このキーワード
友達に教える
URLをコピー

サイバーセキュリティとは?

サイバーセキュリティ(: cyber security)は、サイバー領域に関するセキュリティを指す。

目次

  • 1 概要
  • 2 定義
    • 2.1 ISO/IEC 27032:2012の定義
    • 2.2 サイバーセキュリティ基本法の定義
  • 3 攻撃者
    • 3.1 種類・攻撃の目的
    • 3.2 サイバー犯罪の産業化
    • 3.3 国家が関与する攻撃
  • 4 標的型攻撃・APT攻撃
    • 4.1 サイバーキルチェーン
      • 4.1.1 類似のモデル
    • 4.2 準備ステージ
    • 4.3 偵察ステージ
    • 4.4 武器化ステージ
    • 4.5 配送ステージ、攻撃ステージ、インストールステージ
      • 4.5.1 マルウェア配送手法
      • 4.5.2 標的型メール
      • 4.5.3 マルウェア配布ネットワーク
      • 4.5.4 バナーチェック・ブラウザフィンガープリンティング
      • 4.5.5 エクスプロイトキット
      • 4.5.6 クローキング
      • 4.5.7 リモートエクスプロイトの実行
    • 4.6 遠隔操作ステージ
      • 4.6.1 永続化
      • 4.6.2 その他の特徴
    • 4.7 横断的侵害ステージ
      • 4.7.1 ラテラルムーブメントの手法
    • 4.8 目的実行ステージ
    • 4.9 再侵入ステージ
  • 5 それ以外の攻撃
    • 5.1 主に金銭を目的とした攻撃
      • 5.1.1 フィッシング関連
      • 5.1.2 ビジネスメール詐欺
      • 5.1.3 ワンクリック詐欺
      • 5.1.4 不正送金ウィルス
      • 5.1.5 ランサムウェア、スケアウェア、ローグウェア
    • 5.2 DoS攻撃
      • 5.2.1 DDoS攻撃
    • 5.3 ボットネット
      • 5.3.1 Fast Flux手法
      • 5.3.2 Domain Flux手法
  • 6 攻撃・ペネトレーションテストで使われる手法やツール
    • 6.1 ペネトレーションテスト用OS
    • 6.2 意図的に脆弱に作られたツール
    • 6.3 攻撃対象の情報収集
      • 6.3.1 スキャナ
      • 6.3.2 スニッファ
      • 6.3.3 ソーシャル・エンジニアリング
    • 6.4 パスワードクラッキング
      • 6.4.1 パスワードリスト攻撃
      • 6.4.2 Pass the hash攻撃
    • 6.5 Metasploit
    • 6.6 脆弱性検査ツール
    • 6.7 横断的侵害を行うためのツール
    • 6.8 その他・複数機能を持つツール
    • 6.9 攻撃・ペネトレーションテストに利用できるサイト
      • 6.9.1 SHODANとCensys
    • 6.10 ツール一覧
  • 7 攻撃への対策のフレームワークや考え方
    • 7.1 サイバーセキュリティフレームワーク
      • 7.1.1 特定
        • 7.1.1.1 組織の置かれた状況の特定
        • 7.1.1.2 守るべき資産とそのリスクの特定
      • 7.1.2 防御
        • 7.1.2.1 脆弱性管理による防御
        • 7.1.2.2 ID管理とアクセス制御による防御
        • 7.1.2.3 システム開発時の防御
        • 7.1.2.4 意識向上やトレーニングによる防御
        • 7.1.2.5 データの防御
        • 7.1.2.6 保守運用作業における防御
        • 7.1.2.7 その他の防御方法
      • 7.1.3 検知
      • 7.1.4 対応
      • 7.1.5 復旧
    • 7.2 開発ライフサイクルにおけるセキュリティ確保
      • 7.2.1 カオスエンジニアリング
      • 7.2.2 サプライチェーンにおけるセキュリティ確保
    • 7.3 多層防御
      • 7.3.1 入口対策、内部対策、出口対策
    • 7.4 サイバーレジリエンス
    • 7.5 セキュアなネットワーク構成
      • 7.5.1 非武装地帯 (DMZ)
      • 7.5.2 マイクロセグメンテーション
      • 7.5.3 ゼロトラスト
      • 7.5.4 アクティブディフェンス
      • 7.5.5 Moving Target Defense
  • 8 優先的に対策すべき箇所
    • 8.1 CISコントロール
    • 8.2 OWASP Top 10
    • 8.3 Strategies to Mitigate Cyber Security Incidents
  • 9 脆弱性診断とその関連
    • 9.1 ソースコードセキュリティ検査
    • 9.2 ファジング
    • 9.3 システムセキュリティ検査
    • 9.4 ウェブアプリケーションセキュリティ検査
    • 9.5 ペネトレーションテスト
    • 9.6 レッドチーム
    • 9.7 その他の診断
  • 10 脆弱性ハンドリングと脆弱性管理
    • 10.1 脆弱性ハンドリング
      • 10.1.1 脆弱性ハンドリングの標準・ガイドライン
      • 10.1.2 ソフトウェア製品の脆弱性に対するハンドリング手順
      • 10.1.3 ウェブサイトの脆弱性に対するハンドリング手順
    • 10.2 脆弱性に関する情報源
      • 10.2.1 脆弱性情報データベース
      • 10.2.2 ベンダアドバイザリ
      • 10.2.3 注意喚起サイト
      • 10.2.4 攻撃コードデータベース
    • 10.3 脆弱性評価に関する指標
      • 10.3.1 Security Content Automation Protocol(SCAP)
      • 10.3.2 その他の指標
    • 10.4 脆弱性管理
  • 11 セキュリティ対策技術
    • 11.1 境界防御・サーバ防御技術
      • 11.1.1 ファイヤーウォール
      • 11.1.2 IDS/IPS
      • 11.1.3 WAF
      • 11.1.4 メールフィルタリング・URLフィルタリング
      • 11.1.5 Web レビュテーション
    • 11.2 エンドポイント対策技術
      • 11.2.1 EDR
      • 11.2.2 リモートブラウザ
    • 11.3 情報漏えい対策技術
      • 11.3.1 DLP
    • 11.4 その他の技術
      • 11.4.1 検疫ネットワーク
      • 11.4.2 UBA、UEBA
      • 11.4.3 CASB
      • 11.4.4 ハニーポットとサイバーデセプション
      • 11.4.5 サンドボックス
      • 11.4.6 SOAR
      • 11.4.7 Breach & Attack Simulation (BAS)
    • 11.5 サイバーキルチェーンとの対応
    • 11.6 主なセキュリティツール・サービスの一覧
  • 12 APT対策
    • 12.1 APT対策のためのシステム設計
      • 12.1.1 コネクトバック通信対策
      • 12.1.2 ラテラルムーブメント対策
      • 12.1.3 権限昇格対策
    • 12.2 攻撃の検知と把握
      • 12.2.1 インディケータ
      • 12.2.2 プロファイルの作成
      • 12.2.3 攻撃の予測
    • 12.3 インシデント対応における調査
      • 12.3.1 感染頻出箇所の調査
      • 12.3.2 永続化の痕跡の調査
      • 12.3.3 実行痕跡の調査
      • 12.3.4 外部通信の調査
  • 13 脅威インテリジェンス
    • 13.1 脅威インテリジェンスサービス
    • 13.2 STIX
    • 13.3 TAXII
  • 14 CISO
  • 15 SOCとCSIRT
    • 15.1 業務内容と対応組織
    • 15.2 種別
    • 15.3 関連組織
    • 15.4 リアルタイムアナリシス
    • 15.5 インシデントハンドリング
      • 15.5.1 検知/連絡受付
      • 15.5.2 トリアージ
      • 15.5.3 インシデントレスポンス
      • 15.5.4 報告/情報公開
    • 15.6 ディープアナリシス
    • 15.7 全般的な運営
      • 15.7.1 方針策定
      • 15.7.2 全般的な運用業務
    • 15.8 その他の業務
      • 15.8.1 資産管理
      • 15.8.2 脆弱性管理・対応
      • 15.8.3 情報収集・注意喚起
      • 15.8.4 予行演習・社員教育・普及啓発等
      • 15.8.5 内部統制支援
      • 15.8.6 社内外の組織との連携
    • 15.9 PSIRT
  • 16 制御システム・IoT機器のセキュリティ
    • 16.1 制御システムのセキュリティ
      • 16.1.1 制御システムの特徴
      • 16.1.2 CSMS
      • 16.1.3 一方向性ゲートウェイ
      • 16.1.4 アプリケーションホワイトリスト
    • 16.2 IoT機器のセキュリティ
  • 17 日本国のサイバーセキュリティ推進体制
    • 17.1 サイバーセキュリティ基本法
    • 17.2 サイバーセキュリティ戦略本部と内閣サイバーセキュリティセンター
    • 17.3 サイバーセキュリティ協議会
    • 17.4 サイバーセキュリティ戦略
    • 17.5 政府統一基準
    • 17.6 GSOC
    • 17.7 情報セキュリティー緊急支援チーム(CYMAT)
    • 17.8 政府共通プラットフォーム
    • 17.9 防衛省の施策・活動
    • 17.10 警察庁の施策・活動
      • 17.10.1 サイバーフォース
      • 17.10.2 @police
      • 17.10.3 日本サイバー 犯罪対策センター(JC3)
    • 17.11 情報処理推進機構(IPA)の施策・活動
      • 17.11.1 標的型サイバー攻撃対策
      • 17.11.2 認証・評価
      • 17.11.3 その他の施策・活動
    • 17.12 情報通信研究機構(NICT)の施策・活動
      • 17.12.1 ナショナルサイバートレーニングセンター
    • 17.13 産業総合研究所の施策・活動
    • 17.14 国際連携
  • 18 米国のサイバーセキュリティ推進体制
    • 18.1 全般
      • 18.1.1 サイバーセキュリティ調整官(Cybersecurity Coordinator)
      • 18.1.2 FISMA
      • 18.1.3 アメリカサイバー軍
    • 18.2 国家情報長官オフィス(ODNI)とその関連組織
      • 18.2.1 国家情報長官
      • 18.2.2 サイバー脅威情報統合センター(CTIIC)
    • 18.3 アメリカ国防総省(DoD)とその関連組織
      • 18.3.1 アメリカ国家安全保障局(NSA)
    • 18.4 DHSとその関連組織
      • 18.4.1 アメリカ合衆国国土安全保障省(DHS)
      • 18.4.2 サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)
      • 18.4.3 国家サイバーセキュリティ通信総合センター(NCCIC)
      • 18.4.4 Automated Indicator Sharing(AIS)
    • 18.5 NISTとその関連組織
      • 18.5.1 アメリカ国立標準技術研究所(NIST)
      • 18.5.2 官民連携R&Dセンター(NCCoE)
    • 18.6 FBIとその関連組織
      • 18.6.1 連邦捜査局(FBI)
      • 18.6.2 NCFTA
      • 18.6.3 その他の関連組織
  • 19 その他諸外国のサイバーセキュリティ推進体制
    • 19.1 EU
      • 19.1.1 EU一般データ保護規則(GDPR)
      • 19.1.2 European Data Protection Board(EDPB)
      • 19.1.3 欧州ネットワーク・情報セキュリティ機関(ENISA)
    • 19.2 中国
    • 19.3 イギリス
    • 19.4 イスラエル
  • 20 民間団体・業界団体等
    • 20.1 ISAC
    • 20.2 ISAO
    • 20.3 JNSAとその関連団体
      • 20.3.1 日本ネットワークセキュリティ協会(JNSA)
      • 20.3.2 日本セキュリティオペレーション事業者協議会(ISOG-J)
      • 20.3.3 情報セキュリティ教育事業者連絡会(ISEPA)
      • 20.3.4 日本トラストテクノロジー協議会(JT2A)
    • 20.4 その他の日本の団体
      • 20.4.1 日本情報経済社会推進協会(JIPDEC)
      • 20.4.2 技術研究組合制御システムセキュリティセンター(CSSC)
      • 20.4.3 重要生活機器連携セキュリティ協議会(CCDS)
    • 20.5 業界団体
      • 20.5.1 Cyber Threat Alliance
  • 21 脚注
  • 22 参考文献
  • 23 関連項目
  • 24 外部リンク

概要

サイバーセキュリティはサイバー領域のセキュリティを指し、その定義は論者によって異なるものの(後述)、この言葉は2010年ころから情報セキュリティに変わるバズワード的な語として用いられるようになった。この言葉が登場した2010年頃はセキュリティにとってのターニングポイントになっており、2010年のスタックスネットの事案や2011の三菱重工の事案からもわかるように、ターニングポイント以降、以下の問題が顕在化した:

こうした背景のもと、サイバー領域は2011年以降、米国の安全保障において陸・海・空・宇宙に次ぐ第五の領域とみなされており、日本においても2013年の「国家安全保障戦略」でサイバー空間への防護が国家戦略に盛り込まれるなど、サイバーセキュリティは国際政治・安全保障の問題として扱われるようになっている。このためサイバー空間の問題は、「単に技術的観点のみならず国際政治、市場権益(国際公共財)、知的財産、安全保障、軍事作戦、国の危機管理体制などの各分野に跨る問題の側面を合わせ持っている」。

一方、企業などの組織体にとってサイバーセキュリティ対策や情報セキュリティ対策は、企業などの組織の事業における(情報)セキュリティリスクを低減する事を主な目的とする。組織は災害リスク、事業環境リスク、戦略リスク、財務リスク、事故・故障リスク、情報セキュリティリスク、犯罪リスク、労務リスク、事業運営上のリスクといった様々なビジネスリスクを抱えており、情報セキュリティリスクはそれらビジネスリスクの一つに過ぎない。よって組織のセキュリティを担保するには、組織の経営への影響を加味した上で、ビジネス全体のリスク項目に基づき、網羅性と合理性を検討する必要がある。したがって経営という観点から見た場合、企業戦略として、サイバーセキュリティリスクを加味してどの程度のセキュリティ投資を行うかは経営判断になる。またサイバーセキュリティに関するガイドラインを策定するときは、リスク管理規程、危機管理規程、事業継続計画、IT-BCPといった既存のガイドラインと整合を取る必要がある。

企業はサイバーセキュリティ対策のため、SOCCSIRTなどのセキュリティ対応組織をおく事があり、こうした組織の主な仕事は以下の2点に集約される:

ここでインシデントとは直訳すれば「事件」であるが、サイバーセキュリティの文脈では、サイバー領域において組織を脅かす不正な行為全般を指す用語である(より厳密な定義はインシデントの項目参照)。

サイバーセキュリティでも情報セキュリティのCIA、すなわち下記の3つは重視される

しかし制御システムのセキュリティでは重要度がC、I、Aの順番ではなく、A、I、Cの順番である。また以下のHSEの3つも重視される

定義

2018年現在、サイバーセキュリティの定義は論者により異なる。両極端の見解としては

がある。

ISO/IEC 27032:2012の定義

サイバーセキュリティに関する情報セキュリティマネジメントシステムを規定したISO/IEC 27032:2012では、

preservation of confidentiality, integrity and availability of information in the Cyberspace
サイバー空間において機密性、完全性、可用性の確保を目指すもの — ISO/IEC 27032:2012

とサイバーセキュリティを狭義に定義し、サイバー空間については

the complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form
人間、ソフトウェア、およびテクノロジーデバイスやそれに接続するネットワークを用いたインターネット上のサービスのやりとり(interaction)の結果として生じる複雑な環境で、いかなる物理的形態も存在しないもの — ISO/IEC 27032:2012

と定義している。

この標準を規定したISO/IEC JTC 1/SC 27委員会はこの定義の改定を試みており、2017年に行われた会合では事前に9通りの定義案が提出された上でその定義が議論されたが、多様な理解が存在する実態を踏まえ、定義の決定を見送っている。

サイバーセキュリティ基本法の定義

サイバーセキュリティ基本法第二条では以下のように定義される:

「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む)が講じられ、その状態が適切に維持管理されていることをいう。 — サイバーセキュリティ基本法 平成二十八年四月二十二日公布(平成二十八年法律第三十一号)改正”. e-Gov. 2018年9月10日閲覧。

攻撃者

ハッカーグループ」も参照

種類・攻撃の目的

攻撃者の種類と攻撃の目的は以下のように分類可能である:

自己満足・信念 経済的利益 信仰・国防
国家 |  |  |  | 国家危機管理
 | サイバーインテリジェンス
組織 |  | サイバー犯罪
 |  | サイバーテロ
集団 | ハクティビズム

ネット被害

 | 
個人 | 
興味本位 | 

経済的利益に関するものは被害が顕在化しやすいのに対し、信仰・国防に関するものは被害が顕在化しにくいという特徴がある。

サイバー犯罪の産業化

サイバー犯罪は組織化・分業化が行われ、サイバー犯罪市場では、マルウェアなどの作成者や、マルウェアを遠隔操作するためのプラットフォームの提供業者、マネーロンダリングなどを担当する犯罪組織などによりビジネス化されている。Ransomware as a Serviceなどのようにサイバー攻撃のプラットフォームも作られ、アフィリエイトモデルのような攻撃者のヒエラルキーもできている。

こうした犯罪ツールや犯罪サービスはダークウェブ上にあるダークネット・マーケットなどで取引されており、仮想通貨などを利用して決済されている。提供されているものとしては例えば金融機関と銀行へのサイバー犯罪とハッキングサービス、インターネット規模のDNSを使用したDRDoS攻撃 などがある。

なお、この活動を監視しようとする試みが様々な政府や民間団体を通じて行われており、使用されるツールの調査は『Procedia Computer Science journal』で見つけることができる。

国家が関与する攻撃

APT(後述)のような高度な攻撃は、国家の関与が疑われるものも多い。Mandiant社(買収後は買収元であるFireEye)は同一組織によると思われるAPTに対してAPT1、APT2、…と番号をつけており、攻撃組織に関与している事が疑われる国家を推定している。

欧米でも国家が関与したハッキング行為が行われている:

標的型攻撃・APT攻撃

詳細は「標的型攻撃」および「APT攻撃」を参照

標的型攻撃は、2010年ころからサイバーセキュリティにおいてトレンドとなった攻撃手法で、それ以前の不特定多数を狙った攻撃と違い、特定の組織、人、これらの持つ重要情報等を標的とした攻撃である。したがって攻撃の標的となる組織固有の情報(組織構成、事業内容、システム構成等)を事前に入手し、これを利用して攻撃を仕掛ける事も多い。

APTは標的型攻撃の一種に分類される事が多い攻撃形態の一分類であり、「先進的で(Advanced)」「執拗な(Persistent)」「脅威(Threat)」を指す 。その特徴は「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続する」ことである。想定される攻撃者としては国家スパイ、産業スパイ、犯罪組織、競合他社、ハクティビスト、国家が後押しする団体などがある。

またAPTでは明確な長期目標に基づく作戦行動のような活動が見られ、このような作戦活動を攻撃キャンペーンという。また攻撃キャンペーンは複数個の「一連の攻撃行動(オペレーション)」に分割できる。

サイバーキルチェーン

Intrusion kill chain for information security

サイバーキルチェーンは、攻撃者がAPT攻撃をはじめとしたサイバー攻撃を行う上でのステージを明確化したものであり、ロッキード・マーティンの研究者が2011年に発表した。

サイバーキルチェーンでは攻撃には以下のステージがあるとする:

ステージ

(日本語)

ステージ

(英語)

説明
偵察 | Reconnaissance | ターゲットを選定し、選定されたターゲット調査する。
武器化 | Weaponization | エクスプロイトバックドアを組み合わせて配送可能なペイロードを作成
配送 | Delivery | eメール、ウェブサイト、USB等を利用してターゲットにマルウェアを配送
攻撃 | Exploitation | ターゲットのシステムで脆弱性を悪用したコードを実行
インストール | Installation | ターゲットの資産にマルウェアをインストール
遠隔操作 | Command and Control | コマンド&コントロール(C&C)サーバへのチャネルを確立
目的実行 | Actions on Objective | 重要情報を持ち出すなど、目的を遂げる。

なお、「攻撃」と「インストール」をセットにし、最後に潜伏維持(Maintenance)を付け加えるバージョンもある。

類似のモデル

サイバーキルチェーンと同様、攻撃者の行動をモデル化したものとして以下がある:

提案者・名称 ステージ
Mandiant社の「M-Trend」モデル | Reconnaissance(偵察)、Initial Intrusion into the network(侵入)、Establish a Backdoor into the network(遠隔制御)、Obtain user Credentials(権限取得)、Install Various utilities(インストール)、Privilege escalation/Lateral Movement/Data Exfiltration(実行)、Maintain Persistence(潜伏)
IPAのモデル | 計画立案、攻撃準備、初期潜入、基盤構築、内部調査、目的遂行、再潜入
JPCERT/CCのモデル | 準備、潜入、横断的侵害、活動
トレンドマイクロのモデル | 偵察、スキャン、アクセス権の獲得、アクセス権の維持/引き上げ、窃盗、証拠隠滅
事前調査、初期潜入、C&C通信、情報探索、情報集約、情報送出

以下、サイバーキルチェーンに従って攻撃のステージを説明する。ただし必要に応じて前節で述べた他のモデルも参照したので、「準備ステージ」のようにサイバーキルチェーンにはないステージも書かれている。またサイバーキルチェーンと内容が重複する部分に関しては、上述のモデルを適時サイバーキルチェーンに読み替え、該当箇所の解説に加えた。

準備ステージ

サイバーキルチェーンにはないがJPCERT/CCのモデルには記載されているステージ。

攻撃者は実際の所在地や目的を把握されないよう、グローバル規模の分散型インフラをハッキング等により構築する。このインフラには情報収集システム、電子メールシステム、ツールやマルウェアの保存用レポジトリ、C&Cサーバ、情報の引き出しに使うサーバ、外部クラウドサーバなどが含まれる。場合によっては攻撃者が自分で攻撃用にドメインを取得する事もあるので、ドメイン名はAPTの重要なインディケータ(APT関連のデータや情報を選り分けるため指標)になる。

攻撃者はその攻撃元が特定されないよう、頻繁に攻撃拠点を変える。また分散型のインフラにする事で攻撃の全容をつかみにくくする。攻撃者は犯罪用に匿名化された防弾ホスティングサーバなどの身元が割れにくいサービスを利用する事もある。

このインフラ網を構築するにあたり、攻撃者は法令を逆手に取る事があり、例えば米国や欧州では国家が国民の個人情報やトラフィック情報を収集するのが禁止されている事を逆手に取り、米国や欧州の国民のマシンを拠点にしたり、そうしたマシンからデータを送信したりする。

攻撃者はこうしたインフラ等、攻撃に必要な構成要素の動作を確認するため、テストラン(検証のための試験的な攻撃)を実施する場合があるので、その際のIPアドレスやドメイン名を特定できればこれらをインディケータとして使う事ができる。

偵察ステージ

攻撃者は偵察ステージで従業員の情報やe-メールアドレスを収集したり、プレスリリース、契約発注などから企業情報を収集したり、企業がインターネットに公開しているサーバを特定したりする。攻撃者は標的組織に侵入する前に、まず標的組織の関連組織に攻撃を行ってメールアドレスなどの情報収集を行う事もある。

さらに攻撃者は標的型メール(後述)等に利用可能なpdfやdocファイル等を収集する。攻撃者は攻撃用のサイトでIEのresプロトコルを使ったリンクをユーザにクリックさせる事で、ユーザが利用しているソフトウェアに関する情報を取得し、これを攻撃に利用できる。

資金力が十分ある攻撃者であれば、標的組織の防御体制、組織内で標的にすべき人物、ネットワーク構成、セキュリティ上欠陥等も把握する。

このステージに対する対策を講じるのは非常に困難だが、自社のウェブサイトを詳細に調べるユーザをログ解析や既存のアクセス解析であぶり出したりする事はできる。

武器化ステージ

エクスプロイトバックドアを組み合わせて配送可能なペイロードを攻撃者が作成するステージで、ペイロードの作成には何らかの自動化ツールが使われる事が多い。ペイロードは次の配送ステージで組織に侵入する際に使用される為、侵入検知システム等に検知されないよう、標的組織に特化した攻撃手法を用いる傾向にあり、APTではゼロデイの脆弱性を利用される事も多い。この場合マルウェア検知ソフトを利用したりパッチを当てたりといった対策で対抗するのは難しい。

対策側が攻撃者の武器化を検知するのは不可能だが、攻撃が実行された後、マルウェアの検体やアーティファクトを解析し、どんなツールキットが使われたのか、いつごろ行われたどのAPTの作戦活動に連動しているのかといった事を調査し、以後のAPT攻撃への対策に利用する事ができる。

配送ステージ、攻撃ステージ、インストールステージ

これら3つのステージでは以下が行われる:

JPCERT/CCのモデルでは攻撃者が直接潜入する事も想定し、これら3つをまとめて潜入ステージと呼んでいる。

マルウェア配送手法

代表的なマルウェア配送手法として以下のものがある。なお、下記に書いたものはマルバタイジングのように、標的型攻撃以外の攻撃で一般的なものも含まれる。

手法 概要
標的型メール | 標的型メールとは、標的となる組織・ユーザに特化した文面を作り込むなどする事で、受信者が不審を抱かずに添付ファイル(pdf、Wordファイル等)を開いたり、リンクを開いたり(スピアフィッシング)してしまうよう工夫されたメールの事である。標的型メールは、添付ファイルやリンク先に仕込まれたペイロードを利用して組織内に侵入拡大する事を目的とする。
水飲み場型攻撃 | 標的組織のユーザがアクセスする可能性の高いウェブサイトを攻撃者が改ざんし、そのサイトを閲覧したユーザがドライブバイダウンロード(ブラウザやそのプラグインの脆弱性を悪用してブラウザの権限を奪取し、マルウェアをインストールさせる手法)などによりマルウェア感染するようにする攻撃である。標的組織のIPアドレスからアクセスされた場合のみ攻撃を行う事でサイトの改ざんを発覚しにくくする場合もある。なお「水飲み場型攻撃」という名称は改ざんサイトを水飲み場に見立て、ライオンが水飲み場で獲物を待ち伏せるがごとく、攻撃者が改ざんサイトでユーザを待ち伏せすることからついたものである。
USBにマルウェアを仕込む | マルウェアが仕込まれたUSBを標的組織のユーザが端末に挿入する事で感染。Windowsのオートラン機能を悪用する。インターネットと接続していない(エアギャップ)クローズ系の機器であっても、アップデート等でUSBを挿入する事があるので、こうした機器にも感染を広げる事ができる。別の機器でマルウェアに感染したUSBをユーザが端末に挿入するのを待つ方法と、攻撃者がマルウェアを仕込んだUSBを標的組織に落としておいて、それを拾ったユーザが端末に挿入するのを待つ方法がある。
リモートエクスプロイト | 遠隔ホストから標的ホストの脆弱性をついてマルウェアをインストールする。
アップデートハイジャック | 標的組織が使っているソフトのアップデート配信元に侵入し、アップデート時にマルウェアを送り込む攻撃
ドメインハイジャック | 標的組織が利用するウェブサイトのドメインを乗っ取る事で、攻撃者サイトに誘導する攻撃
トロイの木馬 | スマートフォンアプリやP2Pファイル、ウェブサイト上の有用そうなファイル等にみせかけてトロイの木馬をインストールさせる。
マルバタイジング | マルウェアの拡散や悪性サイトへのリダイレクト等を目的とした悪質なオンライン広告配信の事。典型的にはオンライン広告に悪意のあるスクリプトが仕込まれ、これをクリックするとマルウェアに感染するなどする。広告を表示しただけで感染するケースもある。多数のユーザが集まるサイトに広告を配信する事で、そのサイトを改ざんする事なくマルウェア配信等が可能な事が攻撃者にとっての利点である。またウェブ広告では広告データは複数のサーバを経由する上、秒単位の入札で表示される広告が決まる仕組みなので、後から不正広告を追跡するのが難しい事も攻撃者にとって利点である。典型的には広告会社に攻撃を仕掛ける事でマルバタイジングを行う。
タイポスワッティング | 「URLハイジャッキング」とも呼ばれ、インターネットユーザーがWebブラウザURLを入力する際に犯す打ち間違いを利用した攻撃である。例えば攻撃者が「https://ja.wijipedia.org」というドメインを取得していると、ユーザが日本語版ウィキペディアにアクセスするつもりで誤って「https://ja.wijipedia.org」と入力した場合に攻撃者サイトにアクセスしてしまう。

なお、特にスマートフォンアプリでは、正規のアプリをマルウェアとセットにしてリパッケージしたアプリを配布する事で、マルウェア感染させる手法がある。

大量の本物の業務メールに紛れて、業務メールに見せかけた標的型メールが送られてくるなどするので、配送ステージに対して完全な対策を打つのは難しく、次以降のステージに攻撃が移行する事が多い。

標的型メール

標的型メールの文面は、準備ステージで窃取した本物のメールを流用されている場合もあり、受信者が標的型メールである事を見抜くのは難しい。標的型メールで感染するペイロードは既存のマルウェアの亜種を使ったり、ゼロデイの脆弱性を使ったりする事で検知を逃れる工夫がなされている事もある。また、アイコンや拡張子を偽装する事でexeファイルでないように見せかけたファイルをユーザにクリックさせたり、正規のアプリケーションに見せかけたトロイの木馬をユーザ自身にインストールさせたりする事で、脆弱性を利用しないでマルウェアに感染させる場合もある。

添付した実行ファイルの拡張子の偽装方法としては下記のものがある:

手法 概要
二重拡張子 | 「hoge.doc.exe」のように二重に拡張子をつける。拡張子を表示しない設定になっていると、「hoge.doc」と表示されるのでdocファイルに偽装できる。
RLO(Right-to-Left Override)による偽装 | 「hogecod.exe」のようなファイル名の下線部にRLOを用いると、「hogeexe.doc」と表示されるので、docファイルに偽装できる。
長い空白の利用 | 「hoge.doc(長い空白).exe」のようなファイル名にするとファイル名の後半の表示が省略されて「hoge.doc」と表示されるのでdocファイルに偽装できる。


標的型メールの一形態として、「一般の問い合わせ等を装った無害な「偵察」メールの後、ウイルス付きのメールが送る」ものをやり取り型という。また、不特定多数を対象にした攻撃用メールを用いた攻撃をばらまき型のメールという。ばらまき型メールを標的型メールに含めるか否かは論者によって異なり、IPAのJ-CSIPなど標的型メールに含めない論者がいる一方で、ばらまき型メールであっても特定企業の全社員や特定銀行の全ユーザなどを対象にしている事が多いことから標的型メールに含める論者もいる。

マルウェア配布ネットワーク

ドライブバイダウンロード型の攻撃では、攻撃のスケーラビリティ向上や運用コスト削減、対策耐性の向上といった理由により、複数の悪性サイト間をリダイレクトさせた上でマルウェアを配布する事が多い。こうした目的のために攻撃者により構築させる悪性サイトのネットワークをマルウェア配布ネットワークという。マルウェア配布ネットワークには以下の4種類のサイトが含まれる事が多い:

名称 概要
入口サイト | 標的となるユーザが最初にアクセスするサイトで、多数のユーザをマルウェア感染させるため、改竄された一般サイトなどが利用される。入口サイトは踏み台サイトへとリダイレクトされている。
踏み台サイト | 入口サイトに攻撃サイトのURLを残さないために設置され、攻撃サイトにリダイレクトされている。
攻撃サイト | ユーザにマルウェアをダウンロードさせるためのシェルコードを仕込んだサイト
マルウェア配布サイト | ユーザは攻撃サイトのシェルコードにより、マルウェア配布サイトのマルウェアをダウンロードする

マルウェア配布ネットワークは多数の入口サイトを少数の攻撃サイトへと導くための仕組みである。このような構成を取る事により、攻撃者には以下の利点がある:

リダイレクトには、HTTPリダイレクトHTMLのiframeタグや「meta http-equiv="refresh"」を使ったリダイレクト、JavaScriptなどのスクリプトのリダイレクトの3種類があり、これらが攻撃に利用される。このうちHTMLのiframeを使ったリダイレクトは、widthとheightを0にする事でフレームサイズを0にし、さらにstyle属性を"visibility:none"や"visibility:hidden"にする事で非表示化できるので、標的ユーザに気づかれる事なくリダイレクトできる。同様にstyle属性を"position:absolute"にし、フレームの位置のtopとleftとしてマイナスの値を指定することでも非表示化できる。

またスクリプトを使ったリダイレクトの場合、リダイレクトが閲覧時に初めて生成されるようにできるので、リダイレクトされている事がウェブ管理者に気づかにくい。

・・・・・・・・・・・・・・・・・・

出典:wikipedia
2020/02/15 03:57

HAPPY Wikipedia

あなたの考える「サイバーセキュリティ」の意味を投稿しよう
「サイバーセキュリティ」のコンテンツはまだ投稿されていません。
全部読む・投稿 

サイバーセキュリティスレッド一覧

・・・・・・・・・・・・・・・・・・
「サイバーセキュリティ」のスレッドを作成する
サイバーセキュリティの」
友達を探す
掲示板を探す
このページ
友達に教える
URLをコピー

注目のキーワード

錦織圭/北島康介/2014_FIFAワールドカップ・アジア予選/サッカー日本女子代表/消費税/東京スカイツリー/ダルビッシュ有/イチロー/香川真司/野田内閣/復興庁/石川遼/HKT48/AKB48/ワールド・ベースボール・クラシック日本代表/黒田博樹/尖閣諸島/バレンタインデー/ONE_PIECE

キーワードで探す

 
友達を探す
掲示板を探す
ハッピーWiki
ハッピーメール
ハッピーランド
HAPPY NEWS
2010Happy Mail