年マカフィーが210人のCIOを対象に調査したところ、全体の80%が「過去APT攻撃と思われる攻撃を受けたことがある」と回答したものの、全体の70%は「APT攻撃がどういったものであり、どういう仕組みで情報が窃取されたか正確には分からない」と回答したという。攻撃を受けていたとしても、その攻撃にほとんど気づかないのだ。

 ブラウン氏によると、APT攻撃による侵入から情報窃取までの流れは、大きく「侵入」「コントロールベース構築」「不正送信」という3つの段階に分けられる。

 第1段階では、未知の脆弱性を悪用するフィッシングメールなどを、狙いを定めた社員に送りつけて、ネットワークの弱点を見つけ出して侵入する。SNSで公開される情報やGmailのアカウントなど、ソーシャルエンジニアリングの手法が使われることも珍しくない。

 第2段階は、侵入後、社内ネットワーク内にコントロールベースを設置するフェーズだ。社員が用いるPCやサーバなどを調査し、社外にデータを送信できそうな機器を特定する。そのうえで、それらの機器を乗っ取り、マルウェアを社内に拡散したり、外部との通信に用いるバックドアを仕掛けたりする。これらはひっそりと行われるため、ユーザーや管理者は、コントロールベースが構築されたことや、そこから感染が拡大していくことに気づくことはほとんどできないという。

 興味深いのは、この段階においても、悪用できるPCやサーバをソーシャルエンジニアリングの手法を用いて見つけ出すことだ。例えば、もともとデータ通信量が多いパワーユーザーなら、社外へのデータ通信が一時的に増えたとしても、管理者は気づきにくくなる。また、そもそもPCやサーバの操作に高い権限が設定されているユーザーなら、社外への大容量ファイルの送信など、通常ユーザーに許されていない行動をとったとしても、不審に思われない。

 そして、第3段階が、実際にデータを社外に不正送信するフェーズだ。送信の際には、httpやhttpsポートを利用するWebブラウザやWebメール、ファイル転送サービスなどを悪用し、通常のWebサイトへのアクセスであるかのように見せかける。P2Pソフトなど匿名性が高いアプリケーションを悪用することも少なくない。

「当然、これら3つの段階すべてについて対策を施すことが必要になる。なかでも、重要なのは、第3段階に目を奪われてしまうのではなく、その前段階である第2段階まで戻って、第2段階から第3段階へのつながりを断つということだ」(ブラウン氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]