編集部からのお知らせ
解説:広がるエッジAIの動向
Check! ディープラーニングを振り返る
ネットワークセキュリティの要諦

ゼロデイも標的型攻撃も防ぐ--多層防御のすすめ - (page 2)

三輪 賢一(パロアルトネットワークス)

2014-12-12 07:00

外部からの攻撃のパターンとゼロトラストモデル

 外部から個人情報を狙った標的型攻撃がどのように行われるか、一般的なパターンを示したのが下図になります。


標的型攻撃の一般的なパターン

 まず、さまざまな手法で対象ユーザーが誘い込まれます。例えば、ある特定の組織が頻繁にアクセスするであろうウェブサイトを改ざんし、マルウェアに感染させる「水飲み場型攻撃」では、SNSや改ざんしたウェブサイトに標的となるユーザーを誘い込んだり、メールのリンクや添付ファイルなどを直接送り付けられることがあります(1)。

 次にエクスプロイトと呼ばれるぜい弱性を突くプログラムコードが実行されます。Microsoft Office、PDF、Javaのようなファイルを使ってぜい弱性を攻撃し端末に侵入します(2)。

 侵入後、マルウェア本体である実行ファイルをダウンロードし、端末にインストールします(3、4)。

 そしてバックチャネルと呼ばれる通信経路を確立し、C&C (Command and Control) 通信により、攻撃者から攻撃命令やアップグレード情報を受け取ったり、盗んだ情報を送出したりします(5)。

 さらに単一の端末だけでなく、内部ネットワーク上の複数の端末に拡散してボットネットを作り、攻撃の最終目標となるデータに到達してそのデータを外部へ送信します(6)。

 悪意の内部ユーザーの項でも触れた、内部と外部の境界さえ守ればいいという従来型のセキュリティセグメンテーションでは、一旦マルウェアが内部に侵入すると簡単に拡散が進み、感染端末間でP2Pネットワークが構築される可能性があります。すると、マルウェアが長期間潜伏し、独自プロトコル(Unknown通信と呼ぶ)または通常よく使われる通信プロトコルによりC&C通信を隠蔽したりダイナミックDNSを使用したりして、ネットワーク管理者に気づかれないように欲しい情報を収集して外部へ送信されてしまいます。

 ゼロトラストモデルによるマイクロセグメンテーションが導入されていれば、組織内部ネットワークにおけるマルウェアの拡散防止やUnknown通信のブロック、ボットネットで使われるP2PやダイナミックDNSなどの検知ブロックが可能となります。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]