サイバー攻撃の被害を最小限にするために採るべき対策とは

2月13日、ウェビナー「TECH+セミナー FOCUS+ 2025 Spring. セキュリティ対策の最重要課題『特権ID・パスワード管理』の強化について」が開催された。

基調講演では、トライコーダ代表取締役上野宣氏が「攻撃者視点でえぐるパスワードと特権ID管理の盲点」と題し、攻撃者視点で企業が陥りやすいパスワードや特権ID管理、不正な権限昇格の盲点を解説。ペネトレーションテストで得たノウハウに基づく防御策を話した。

ペネトレーションテストとは

ペネトレーションテストは、組織が実施しているセキュリティ対策の効果や見逃されている対策、見当違いの対策を炙り出したいときに実施するテストで、組織やシステムのセキュリティ総合力を確かめるものだ。基本的には、攻撃者と同じ立場でどこまでできるかを調査していくという。

ペネトレーションテストで、実際に攻撃を仕掛けて情報が盗めるかを確認する。テストでは会社の重要サーバに侵入して機密情報にアクセスする、情報を盗むといったゴールを設定し、あらゆる手段で目的達成を目指していくそうだ。

ペネトレーションテストの概要

攻撃者はどのように行動するのか

上野氏によれば、攻撃者は明確な意図や目的を持っており、犯罪組織や国家の命令を受けて攻撃を実施してくることもあり、攻撃が数カ月、場合によっては数年単位になることもあるという。

攻撃の種類としては、どの組織を狙うのかを決めて行う標的型攻撃や、目的となる企業攻略のために関連会社や取引先を狙うサプライチェーン攻撃のほか、ターゲット企業が利用しているクラウドサービスやリモートワーク環境を攻撃対象とすることもある。

「うちの会社は、小さいからあまり狙われることがないと思うことがあるかもしれませんが、そういったところでも、サプライチェーン攻撃の一環で攻撃される、単に踏み台されることもあるので、自分たちは攻撃対象にはならないと思わないほうが良いでしょう」（上野氏）

標的型攻撃の攻撃手順

標的型攻撃の侵入手順として「Cyber Kill Chain（サイバーキルチェーン）」があり、８つの手順で攻撃が行われるという。

標的型攻撃の侵入手順

最初にターゲットを決める「対象選定」があり、次に「偵察」という攻撃対象についての情報収集を行う。偵察にはネットワークやシステム情報といったハード情報のほか、効率的に攻撃するために、誰が情報を持っているのかを知るための組織に関するソフト情報もある。

3番目の手順は「武器化」という脆弱性調査やその脆弱性に合わせて攻撃コードを作成するものだ。また、遠隔操作を行うツールを送り込むこともあり、そのためにサーバを用意したり、ドメインを取ったり、証明書を用意するなど攻撃基盤の準備を行う。

4番目が「配送」で、サーバにツールを送ったり、標的型メール、ウェブサーバならSQLインジェクションを行ったり、ターゲットの組織が普段訪れるサイトに罠を仕掛けるといったことを行う。

5番目が「攻撃」で、実行権限を奪取し、独自のコードなどを実行する段階だ。6番目が「インストールであり、RAT（Remote Access Trojan）と呼ばれる遠隔操作ツールやバックドアをインストールする。これは、攻撃を持続していくための行動となる。

7番目は「C&C（コマンド&コントロール）」で、通信するサーバが外にあったとしても、攻撃端末に外から通信ができるような仕組みを構築する。

そして8番目が「目的の実行」だ。これは、最初に侵入した端末を乗っ取るなど短期的な目的である場合だけでなく、最終的なゴール向けた準備段階にもなる可能性があるという。

「攻撃は1回で終わるわけではなく、8までいって最初の端末を征服したら、また別の端末を攻撃して、偵察してという行動を繰り返します。このパターンをCyber Kill Chainと言います」（上野氏）

Cyber Kill Chainを知ることで、ターゲットをどのように定め、どういったツールを使うのか、攻撃者が次に何をしてくるのかなど、攻撃者の考えや行動を把握でき、自分たちの組織であればどういったものを守るべきかを判断し、実施すべき対策の優先順位付けができるという。

具体的にどういった攻撃の手法を使うのかについては、MITRE ATT＆CKという体系的にまとめたデータベースがあり、自社はこの攻撃に対して大丈夫なのか、サーバはこの攻撃に対して耐性があるのかといったことを確認することができるそうだ。

攻撃者はどこから侵入してくるのか

では、攻撃者はどこから侵入してくるのか。上野氏によれば、最近の主な侵入の経路としてはVPNがあるという。VPN端末自体の脆弱性を利用したり、VPNアカウントが漏えいしていると、それを経由してVPNに接続し、社内ネットワークに入ってきたりする。

他にもリモートデスクトップやSSHが適切にアクセス制限されていない場合、攻撃者でも外部からネットワークに接続が可能になっている場合もある。

また、メールで従業員にマルウェアを送りつけ、それを動かしてC＆Cサーバ経由で遠隔操作を行うということもある。

忘れがちなのが内部犯行で、従業員が悪意を持って行うということもないわけではない。

特権はゴールへの最短ルート

OSレベルのアドミニストレーターやroot、ドメインの管理者などの管理者アカウントである特権IDの取得は、攻撃者が目標を達成するための最短ルートであり、狙われることが多い。

「強いパスワードにすれば解決というわけではなく、結局、パスワードが雑に管理されていることが問題になります。使い回されたもの、定期変更ルールが形骸化したものや、共有アカウントのパスワードをExcelに手順書として書いているといった問題が見つかることがあります」（上野氏）

侵入後の行動

攻撃者の労力としては、初期侵入が約2割、その後の行動が約8割なので、初期侵入を発見し、その後に「何をどうやって対策していくのかが非常に重要」だと上野氏は言う。

初期侵入は、RATと呼ばれる遠隔操作を行うマルウェアを仕掛けることが目標の1つになることがあり、内部侵入を拡大するための調査ツール、攻撃ツールは特殊なものではではなく、オープンソースで公開されているものを使うという。

ほかにも、LoLBaS（Living Off The Land Binaries and Scripts）攻撃というOSの標準ツールを利用した攻撃もある。この攻撃で使用されるのは標準ツールのため、正規のユーザーの行動なのか、攻撃者の行動なのか判断が難しい。

こういった調査を実施後、権限昇格という特権IDになるための行動や、水平展開として、他の端末に侵入を行う。ドメインコントローラーで管理している場合は、それを掌握して自由行動ができるようにしていく。

端末やネットワークの調査は、Windowsの標準的なコマンドであるPowerShellやWMIと呼ばれるものを使ってホストやオフィスの情報などを調べ、Netstatといったツールを使ってネットワークの構造や使用しているポートやプロトコルを調査していくという。

アカウント情報の収集も重要で、これもPowerShellなどでアカウントの情報や、どうしたら管理者権限になれるのかを調査する。ドメインコントローラーで管理されているアカウントや権限の関係性を洗い出すBloodHoundというツールもあり、ドメインアドミニストレーターになるために、何をすれば良いのかを調査できるそうだ。

アクセス制御を回避するためによく使われるMimkatzというツールなどを利用して、別のユーザーの既存のトークンを複製して偽造するアクセストークン操作や、メモリー上にあるハッシュやパスワードのより高い権限の資格情報を入手するクレデンシャルダンプという手法もある。

水平展開には、新たな踏み台を探す、RATが停止したときの予備の端末を用意しておくなどの目的があり、PSExec、WinRM、RDP、SSHなどのリモートサービスを使って、端末にアクセスする。

また、Windowsの管理共有を使ってリモート端末の管理権限を奪取することや、ドメインコントローラーがある場合は、DCSync、Mimikatsなどを使ってActive Directoryのデータを取得して、ドメイン管理者権限を奪っていくこともある。

会社によっては、キッティングのために全端末の管理者パスワードを同じにすることがあり、この場合1つの端末のローカル管理者が分かってしまうと、他の端末も軒並みにやられてしまうため、さらに危険が増す。