EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

名和利男氏が探る「サイバー攻撃における“変化の中心”」 潮目の変化を見落とさないための対策とは  「技術と手法」から「戦略と仕組み」に移り変わるサイバー脅威

edited by Security Online   2021/10/20 09:00

 サイバー攻撃は日々進化しているが、その変化の中心は「技術と手法」から「戦略と仕組み」に移り変わってきているという。サイバー攻撃者は研究を続けており、セキュリティ対策の手法も知り尽くしている。その上で、対策の盲点を突いた攻撃を行うため、セキュリティ対策をする側も変化を適切に捉えて対策手法を変えていく必要がある。ここでは、「Security Online Day 2021」でのサイバーディフェンス研究所の専務理事 上級分析官である名和利男氏のセッション「サイバー脅威の変化に適合しない『戦略と対策を継続』することで増大するリスク」から、攻撃の変化の中心を探る。

「変化の中心」をベースロードとピークロードから探る

 はじめに名和氏は、サイバー攻撃の変化の中心が「技術と手法」から「戦略と仕組み」に移り変わってきているとして、“ベースロードとピークロード”という2つに脅威を大別して解説をはじめた

サイバーディフェンス研究所 専務理事/上級分析官 名和利男氏
サイバーディフェンス研究所 専務理事/上級分析官 名和利男氏

 まず、頻度や影響に着目したサイバー脅威の区分けについて、電力業界で使用されている電源にたとえた説明を始めた。止まることなく長期にわたって電力を生産する「ベースロード」電源に相当するのは、国家機関から一般家庭まで、場所や時期を限定せずに必ずといっていいほど発生する脅威だ。一方で、電力が不足した場合に供給する「ピークロード」電源に相当するのが、大規模イベントや外交など、時と場合によって増減があるもの、あるいは突如として発生する脅威だという。そして、最低限のセキュリティを把握したかったり、リスクに対する対応を検討したかったりするのであれば、まずはベースロードを知って欲しいとした。

 では、このベースロードにはどのようなものがあるのか。名和氏は、“サイバー攻撃の技術と手法”におけるものとして、次の3つを挙げた。

  1. 調達/窃取した認証情報の悪用
  2. 正規の更新機能を利用するマルウェア感染
  3. スクリプト実行環境を利用した不正挙動

 まず、1つ目である“調達・窃取した認証情報の悪用”について、「これは変化というよりは、積み重ねです」と名和氏は説明する。従来は、攻撃者がC2サーバー(C&Cサーバー:Command and Control server)経由で組織内に侵入させたマルウェアに対して、指示を送ったり別のマルウェアを追加したりすることが主だった。現在でも、こうした攻撃手法は続いている一方で、「悪意のあるスクリプト(マルスクリプト)」が増えているという。

 マルウェアは、本来組織内に存在しないはずの異質なものといえるが、マルスクリプトは最初から組織内にある正規のプログラムに、C2サーバー経由で不正な命令文を書き加える。こうした挙動はウイルス対策ソフトで検知することは難しい。

 2つ目に挙げられた「正規の更新機能を利用するマルウェア感染」は、マルウェアに感染させるための“手法の変化”だという。これまでは、人間の心理的な隙を狙うようなメールなどによりマルウェアに感染させようとしていた。現在でも感染経路の約9割がメールだといわれているが、WebサイトやUSBメモリなどのデバイスを感染経路とするものも存在するとした。

 たとえば、正規の更新機能、つまりソフトウェアの更新モジュールやWebブラウザの拡張機能がマルウェア化して感染するケースが増えており、“日常的”ともいえるくらいの感染経路になっているという。2018年には、米国ニュージャージー州の危機管理センターの職員が勝手にWebブラウザの拡張機能をインストールしたところ、悪意のある挙動が発生し業務に大きな影響を与えたという事件が発生している。

 そして3つ目の「調達・窃取した認証情報の悪用」では、攻撃者がユーザーの認証情報(IDとパスワード)を手に入れるための“手法の変化”が指摘された。以前から「キーロガー」や「フィッシング詐欺」は使われており、特にフィッシング詐欺については今でも多くの攻撃者が利用している。その一方で、前述したWebブラウザの拡張機能や、PCのメモリに最初から組み込まれているダンプツール、さらにはスマートフォンのアプリからも、情報は惜しげもなく取られていると名和氏は説明する。

 こうした手法は悪意のあるものだけではなく、ユーザーの同意を得て正規に取得しているものもある。そのプライバシーポリシーには、取得した認証情報や個人情報は外部に出さないというものもあれば、関連会社に共有すると書かれている場合もある。また、そのルールを破ったり、共有したパートナー会社がサイバー攻撃を受けたりすることで情報が漏えいしてしまうケースもみられるという。こうして取得された情報は、攻撃者のブラックマーケット(ダークウェブマーケット)で売られていくのだ。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 吉澤 亨史(ヨシザワ コウジ)

    元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

  • 関口 達朗(セキグチ タツロウ)

    フリーカメラマン 1985年生まれ。 東京工芸大学芸術学部写真学科卒業。大学卒業後、小学館スクウェア写真事業部入社。契約満期後、朝日新聞出版写真部にて 政治家、アーティストなどのポートレートを中心に、物イメージカットなどジャンルを問わず撮影。現在自然を愛するフリーカメラマンとして活動中。

バックナンバー

連載:Security Online Day 2021レポート

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5