2014年7月から「間違いだらけのサイバー攻撃対策」の連載を開始しました。この連載では、サイバー攻撃に対抗するために情報システムのセキュリティを高め、その維持に役立つ情報を発信することを目標に、効果的な対策のための考え方を中心に解説させていただきました。しかし、残念ながらその後も大規模な情報流出を中心としたセキュリティインシデントは繰り返し発生しています。まったく未知の手口で出た被害であるならば、やむを得ないかもしれません。しかし、多くのセキュリティ専門家や情報セキュリティ対策の向上に取り組んでいる機関が"すでに注意喚起している弱点”を突かれ、攻撃の成功を許しているケースが少なくありません。そこで、今回の連載「間違いだらけのクライアント・セキュリティ対策」でもその重要なポイントは繰り返しお伝えするとともに、より具体的な対策・方法についても解説していきます。
「1425%」という数字の衝撃
この数字が意味するものは何だと思いますか?これはサイバー攻撃者側のROI(Return On Investment)、つまり投資対効果を示す数字です(参考記事:Trustwave)。700円ばかりの投資をすれば1万円のリターンがあるという計算になります。なぜ、このような高い効率を許してしまうのでしょうか。
サイバー攻撃を仕掛けようとする攻撃者側のマルウェア開発の効率があがり、攻撃手法そのものが洗練されてきたことが原因になっていることは想像に難くないですが、「守る側の弱点」がどこもほぼ似たような状況があることも原因ではないでしょうか。この推測が正しいとすれば、攻撃者にすれば「こんなおいしい環境はない」、まさに"うま味たっぷり"の環境が民間企業や公共機関にあることになります。
そのため1425%もの数字*を上げていると推測します。そして、これが前述のように専門家がすでに注意喚起している弱点を放置していることにより招いた結果だとすれば、よく言われる「サイバー攻撃はもう防ぎきれない」という結論を出す前に、やることがたくさんある段階と言わざるを得ません。
*1425%という数字は、「ランサムウェア」と呼ばれる身代金を要求する悪意のあるソフトウェアで攻撃をしかける場合、それに必要な準備コストや運用コストと、攻撃が成功した場合に得られるであろう金額から算出された数字です。そのため、すべてのサイバー攻撃で同様の数字を達成することを意味していませんが、サイバー攻撃の犯罪者側の投資対効果が高いことを示す具体的な数字と言えるでしょう。
従来型攻撃と標的型攻撃の違い
それでは、従来型攻撃と標的型攻撃の違いは何でしょうか。
標的型攻撃の特徴は、クライアント端末を起点に攻撃が開始され、それが成功すると他の端末にも感染が拡大し、最後は認証サーバー、多くはActive Directoryの管理者権限を奪われ、ドメイン内のサーバーやクライアントPCの制御が奪われることです(下図)。
[クリックすると図が拡大します]
2014年12月19日に、JPCERTコーディネーションセンター(JPCERT/CC)からも「Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起」が出されました。クライアント起点という表現こそありませんが、攻撃者の狙いが管理者アカウントであることが繰り返し解説されています。
この記事は参考になりましたか?
- 間違いだらけのクライアント・セキュリティ対策連載記事一覧
- この記事の著者
-
香山 哲司(カヤマ サトシ)
ジーブレイン株式会社 コンサルティング事業部 シニアコンサルタント 2001年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社、エンタープライズサービス部門に所属。主にインフラ領域のITコンサルティングに従事。電力・ガス会社、また政令指定都市向けの大規模環境における認証基盤やス...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
