セキュリティ業界で実施されたアンケートにより、使用頻度が高い攻撃手法トップ10が明らかになった。特に上位の手法に注目して、対策方法を紹介する。
よく利用される攻撃手法についてセキュリティ業界にアンケートを行ったところ、ソーシャルエンニアリングが首位だったという。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月6日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
セキュリティテクノロジー企業BalaBitが調査を行った約500人のセキュリティ専門家のうち、70%超は内部関係者による脅威のリスクが高いと回答した。
この調査結果で重要な点は、部外者はなるべく手間を掛けずに内部関係者を装おうとし、内部関係者は、多くが無意識のうちにこれを手助けしていることだ。
米国司法省で最近発生したセキュリティ侵害で重要な役割を果たしたのも、ソーシャルエンジニアリングだ。攻撃者の主張によると、米国土安全保障省の職員9000人以上と、米連邦捜査局(FBI)の職員2万2000人以上の詳しい連絡先が漏えいしたという。
「企業にとってのリスクが最も高くなるのは、外部の攻撃者が社内へのアクセス権を得たときだ。その攻撃者は気付かれることなく、何カ月間も社内ネットワークにとどまることができる」とBalaBitのCEO、ゾルターン・ギョルコ氏は話す。
「当社の目的は、ユーザーアカウントを利用している人間が正規ユーザーなのか、それとも身元を隠した攻撃者なのかを判断し、敵が誰なのかを把握することだ。どのような種類の組織のITセキュリティ戦略でも、敵を知ることが基本的な優先事項になる」と同氏は語る。
攻撃者がファイアウォールをすり抜けて社内ネットワークに侵入する不安が残っていると答えた企業は過半数に達している。だが同時に、攻撃者を遠ざけるには不十分だと回答したファイアウォールを40%以上の企業が最前線の防衛ツールに採用している。
ソーシャルエンジニアリング攻撃では、フィッシングメールが利用されることが多い。低レベルの社内ユーザーアカウントを支配してから、その権限の昇格を狙うのが一般的だ。この手口がよく使われるのは、パスワードをクラックしたり、ゼロデイマルウェアを展開して社員の資格情報を盗み出したりするより、社員を欺いてパスワードを聞き出す方が簡単で手っ取り早いからだ。
「従来のアクセス制御ツールやマルウェア対策は当然必要だ。だが、それだけでは攻撃者が外部にいる場合しか企業の機密資産を守れない」とギョルコ氏は指摘する。
「システムの内部に入り込まれてしまったら、低レベルのアクセス権だったとしても、その権限を昇格し、社内ネットワークの特権アクセスやルートアクセス権を取得するのは簡単だ。そうなれば、攻撃者が信頼性の高い内部関係者に見え、非常に高いリスクがもたらされる」
ギョルコ氏によれば、正規の資格情報が使われたとしても、そのアカウントがハイジャックされているかどうかは、ユーザーの挙動を調べ、ログインした時間や場所、キー入力の速度、使用するコマンドなど、そのユーザーの普段の行動と比べるだけで検出できるという。
「実際の社員のベースラインプロファイリングを指紋のように一意に特定するユーザー行動分析ツールを使えば、ユーザーアカウントの異常な挙動を検知し、セキュリティチームに警告したり、別途通告があるまでそのユーザーの行動を制限したりするのは簡単だ」
ITセキュリティの専門家によれば、短時間に機密情報を入手したい攻撃者が2番目によく使う手口がユーザーアカウントの侵害だという。
アカウントの侵害が危険なのは、多くのユーザーが会社と個人のアカウントに同じパスワードを使用しているからだ。つまり、安全性が比較的低いソーシャルメディアシステムからパスワードが盗まれると、そのパスワードを悪用して社内ネットワークにアクセスされる恐れがあることになる。
よく使われる攻撃手法の3位にランクインしたのは、SQLインジェクションなど、Webベースアプリケーションのセキュリティ問題だ。Webベースアプリケーションが大きな攻撃対象になっているのは、社内ユーザーにとっても社外ユーザーにとっても、企業資産への最も表立った接点になるためだ。
「セキュリティの観点では、コードの品質には残念ながら疑問の余地がある。脆弱(ぜいじゃく)性のあるアプリケーションを簡単に検出できる自動スキャナーも数多く存在する」と同氏は語る。
「当社が目指すのは、使用頻度の高い攻撃手法トップ10に注目することで、攻撃者がよく利用する手口や脆弱性を企業が理解し、対策を立てられるようにすることだ」
攻撃の原因が何であろうと、この攻撃手法トップ10から、社内ネットワークで行われていることを企業がリアルタイムに把握する必要性が高くなっていることは明らかだ。
BalaBitによれば、必要なことは、これまで使ってきたアクセス制御ツールやパスワード管理ソリューションなどのセキュリティツールによる制御を、リアルタイムの常時監視にすることだけだという。
監視することによって、ユーザーの異常行動を浮き彫りにし、疑わしい行動は警告し、有害な事象には即座に対応してそれ以上の行動を阻止できるようになる。
圧倒的なシェアを誇るMicrosoft Officeに今、新たな障害が立ちふさがろうとしている。これまで同様、障害をはねのけるのか、ついに屈するのか。Office 2016とOffice 365 をめぐる諸問題を取り上げた記事を1つのPDFにまとめた。
※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。
Copyright © ITmedia, Inc. All Rights Reserved.