攻撃者を罠にかけて、返り討ち！ “攻め”のセキュリティ対策「サイバーデセプション」とは何だ？：ニューノーマル時代のセキュリティ（2/2 ページ）

[辻大輔（PwCコンサルティング合同会社），ITmedia]

　前提として、攻撃者が企業のセキュリティ対策を迂回し、業務用端末を遠隔からコントロールすることに成功したとする。この後の攻撃者のアクションを、「端末の記憶領域から、パスワードを含むアカウント情報を収集し、その接続履歴などを駆使してアカウント情報を悪用する」というシナリオとし、デセプションを考えてみよう。

　まず上述のシナリオで、攻撃者をだますにはさまざまな手法があるが、最も簡単で効果が高いのは、偽のアカウント情報をつかませることだ。仕組みは単純で、偽のアカウント情報を記録したファイルや文字列を端末の記憶領域に保存するだけだ。当然ながら、この偽のアカウントは普段業務では使われず、いずれのシステム上にもログイン権限がないことが重要だ。

　この環境下で、いずれかのシステムで偽アカウントでログインを試行したログメッセージが出力されれば、それは第三者が端末の記憶領域から偽アカウント情報を読み取り、悪用したことを意味することとなる。

　次に、攻撃者を捕捉するためのアクションを実装する。

　今回のケースでは、ログメッセージの出力が明らかな不正行為とひも付くため、当該ログメッセージを監視するだけでなく、EDR（Endpoint Detection and Response）製品などと連携して、速やかに端末隔離を行える仕組みが望ましい。偽情報で罠（わな）を仕掛け、罠にかかった攻撃者に対処することがデセプション技術の本質だ。

　偽アカウントを記録した情報にどこまでの効果があるのか、疑問に思う読者も多いだろう。

　攻撃者目線に立つとどうだろうか。自らのハッキング技術によって取得したアカウント情報を偽物だと、看破できるだろうか。また、このような罠が幾重にも仕掛けられ、全ての端末に張り巡らされていたならば、それを全て迂回できるだろうか。

　このように、デセプションは攻撃者の侵入を止める効果はないが、被害を未然に防止するという観点では、従来のセキュリティ対策に引けをとることはない。また、誤検知対応やポリシーチューニングといった運用業務も少なく、攻撃手法の進化に追随してデセプションを高度化する必要性も薄い。これは、従来のセキュリティ対策が攻撃手法の特性をキーにシグネチャなどの検知条件を設定しているのに対し、デセプションは攻撃者が企業内に潜入した後の行動や情報に着目しているためだ。

写真はイメージです（提供：ゲッティイメージズ）

　一方、市場ではデセプションに特化した製品も販売されている。

　これらの多くは、検知機能だけでなく、攻撃の実態やトレンドを把握するための解析機能、さらには攻撃を遅延させるための機能を搭載している。製品を採用することでデセプションが充実することに間違いはないが、製品ありきでなく、まずは現行のシステム環境下で「早期検知・対処」を主眼にした罠を仕掛けることから、デセプションの効果や魅力に触れていただきたい。

デセプション導入時に考慮すべき、2つのポイント

　最後に、デセプションの導入時に考慮すべき点を2つ紹介したい。

　1つ目は、自組織で発生し得るリスクシナリオを定義した上で、デセプションを設計することだ。企業や組織によって保護すべき情報資産やシステムの環境は異なるため、攻撃者の侵入経路や行動、つまり有効な罠やデコイの種類や設置ポイントが異なる。自組織におけるデセプションの設置ポイントは、自社のリスクシナリオを導き、攻撃者目線をもって検討いただきたい。

　2つ目は、デコイとするサーバを設置した場合の運用だ。

　デコイサーバは、攻撃者に重要サーバとして見せかけたり、攻撃の誘導先として利用したりする。当該サーバは、攻撃されることが前提とはいえ、運用が放置され重大な脆弱性が残存することは避けたい。デセプションの取り組みがセキュリティホールとならないよう、社内システムと同様に最低限の運用は実施いただきたい。

著者紹介：辻大輔（つじ・だいすけ）

PwCコンサルティング合同会社　テクノロジーコンサルティング デジタルトラスト ディレクター

情報セキュリティ事業会社を経てPwCに参画。金融、製造など、多岐にわたる業界に対してサイバーセキュリティに関するアドバイザリーを実施。サイバーセキュリティに関わるリスク評価や対策立案、その後のインシデント管理態勢の構築について豊富な経験を有している。