防御が難しいとされるサイバー攻撃だが、システムの現場では数々の防御策が日夜講じられている。ITインフラを支えるエキスパートが実践的な対策方法を紹介する新連載。第1回は標的型攻撃の中身をひも解く。
サイバー攻撃による情報漏えいが近年相次いでいる。新種のマルウェアが毎日のように発見され、「明日は我が身」と、その脅威に震えるセキュリティ担当者は少なくないだろう。とはいえ、場当たり的にセキュリティアプライアンスを追加したところで、実はあまり効果的ではない。まずは標的型攻撃対策の基本、「サイバーキルチェーン(Cyber Kill Chain)」をおさらいし、防御の本質を理解しておこう。
サイバーキルチェーンとは、米国の航空機・宇宙船開発製造会社Lockheed Martinが提唱した標的型攻撃のステップを示すフレームワークだ。標的型攻撃対策とは、このチェーンを断ち切ることに他ならない。攻撃を中断させるためには、各ステップで防御対策が必要になるが、これを「多層防御」と呼ぶ。
とはいえ、サイバーキルチェーン自体は1つのフレームワークに過ぎず、攻撃者が具体的に何をしているのかを想像することは難しいかもしれない。そこで、メールに添付されたマルウェア(C2クライアント=遠隔の攻撃者の指令を受けて実行するマルウェア)による攻撃を例に、ユースケース図で解説してみたい。
図の左側をご覧いただきたい。攻撃側は、攻撃者自身を含めると5人。意外に関係者が多いことにお気づきいただけただろうか。
サイバー攻撃は、1人の攻撃者がチェーンを一気通貫で実行していると思われがちだが、実情は大きく異なる。チェーンのステップごとに担当者がいて、一般企業と同じように、組織的に活動している。
攻撃の前半では、(1)偵察、(2)武器化、(3)デリバリの3つが実行される。標的型攻撃は、その名の通り、標的(被害者)のシステム環境だけでなく、行動や人間関係まで徹底的に偵察を行うところから始まる。そして、偵察が終わると、武器化担当者によって、標的には検知不能な形式のエクスプロイトコード(脆弱性などを悪用するためのコード)やマルウェアが作成される。これが武器化である。マルウェアは、標的の知人や取引先からのメールを装って、添付ファイルとして送り届けられ、デリバリが完了することになる。
攻撃の後半では、標的に到達したマルウェアを、いかに実行、インストールさせるかがポイントになる。というのも、エクスプロイトの段階で標的自身に「添付ファイルを開く」という行為をさせる必要があるからだ。標的が添付ファイルを開いてしまった瞬間、遠隔操作(C2=Command & Control)を行うプログラム(C2クライアント)がインストールされ、あとは攻撃者の意のままになってしまう。このステップは、攻撃者にとっては目標達成であり、システム管理者としては防御の失敗である。
Copyright © ITmedia, Inc. All Rights Reserved.