SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例から学ぶ! 実践ベンダーコントロール習得講座

講座一覧はコチラから

Security Online Press

変化を続ける標的型攻撃、2015年の傾向と新たな手口

 5月10日、トレンドマイクロは2015年の国内における標的型攻撃を分析したレポートを発表するとともに、同社セキュリティエバンジェリスト 岡本勝之氏が標的型攻撃の傾向を解説した。

 日本年金機構が標的型攻撃を受けて大量の個人情報流出が生じたのは2015年5月。まだ記憶に新しい。2015年を振り返ると、やはりこの影響は大きかった。トレンドマイクロが発表したレポート(参考:国内標的型サイバー攻撃分析レポート)から標的型攻撃と2015年の傾向を振り返る。

写真:トレンドマイクロのセキュリティエバンジェリスト岡本勝之氏

トレンドマイクロのセキュリティエバンジェリスト 岡本 勝之氏

 標的型攻撃とはサイバー攻撃の1つで、攻撃対象を明確に定めて行うもので、用意周到に準備し、いくつかの段階を踏んで目的を達成させる。多くは企業や組織が持つ情報の奪取を目的とする。緻密で執念深い攻撃である。  

 トレンドマイクロのセキュリティエバンジェリスト岡本勝之氏は、標的型攻撃の本質を示すキーワードを3つ挙げた。「継続」、「隠蔽」、「変化」。標的型攻撃は「継続」的に行い、ばれないように存在を「隠蔽」したり、自分の姿を「変化」させたりするからだ。

「標的型サイバー攻撃」の攻撃手法 出所:トレンドマイクロ株式会社

「標的型サイバー攻撃」の攻撃手法 出所:トレンドマイクロ株式会社

 標的型攻撃は潜伏し、多くは「気づけない」ままでいる。同社の調査によると、企業のおよそ4社に1社はすでに侵入されているという。同社の監視サービス事例から無作為抽出したところ、不審な通信を確認したのがおよそ1/4ということだ。細かく見ると2014年が26%で2015年で23%なので、幸いなことに微減している。また同社の標的型攻撃支援サービスからの集計によると、被害に気づくのが平均して最初の侵入から156日(約5か月)経過してからと出ている。  

 攻撃手法も徐々に手口を変えるなど巧妙化している。標的型攻撃で初期の攻撃のほとんどはメールが用いられる。多くは圧縮された添付ファイルにマルウェアなどを仕込む。中にはURLで誘導するものもあるが、メールを使う点では同じ。URLを使ったものは7月に集中しており、サンプルを見ると全てAdobe Flash Playerの脆弱性を悪用したものだった。脆弱性が報告された直後である。「機を見るに敏」と岡本氏。  

 標的型攻撃というと、大きな特徴に遠隔操作用サーバーがある。2015年前半(1月~6月)と後半(7月~12月)で遠隔操作用サーバーの設置国の割合を見ると、日本の割合が44%から27%とぐんと減っている。岡本氏によると日本年金機構の事象が大きな警笛となり、標的型攻撃への調査が厳しくなり、結果的に日本における遠隔操作用サーバーがテイクダウンされるなど絶対数も割合も減ったという。  

 標的型攻撃で侵入が成功すると、次は内部活動へと移り情報探索、情報集約、情報送出といった活動を行う。目的となる情報を探し、外部に送るために収集する。侵入時には不正なメールや脆弱性の悪用が見られるが、内部活動では比較的正規のコマンドやツールが悪用されることが多い。  

 管理者権限奪取の手口としては従来から報告されている「WCE(Windows Credential Editor)」や「MIMIKATZ」に加え、2015年は「Quarks PwDump」の悪用も確認された。これらは本来は管理者用ツールではあるが、パスワードを奪取するために悪用されている。加えてWindowsの「Kerberos認証」の脆弱性(修正プログラム「MS14-068」)を悪用した痕跡も確認されている。  

 同様に内部情報窃取の手口として、マイクロソフト社の管理者用正規ツール「DSQUERY」、「CSVDE」を悪用してActive Directoryサーバー内の情報を窃取するものも確認されている。これはサーバー内のデータをエクスポートするもので、組織内の情報収集に使われる。  

 侵入され、管理者権限が奪取されてしまうと、遠隔操作による内部活動か、本来の管理者が行う通常業務なのか、見極めるのが困難になる。ファイルコピーにしてもファイル転送にしても、遠隔操作と通常業務が混在しているからだ。ただし方法はある。単体では見極められなくても、複数のログを監視すれば遠隔操作によるものとほぼ確実に判別できるようだ。岡本氏は「内部活動の攻撃シナリオに基づき、複数の不審な通信イベントログを組み合わせて監視することが重要です」と述べる。  

 今後の攻撃について岡本氏は「標的組織周辺への攻撃範囲拡大」と「攻撃者や攻撃手法の分業化」を挙げる。前者は攻撃対象の範囲を広げて侵入の機会を増やし、最終的な目的に到達する成功率を高めるということと。後者は攻撃手法を長期間継続する「潜伏型」と迅速に情報を奪う「速攻型」など、使い分けが見られていることを指す。  

 対策のポイントを岡本氏がいくつか挙げた。侵入時対策では(最初の侵入経路はほぼメールなので)標的型メールには十分注意を払い有効な対策を導入すること、通信内容によっては接続を遮断する対策を導入すること。内部活動対策では複数の挙動を監視して早期発見できる対策を導入すること、攻撃を検知したら迅速に対応できる体制を構築すること。また全体として端末やサーバーの脆弱性を解消しておくこと(最新のパッチを当てるなどする)はもちろん、多階層で対策を導入すること、対策を常に更新すること。  

2015年の標的型サイバー攻撃傾向から考える対策ポイント 出所:トレンドマイクロ株式会社

2015年の標的型サイバー攻撃傾向から考える対策ポイント 出所:トレンドマイクロ株式会社

 最後に岡本氏は「攻撃の裏にいるのは人間です。攻撃手法を常に変化させてきます。1種類の防御方法だけにこだわるのではなく、複数の方法を使うこと、常に対策を更新し続けるのが大事です」と述べて、引き続き警戒を怠らないようにと注意喚起した。

 

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8036 2016/05/12 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  2. 2
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  3. 3
    世界60ヵ国以上に展開の三井物産、セキュリティ施策を3ステップに集約 経営層の理解を得ながら推進
  4. 4
    エバラ食品のDXは“土台づくり中” 社内の機運が高まりローコードツールの勉強会に100人以上が参加
  5. 5
    生成AI時代の顧客理解「マシン・カスタマー」とは何か?:機械が顧客のように行動し収益をもたらす
  6. 6
    ゼロトラストの次なる課題は「経営・事業戦略との連動」──ゼットスケーラー代表に聞く日本企業特有の事情
  7. 7
    “カンブリア砲”にも耐えた、登山地図GPSアプリ「YAMAP」の急成長を裏で支えるインフラ進化の歴史
  8. 8
    SAPジャパン 稲垣利明×テックタッチ 井無田仲──巨大企業の「イノベーションのジレンマ」脱却に学ぶ
  9. 9
    プルーフポイントのエバンジェリストが語る、スパムメール戦争を生き残るための「DMARC」完全運用までの道
  10. 10
    イトーキ、130年伝統企業のDX:オラクルから転身した湊社長が描く「AIとデータの戦略」とは
  1. 1
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  2. 2
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  3. 3
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  4. 4
    グーグルが「Google Cloud Next '24」で発表した「生成AIエージェント」戦略とは?
  5. 5
    OracleとAWSの巨額投資の行方、富士通との蜜月復活の鍵も握る「ソブリンクラウド」
  6. 6
    人的資本経営の潮流で“ERP選定眼”に変化か 大手企業での導入進むjinjerに訊く
  7. 7
    Google Workspace、生成AIで業務効率化を加速 Gemini搭載で文章・画像生成、Google Vidsで動画作成も
  8. 8
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか
  9. 9
    2024年大注目の「RAG」の正体とは?──ハルシネーションを防ぐ有効手段として期待
  10. 10
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年6月25日(火)オンライン開催

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  2. 2
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  3. 3
    世界60ヵ国以上に展開の三井物産、セキュリティ施策を3ステップに集約 経営層の理解を得ながら推進
  4. 4
    エバラ食品のDXは“土台づくり中” 社内の機運が高まりローコードツールの勉強会に100人以上が参加
  5. 5
    生成AI時代の顧客理解「マシン・カスタマー」とは何か?:機械が顧客のように行動し収益をもたらす
  6. 6
    ゼロトラストの次なる課題は「経営・事業戦略との連動」──ゼットスケーラー代表に聞く日本企業特有の事情
  7. 7
    “カンブリア砲”にも耐えた、登山地図GPSアプリ「YAMAP」の急成長を裏で支えるインフラ進化の歴史
  8. 8
    SAPジャパン 稲垣利明×テックタッチ 井無田仲──巨大企業の「イノベーションのジレンマ」脱却に学ぶ
  9. 9
    プルーフポイントのエバンジェリストが語る、スパムメール戦争を生き残るための「DMARC」完全運用までの道
  10. 10
    イトーキ、130年伝統企業のDX:オラクルから転身した湊社長が描く「AIとデータの戦略」とは
  1. 1
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  2. 2
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  3. 3
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  4. 4
    グーグルが「Google Cloud Next '24」で発表した「生成AIエージェント」戦略とは?
  5. 5
    OracleとAWSの巨額投資の行方、富士通との蜜月復活の鍵も握る「ソブリンクラウド」
  6. 6
    人的資本経営の潮流で“ERP選定眼”に変化か 大手企業での導入進むjinjerに訊く
  7. 7
    Google Workspace、生成AIで業務効率化を加速 Gemini搭載で文章・画像生成、Google Vidsで動画作成も
  8. 8
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか
  9. 9
    2024年大注目の「RAG」の正体とは?──ハルシネーションを防ぐ有効手段として期待
  10. 10
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点