この記事では、企業ネットワークへの攻撃の初期段階でサイバー犯罪者らが使用する主な手法について説明します。
企業ネットワークを標的とするサイバー攻撃には、危険なフェーズがいくつか存在します。その最初のフェーズとは、企業システムへの最初のアクセスです。この時点での犯罪者らの目的は、悪質なコードをシステム上に紛れ込ませて、後で実行できるようにすることです。
ドライブバイダウンロード
説明:ドライブバイダウンロードの主旨は、ブラウザーやプラグインの脆弱性を突くエクスプロイト、難読化したフレーム、あるいは悪質なJavaScriptファイルなどを仕込んだWebサイトをユーザーに開かせ、ユーザーが気づかない間に標的のシステムに悪質なプログラムをダウンロードさせることです。
攻撃を防御するには:
- 最新の状態のWebブラウザーやプラグインを使用するとともに、アンチマルウェアソリューションを実行する。マイクロソフトはEnhanced Mitigation Experience Toolkit(EMET)およびWindows Defender Exploit Guard(WDEG)の使用を推奨しています。
Webアプリケーションの悪用
説明:この方法では、アプリケーション内の既知の問題、バグ、脆弱性とオープン状態のネットワークポート(SSHネットワークサービス、Webサーバー、SMB2など)を悪用します。OWASPが定期的にWebアプリケーションの脆弱性トップ10を発表しています。
攻撃を防御するには:
- ファイアウォールを使用する。
- DMZを使用してネットワークのセグメント化を実施する。
- 安全なソフトウェア開発手法に従う。
- CWEやOWASPに記載されている問題を回避する。
- ネットワーク周辺機器の脆弱性をスキャンする。
- ログやトラフックを監視して異常なアクティビティを検出する。
ハードウェアの追加
説明:コンピューター、ネットワーク機器、およびコンピューターアクセサリには、最初のアクセスを実行することを任務とする秘密のハードウェアコンポーネントが付帯していることがあります。ネットワークへのステルス接続、中間者攻撃の実行よる暗号解読、キーストロークインジェクション、DMAを介したカーネルメモリーの読み取り、新しいワイヤレスネットワークの追加などの機能がオープンソースの製品あるいは一般の製品に仕込まれている可能性があります。
攻撃を防御するには:
- デバイス証明書やIEEE 802.1X規格などのネットワークアクセス制御のポリシーを採用する。
- DHCPの使用を登録済みのデバイスだけに制限する。
- 未登録の機器とのネットワークインタラクションをブロックする。
- ホスト保護メカニズム(デバイス監視用のエンドポイントセキュリティエージェント)を使用して、未知の外部デバイスの追加を無効にする。
リムーバブルメディア
説明:リムーバブルメディアを使ったテクニックでは、自動実行機能を利用して不正なコードを実行します。ユーザーを騙すために、攻撃者は正当なファイルを改ざんしたり名前を書き換えたりした後に、リムーバブルドライブにコピーします。マルウェアをリムーバブルメディアのファームウェアに埋め込んだり、初期化ツールを利用して実行することもあります。
攻撃を防御するには:
- Windowsの自動実行機能を無効化する。
- 会社のセキュリティポリシーのレベルでリムーバブルメディアの使用を制限する。
- アンチウイルスソフトウェアを使用する。
スピアフィッシング-添付ファイル
説明:このメカニズムは、フィッシングメールにウイルスを添付して拡散することを前提としています。通常、電子メールの本文にはユーザーに添付ファイルを開かせるよう、もっともらしい理由が書かれています。
攻撃を防御するには:
- IDS(侵入検知システム)およびアンチウイルススイートを使用して、Eメールに悪質なファイルが添付されていれば、それを削除またはブロックする。
- 特定の形式の添付ファイルをブロックするポリシーを設定する。
- フィッシングを特定し、防止できるよう、スタッフのトレーニングを行う。
スピアフィッシング-リンク
説明:サイバー犯罪者らが、クリックするとマルウェアに感染するようなリンクを含むEメールが送られてくる場合があります。
攻撃を防御するには:
- 受信したEメールに、既知の悪質なWebサイトのURLが含まれていないか確認する。
- IDSおよびアンチウイルスソフトウェアを使用する。
- スタッフにフィッシングに関するトレーニングを受けさせる。
サービス経由のスピアフィッシング
説明:このケースでは、攻撃者はソーシャルネットワークや個人のEメールアカウント、あるいはその他のサービスなどの企業が制御できないサービスを使用してユーザーを信じ込ませるようなメッセージを送信します。
偽のソーシャルネットワークプロファイルを使用して、仕事のオファーなどの人目を引くメッセージを送信するかもしれません。このようなメッセージを通して信頼を築いた後、標的となる従業員にその企業で使用しているポリシーやソフトウェアについて尋ね、被害者が悪質なリンクや添付ファイルをクリックするように仕向けます。通常、犯罪者らは最初に連絡手段を確保してから、悪質なエンティティを従業員が職場で使用している電子メールアドレスに送信します。
攻撃を防御するには:
- 個人のEメールアカウントやソーシャルネットワークなどへのアクセスをブロックすることを検討する。
- アプリケーションのホワイトリスト、IDSおよびアンチウイルスソフトウェアを使用する。
- フィッシング対策に重点を置いたスタッフの意識向上プログラムを実施する。
サプライチェーンの侵害
説明:この方法では、供給段階でソフトウェアやハードウェアにさまざまなバックドア、エクスプロイト、その他のハッキング用機器を注入します。可能性のある攻撃ベクトルは次のとおりです。
- ソフトウェア開発ツールや開発環境を操作する。
- ソースコードのリポジトリを悪用する
- ソフトウェアの更新や配布メカニズムを妨害する
- OSイメージの侵害や損傷
- 正当なソフトウェアの改ざん
- 偽物や改ざんした製品の販売
- 出荷段階での窃取
サイバー犯罪者は通常、ソフトウェアの配布とアップデートチャネルの侵害に焦点を当てています。
攻撃を防御するには:
- SCRM(サプライチェーンリスクマネジメント)およびSDLC(ソフトウェア開発ライフサイクル)管理システムを導入する。
- 継続的に請負業者をレビューする。
- サプライチェーン内でのアクセスを厳しく制限する。
- 管理手順を利用して、バイナリファイルの整合性を管理する。
- 配布キットにウイルスが含まれていないかスキャンする。
- デプロイ前にすべてのソフトウェアと更新をテストする。
- 購入しているハードウェア、ソフトウェア配布キットが格納されているメディア、およびサポート用ドキュメントに偽造の兆候がないか物理的に調べる。
信頼関係
説明:標的とする企業のインフラストラクチャーにアクセスする可能性のある企業が攻撃に利用される場合もあります。信頼するサードパーティと企業がやり取りする際には、他の相手と比較して安全性の低い方法をとることがよくあります。信頼するサードパーティには、ITサービス提供者やセキュリティベンダー、あるいはインフラストラクチャーのメンテナンスを担当する業者などが含まれます。さらに、信頼する相手が企業にアクセスするために使用するアカウントがハッキングされて、最初のアクセスに利用される可能性もあります。
攻撃を防御するには:
- ネットワークセグメンテーションを実行し、外部から広くアクセスされることを阻止する必要のある重要なITインフラストラクチャーコンポーネントを分離する。
- 信頼するサードパーティが使用するアカウントや権限を管理する。
- 特権アクセスを必要とするコントラクターのセキュリティ対策とポリシーを確認する。
- サードパーティベンダーと信頼する個人のアクティビティを監視する。
正当なアカウントの使用
説明:ソーシャルエンジニアリングの手口を使った犯罪者により、特定のユーザーのアカウントやサービス用アカウント、あるいは認証情報を盗まれることがあります。詐取された認証情報は、アクセス管理システムを回避したり、リモートデスクトップ、VPN、Web版のOutlookなどのリモートシステム/外部サービスにアクセスしたり、あるいは特定のシステムやネットワークにおいて高い権限を取得したりするために使用されます。そのようなアクションが成功すると、攻撃者がマルウェアを使用する必要がないと判断するため、検出がより困難になります。他の方法が失敗した場合にもアクセスを維持できるように、攻撃者が新しいアカウントを作成することもあります。
攻撃を防御するには:
- 複数のサービスやシステム間で認証情報を使い回さないこと。
- パスワードポリシーを採用し、企業ネットワーク管理のガイドラインに従って特権アカウントの使用を制限する。
- ドメインアカウントとローカルアカウント、またそれらの特権を監視して、攻撃者によるネットワークアクセスに利用される可能性のあるものを特定する。
- セキュリティ情報・イベント管理(SIEM)ソリューションを使用して、アカウントのアクティビティを追跡する。
サイバー犯罪者らは、当然ある意図を持って企業のITインフラストラクチャーにアクセスしてきます。その意図は、侵害の目的によって異なります。産業スパイを企てる者ならば、機密情報を盗もうとするでしょう。相手が悪質な競合相手である場合、盗まれた機密情報によって御社のビジネスが混乱し、信頼が失墜するかもしれません。
いずれにせよ、侵入は単に第1のステップでしかなく、一般的にはさまざまなステップが後に続きます。これらには、悪質なコードの実行、永続性の確立、権限の昇格、防御の回避、認証情報へのアクセス、企業環境内での水平移動、データの収集と持ち出しなどが含まれ、最終的にはコマンド・制御に至ります。
最初の不正アクセスが重大な影響を与える可能性があるため、予防的な保護メカニズムに焦点を当てることをお勧めします。WDEG、EMET、IDS、SCRM、SDLC、SIEMなどの自動化システムは確かに価値があります。しかし、ヒューマンファクター(人間の行動特性)が企業のセキュリティにおける最も脆弱なポイントである場合が多いことを心に留めておいてください。したがって、従業員のセキュリティ意識向上のためのトレーニングが基本的な攻撃防御策の1つであると言えるでしょう。
トリップワイヤでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース