今日の企業では、「サイバーセキュリティ」という用語が一般的になりつつあります。この言葉は、財務情報やマーケティング戦略などとともに、重役会議に取り上げられています。この記事では、ネットワークインフラストラクチャーに関して、業界を悩ませている一般的な攻撃ベクトルを紹介します。インフラストラクチャーの種類が何であるかは関係ありません。あなたが送受信するデータに価値があるのなら、他の誰かもそれを狙おうとするでしょう。
1.偵察攻撃
偵察攻撃とは、一般的な情報を収集するための攻撃です。この種の攻撃は、論理的および物理的なアプローチによって実行されます。ネットワーク内を探ったり、ソーシャルエンジニアリングを利用したり、あるいは物理的な監視を介して集めようとする情報収集攻撃は、同様に防ぐことができます。偵察攻撃の一般的な例には、パケットスニッフィング、Pingスイープ、ポートスキャン、フィッシング、ソーシャルエンジニアリング、インターネット情報のクエリなどがあります。これらの攻撃を論理的または物理的の2つに分類して詳しく説明します。
論理的偵察とは、デジタルの領域で行われ、偵察攻撃を完結するために相手側の人間を必要としないものを指します。たとえば、pingスイープやポートスキャンは、システムが存在しているか、ネットワーク上で何を探しているかの両方を検出するための方法です。たとえば、ポートスキャンの応答から、あるIPアドレスではポート443上でHTTPSトラフィックをリッスンしていることを知ることができます。その結果から、ハッカーは、HTTPSを標的とした攻撃を試せばよいことがわかります。
また、インターネットを介した情報のクエリも行われます。この方法は、whoisクエリとも呼ばれます。ドメインには規制が存在しており、個々の企業が登録したすべてのドメインは、いずれかのドメインプロバイダーに属します。企業Aがある特定のドメインの使用を希望しているのに、企業Bがすでにそのドメインを使用している場合には、製品の商標権と同様の問題が発生します。ドメイン管理プラットフォームは、ドメイン名の移管や、構想、有効期限の管理を扱います。これらのドメインホスティングサービスは通常、連絡先情報などの組織に関連する多くの情報を提供します。そのため、目的の人物に関する正当な情報を持っている会社に連絡して情報を収集することが非常に簡単になります。
物理的偵察は、ネットワーク管理者が制御できる範疇を超えて行われます。保護のしにくい場所や、カメラ、マントラップ、ドアロック、ガードなどのセキュリティ要素はネットワーク管理者の管轄外です。しかし、これらもネットワークを物理的に保護するのに一役買います。
たとえば、銀行のセキュリティチームは、非常に巧妙に仕組まれた強奪行為を阻止する能力を十分に備えていないかもしれません。しかし、銀行にセキュリティ対策が施されているという事実によって、スキルが低めの犯罪者の行動を阻止できる可能性が出てきます。この考え方は、ネットワーク保護のための物理的なセキュリティ対策にも当てはまります。偵察とは、あらゆる入手可能なソースから情報を収集することです。犯罪者が情報を簡単に入手できなければ、収集自体をあきらめるか、あるいはもっと論理的な手段で強行しようとするかもしれません。攻撃者がそのどちらを選択したとしても、ネットワークチームにとって有利に働くでしょう。なぜなら、ネットワークチームのコントロールが効く領域で偵察が行われるようになるからです。
解決策
この種の攻撃に対して実際に実行できる対策は限られています。なぜならば、一部の詳細情報や企業情報は、必ず公開しなければならないためです。ただし、開発レベルでトレーニングを行い、簡単な緩和手順に従うことで、問題がより大きくなることを回避できます。
公開する企業の連絡先情報を制限するようにしましょう。バナー取得攻撃に備えて、バナーの出力を編集して、攻撃者が手にすることのできる情報を制限しましょう。ネットワーク管理者や企業の代表者の連絡先情報を含める必要があるならば、それらの人物がソーシャルエンジニアリング攻撃に気づくことができるようにトレーニングを行います。ソーシャルエンジニアリングの手口が巧妙であれば、誰もが企業の秘密を流出させてしまうリスクを抱えることになります。そのため、このようなトレーニングは、すべての従業員に対して行う必要があります。
さらに企業は、レッドチームやペンテスターを外部委託することもできます。そうすることで、組織のリーダーは、どのような欠点が存在するかを把握できるようになります。ほとんどのレッドチームは、あらゆる手段を用いてアクセスを成功させます。そうすることで、攻撃者の能力を裏付けています。また、論理的情報の監査を行うとともに、物理的なセキュリティ対策がとられていることを確認しておきましょう。IDカードが使用されている場合は、ログをチェックして、従業員がアクセス契約のガイドラインに従っているかを確認します。
2.アクセス攻撃
アクセス攻撃を行うには、侵入する能力が必要です。そのためには、アカウント所有者の認証情報を得たり、ネットワークインフラストラクチャーにハードウェアを埋め込むというような、簡単な作業が必要です。アクセス攻撃は比較的単純です。アクセス攻撃は、偵察攻撃と同様に論理的あるいは物理的のいずれかに分類できます。論理的な攻撃はインターネットを介して行われるもので、物理的な攻撃はソーシャルエンジニアリングに近い攻撃です。
ブルートフォース攻撃を実行したり、ネットワーク上でレインボーテーブル攻撃や辞書攻撃を行ってパスワードを割り出すなどの論理的アクセスを行おうとすると、ネットワーク上に膨大なトラフィックが発生します。すると、経験の浅いネットワークモニターでも簡単に発見できてしまいます。そのため、論理的なアクセス攻撃は通常、十分な偵察を行って資格情報を手に入れた後に実行されます。また、中間者攻撃のような受動的な方法を用いて、不審に思われることなく、より多くの情報を収集しようとする動きもあります。
物理的アクセスは、ハードウェアへのアクセスか人へのアクセスかのいずれかに分かれます。ソーシャルエンジニアリングは非常に危険であり防御も難しい攻撃です。なぜなら、サイバーセキュリティにおける最も脆弱な部分が、企業のユーザーである場合が多いからです。最も簡単なタイプのソーシャルエンジニアリング攻撃としては、ユーザーを騙すような内容のフィッシングメールを送信したり、コンピューター内にキーロガーを仕込んで、資格情報を取得して権限昇格を行うといった手口があります。最上級のサイバーセキュリティ対策を施していても、この種の攻撃の対象となることがあります。なぜなら、攻撃者らは人間的な感情を刺激してユーザーを陥れようとするうえに、人は誰しも過ちを犯すものであるからです。
解決策
この種の攻撃を防御するうえで、ものをいうのがネットワークの強化です。企業の安全は、手持ちの機器の能力に左右されがちです。そのため、もし使用中のCiscoのルーターが攻撃に対して脆弱なのであれば、その攻撃に関する情報を仕入れ、探索し、ネットワーク上でIDS/IPSのルールを設定するのが最善の対応策です。また、アップデートを頻繁かつ定期的に行う必要があります。コンピューターの世界では、アップデートが重要であることは言うまでもありません。さらに次のステップとして、最近認識された攻撃者による偵察行為がないかを監視します。もしハッカーらの調査の手が伸びているのであれば、将来攻撃を受ける可能性が高いでしょう。繰り返しになりますが、現在のセキュリティの状態のテスト・監査を社外のチームに委託することを検討しましょう。
3.DoS攻撃
DoSとは、ネットワーク上でトラフィックがまったく移動できなくなる状態を意味します。この状態は、停電によって、あるいはジャンクトラフィックがネットワークに溢れて、ネットワークが機能できなくなることにより起こります。過去にこれらは悪意とは関係なく発生していました。そして、このような状況は物理的あるいは論理的な手段を講じて予防することができます。
ネットワーク全体に対してDoS攻撃を行うには、攻撃者側のコンピューターに十分な能力が必要です。あるいは、それに匹敵する能力を持つデバイスのネットワークを使用して攻撃を行うケースも多々あります。その場合、それらのデバイスの所有者がそのネットワークに組み込まれていることを知らない可能性もあります。このようなネットワークをボットネットと呼びます。ボットネットは、DDoSと呼ばれるプロセスを経て、警告を出すことなく、瞬時にネットワークを機能不全に陥れます。基本的には、ボットネットとして構成されたコンピューター群が、ネットワークに一斉にパケットを送出するという手口が用いられます。コンピューティングリソースは人間よりも優れているように思えるかもしれませんが、実際、コンピューターは私たち人間と同様に、一度に1つのアクションしか実行できません。そのため、一斉に送ったパケットでネットワークを溢れさせると、それに応答する必要性が生じ、ネットワークが応答に追いつかなくなると、機能不全に陥ります。
また別の種類のDoSとして、システムをクラッシュさせる攻撃があります。システムがクラッシュすると、ネットワークに一時的あるいは永続的なダメージが及ぶ可能性があります。攻撃者はネットワークを動作不能に陥れようとして、ネットワークを溢れさせます。永続的なダメージをもたらした場合は、破壊的なDoS攻撃とみなされます。一時的なDoS攻撃は単純なクラッシュを発生させます。
解決策
DoSおよびDDoS攻撃の防御と、アクセス攻撃の防御を並行して行います。これらの攻撃を防ぐには、帯域幅の割り当てを最大化したり、トラフィックの種類に基づいてネットワークを分離するなどの方法が有効です。Webサーバーが攻撃された場合でも、メールサーバーやバックエンドのネットワーク管理デバイスには影響が及ばないようにすべきです。そのための対策は、権限とロールの制限を組み合わせて実施しましょう。
先に述べたように、最良の対策は、ネットワークデバイスを強化することです。すべてのシステムのハードウェアとソフトウェアを定期的に更新し、パッチを適用しておくのは良い習慣です。トラフィックフローを管理することは、これらの攻撃の阻止に非常に役立ちます。また、影響を及ぼす可能性のある脆弱性を把握しておくことも重要です。
まとめ
ネットワークインフラストラクチャーが難攻不落であるという考えは幻想です。しかし、それを保護できる可能性はあります。根本的な対策は、ネットワークに何が起きる可能性があるのかを知っておくこと、手持ちの機器を把握すること、スタッフのトレーニングを行うことに尽きるでしょう。
執筆者について:Allen Britt氏は、サイバーセキュリティ、コンピューターサイエンス、電気工学および機械工学の分野で専門的な訓練を受け、勲章を授与された退役軍人です。複数の特殊な分野において政府の顧客に関わり、多様な経験を積んできました。現在は、その専門知識を生かしてフィールドサポートエンジニアとして、消費者にアドバイスを与えています。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
