制御を奪われないための"基本中の基本"の再確認
これまでの連載でも、攻撃者の狙いは管理者権限を奪うことであり、その攻撃の最初の起点としてクライアント端末の弱点を狙ってくることを繰り返し解説しました。
そして、初期の攻撃が成功すると、多数のクライアント端末間を、いわば”カニ歩き”のように横方向に攻撃を仕掛け、何台ものクライアント端末がマルウェアに感染していきます。その攻撃が進む過程で、重要なサーバーの運用操作をしている端末にも攻撃がおよび、そのサーバーの制御を奪います。その結果、「攻撃者が悪意のあるシステム管理者として成り済ませる状態」になるのです。あとは攻撃者の狙いに応じた不正が行われます。
こうした攻撃を俯瞰すると、攻撃の起点となり被害拡大する原因になっているクライアント端末自身の弱点を強化することが効果的です。
「制御を奪われる」とは、IT環境においてまさにアクセス制御を奪われることと読み替えてよいでしょう。
アクセス制御は、通常「1.識別(Identification)→2.認証(Authentication)→3.認可(Authorization)」の3つの要素のステップにより実現されます。
1. 識別
ユーザーを識別できるようにそれぞれに固有のユーザーアカウント(ID)を割り当てます。例えば社員番号やメールアドレスなどがその例になります。
2. 認証
そのユーザーが本当に本人であることを確認する。現在の一般的な運用では、そのユーザーしか知りえないパスワードによる認証が中心です。
3. 認可
そのユーザーの属性に応じてアクセスできる範囲を確認する。たとえば、人事部のみアクセスできるファイルやフォルダーには人事部のユーザーだけがアクセスできるようにすることなどです。
