サイバー攻撃は複雑化・巧妙化しているが、基本的にサイバー攻撃者の目的は企業が持つ機密情報や個人情報であり、企業に侵入したあとの行動にはあまり変化がない。変化しているのは侵入するための手口と場所である。今回は、最新のサイバー攻撃の特徴と手法、そして対策に必要な考え方を紹介する。

最新の攻撃事例に見る「狙われるポイント」

サイバー攻撃はコロナ禍においても継続しており、むしろフィッシング詐欺が急増するなど、活発化している状況にある。フィッシング攻撃は、IDとパスワードといったログイン情報を盗み出すための常套手段となっている印象がある。サイバー攻撃による情報漏えいやマルウェア感染の被害も引き続き多発している。いずれの攻撃もその手法に大きな変化はないものの、侵入口となるポイントは多岐にわたっている。

サイバー攻撃者が侵入するポイントは、コロナ禍への対応によるリモートワークの拡大により増えている。例えば、リモートワークで従業員が自宅などから企業の社内ネットワークにアクセスする際に使用される「VPN」を侵入口とするケースが増えた。これは、従業員のログイン情報をフィッシング詐欺により入手して、本人になりすましてアクセスするケースやVPN機器に存在する脆弱性を悪用して侵入するケースがある。

リモートワークとともに利用が増加しているクラウドサービスも、サイバー攻撃者から狙われるポイントとなっている。クラウドサービスも、なりすましによるアクセスのほか、管理者の設定ミスを見つけ出してアクセスするケースや、パブリッククラウド上に構築したシステムに侵入してパスワードを盗み出し、仮想環境をまるごと乗っ取ってしまう事例も確認されている。

企業での活用が進んでいるIoTデバイスも狙われるポイントだ。特に、2020年6月に明らかになった「Ripple20」と呼ばれる脆弱性群は、最悪の場合はサイバー攻撃者がIoTデバイスを乗っ取り自由に操作し、企業内への侵入口として悪用する可能性もある。該当するIoT機器はプリンターやルータ、ネットワークカメラをはじめ、産業用制御機器、医療機器、ソーラーパネル、エアコンにまで影響が広範に及び、世界で数百万台あるといわれている。

  • セキュリティベンダーであるJSOFが「Ripple20」に関する情報を公開しているWebページ

セキュリティにおけるブラインドスポットは70%に及ぶ

サイバー攻撃者がさまざまな侵入口から企業へのアクセスに成功すると、重要な情報が格納されているサーバなどを目指して社内ネットワークを横移動(ラテラルムーブメント)していく。その際、サイバー攻撃者は外部の「C&Cサーバ(コマンド&コントロールサーバ:C2)」を介してマルウェアに指示を送ったり、目的に応じたツールを追加でダウンロードさせたりする。

社内ネットワークで同じく狙われるのが、Active Directory(AD)のサーバだ。サイバー攻撃者はADサーバにアクセスし、最も高い権限である「特権ID」を取得する。これにより、アクセス制限のある重要な情報にもアクセスできるようになる。また、特権IDを取得することでサーバやドメイン配下のユーザー端末にランサムウェアを感染させることも可能になる。ランサムウェアによりデータを暗号化して使用できなくして、復号のために“身代金”を要求する。最近では、「身代金を支払わないと入手した顧客情報を公開する」と脅迫するケースもある。

このように、現在のサイバー攻撃は複雑化・巧妙化し、標的となる企業に気付かれないように活動する。多くの企業ではセキュリティ対策として、ファイアウォールやIPSをインターネットとの境界に設置し、エンドポイントにはEPP(ウイルス対策ソフト)やEDR(エンドポイントでの検知と対応)を導入している。またこれらのログを分析することで社内ネットワークの状況を把握し、脅威を検出しようとしている。

しかし、ログをもとに可視化できるのは企業全体の約30%にとどまる。企業のIT環境の70%は可視化できておらず、サイバー攻撃者はこうしたブラインドスポットで自由に動き回れる状況にあるのが現状だ。サイバー攻撃者は標的のシステムに潜伏して情報を収集したり、重要な情報にアクセスできるタイミングを待ったりするが、数年間にわたる潜伏が可能であることもブラインドスポットがあるためといえる。

  • 企業IT環境の70%は可視化できていない

働き方変革やクラウド普及に伴うアタックサーフェスの拡大

モバイルデバイス、Wi-Fi、クラウドサービスの普及によって、リモートワークに代表されるように場所を選ばず、業務を行うことが可能になった。また、IoTデバイスも加速度的に増加しており、これらのデバイスから得られるデータは企業のDX(デジタルトランスフォーメーション)にとって大きな推進力となる。

こうした状況は、一方でサイバー攻撃者が狙うエリア、いわゆる「アタックサーフェス」を拡大させてもいる。モバイルデバイスを標的とする不正アプリは検査をかいくぐって正規のアプリストアに登録されることが多く、フィッシング攻撃もパソコンからモバイルデバイスへと標的を移行しつつある。そして、モバイルデバイスから企業のシステムにアクセスすることも多いため、危険なものが企業のシステムに侵入する可能性も高い。

Wi-Fiに関しても、ホテルや喫茶店、空港などにサイバー攻撃者がWi-Fiルータを設置するケースがあり、知らずにアクセスしてしまって通信を傍受されたり、マルウェアサイトに誘導されたりすることがある。IoTデバイスに至っては「Mirai」などのIoTマルウェアに感染し、DDoS攻撃に加担させられてしまうリスクがある。さらには、前述の「Ripple20」などの脆弱性を悪用され、さらなる被害に遭うおそれもある。

このような現状で求められるのは、企業のIT環境で利用されるあらゆるデバイスや利用者のアクティビティをリアルタイムに可視化することで、その中から異常な振る舞いを特定することでリスクを軽減する考え方である。可視化することで、サイバーハイジーンの観点から常にネットワークの健全性を維持するだけでなく、内部ネットワークに潜むサイバー攻撃者のアクティビティををリアルタイムで検知し、素早い対処が行えるようになる。そこで有効な対策となるのがネットワークの脅威検知とレスポンスを実現する「NDR(Network Detection and Response)」である。次回は、NDRについて解説する。

  • サイバーハイジーンを実現するには100%の可視化が必要

著者プロフィール

ExtraHop Networks(エクストラホップ・ネットワークス)カントリーマネージャー

福山 貴也(ふくやま たかや)

サイバーセキュリティ業界において15 年以上にわたり、大手の日系企業に対するセキュリティソリューションの啓蒙・営業活動に従事する。直近ではファイア・アイ株式会社とメンロー・セキュリティ株式会社の日本事業の立ち上げ、およびエンタープライズ営業本部、金融営業本部の上級職を歴任。2020 年4 月、ExtraHop Networksの日本進出にともない、日本ビジネスの総責任者としてExtraHop Networks Japan の立ち上げ、および日本国内のパートナービジネスの強化に従事。大手企業へのNDR ソリューションの啓発活動など、日本における事業全般の成長戦略を担う。