サーバ管理者が直面するセキュリティの「困った!」 ~ケース別に見る“標的型攻撃”の対処方法~

ターゲットを絞って攻撃を行う「標的型攻撃」の危険度が増している。これは従来のサイバー攻撃のように不特定多数に対する無差別な攻撃ではなく、特定の企業に的を絞って、確実に価値のある情報を盗み出すなど明確な目的を持って行われる攻撃手法だ。「うちはセキュリティ対策が万全だから、標的型攻撃の被害なんて受けるわけがない」と考えている企業も、安心することなかれ。あなたが考えているセキュリティ対策はもう通用しないかもしれない。攻撃者たちは、「高い攻撃のテクニック」だけではなく、「人間の心理」を突いた、多用で巧妙な手法で攻撃をしてくる。ここでは、サーバ管理者が直面しがちな標的型攻撃対策の課題を紹介する。あなたは、こんな攻撃にだまされない自信があるだろうか?

あなたは、こんな「心理的攻撃」に、だまされない自信がありますか!?

知っている取引先からの添付ファイル。あなたは疑えますか?

 「標的型攻撃」で攻撃者たちが使う、“ソーシャルエンジニアリング”という手法では、あなたの個人情報を簡単に調べることも可能だ。

 標的型攻撃の攻撃者たちは、目的の情報が格納されている内部サーバに侵入するため、まずは、その企業の社員にメールで不正プログラムを送りつけることから始まる。

 例えば、まるで取引先や関係者から送られたかのような偽装メールに、一見しただけではわからないドキュメントファイルに偽装した不正プログラムが添付されて送られる。そこに親しい取引先の担当者から「企画書を読んでおいてください」と一文あれば、疑いもせずに不正プログラムが仕込まれた添付ファイルを開いてしまうだろう。多少、メール文章が変だったりしても特に気には留めないのではないだろうか。不正プログラムをクリックした次の瞬間には、メールを受け取った社員の端末は感染。標的型攻撃の最初のステップが完了したことになる。不正プログラムをクリックしても特に何も起きないため、感染したことにすら気づかない。

自分の名前を「検索」してみたことがありますか?

 Googleでご自分の名前を検索してみたことがあるだろうか?検索結果に自分の名前が出てくることがある。最近はfacebookであることが多いように思う。facebookのページの閲覧設定をしていない場合、誰でも、生年月日や勤務先、居住場所、友達関係など、個人情報を取得できる。世界中に自分の個人情報を公開していることになる。攻撃者たちは、ソーシャルメディアから簡単に標的型攻撃を開始するための情報を得る。ご自分のfacebook公開設定を見直されることをおすすめする。

 もちろん、侵入経路はメールだけではない。社員が日常的に覗いているウェブサイトの情報を取得し、偽サイトを使って侵入するほか、USBなどの外部記憶媒体を使って侵入を試みるケースも存在する。

例えばこんな心理作戦、あなたは疑うことができますか?

 “ソーシャルエンジニアリング”を利用した「標的型攻撃」の具体例を挙げてみよう。例えば、会社で使っているPCの動作が遅くなってしまうと、普通はITの担当者にチェックしてもらう。この普通の行動に攻撃者の心理戦が仕組まれている。

 例えば、「PCが重くて不調」の場合、IT担当者にチェックを依頼しないだろうか。IT担当者は、動作を確認するため、管理者用のIDでPC端末にログインし操作ログなども確認してみたが問題を見つけられない。パワーポイント資料を多数開いていたりすると、メモリ不足が起きていると推測され、ウイルスのスキャン操作などは行わずに返却する。その後、PCのパフォーマンスも戻る。


PCが不調!(実はその原因が、すでに入り込んでいる不正プログラムだった…)

管理者さん、調べてください!IDとパスワードは…(これが落とし穴に!)

すでに仕込んであった不正プログラムが、まんまと情報を盗み取る。その後は恐怖の展開に…

 この場合、「PCの不調」は、攻撃者が意図的に発生させていることも可能性として考えられる。おそらく偽装メールで不正プログラムが送りつけられ、PCの所有者は不正プログラムとは思わずに、ファイルをクリック。不正プログラムには、キーロガーが仕込まれており、管理者が入力した管理者用のIDとパスワードが読み取られてしまう仕組みだ。この瞬間、サイバー犯罪者は管理者権限を手に入れ、内部ネットワークへ侵入、内部サーバへアクセスし、攻撃を行う。通常であれば、まず疑わない手法だ。

 ということで今回は、実際にあった「標的型攻撃」の事例を参考に、様々なケースを用意した。あなたの会社に似たような現象は起きていないだろうか?ぜひチェックして頂きたい。

Qその1

なぜ!?セキュリティ対策に力を入れていたはずなのに、社外秘の情報が漏れた!!

ある朝、取引先の担当者から当社に1本の電話が。「おたくの社名が書かれた、製品の企画書らしき書類をたまたまネットで見つけてしまったのですが」・・・
Qその2

うちの社員は深夜に働いている? 製造業:深夜のサーバアクセス~ ~Domain Admin権限が奪取された場合。

1か月ほど前から、身に覚えのないメールが届くようになった・・・
Qその3

サーバでよくわからないプロセスが実行中。ググってみても原因不明・・

負荷の高いプロセスがタスクマネージャー上に挙がっている。。。プロセス名をGoogleで検索しても、何も見つからない。Googleで分からないとは、かなり怪しい・・・
Qその4

まさか、古いID/パスワードから!?

古いIDとパスワードをチェックしたところ、なんとそのまま残っていた。怖いもの見たさで調べてみると、昨日もこのIDを利用してログインされた履歴が記録されていた!?ありえないことだが、 ・・・
Qその5

対応すべきセキュリティ要件は増える、デバイスも増える、リソースは増えない

グループ統一のセキュリティ規定を遵守するよう親会社から要請。プレッシャーは強まるばかり。 IT対応の人員を増加する以外に、セキュリティ運用をうまく行っていく方法があるのか!?
提供:トレンドマイクロ株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2012年12月1日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]