どこからでも迫るサイバー攻撃は、被害者を踏み台に追加攻撃を狙う

どこからでも迫るサイバー攻撃は、被害者を踏み台に追加攻撃を狙う

ハッカーによる「標的型攻撃」は近年のサイバー攻撃のトレンドの主流であり、IPA独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威 2019」では2018年に引き続き1位となっています。また新型コロナウイルスの影響により、日本でも多くの企業がリモートワークを導入するようになりましたが、早急な導入により、セキュリティを危ぶむ指摘も相次いでいます。しかしこうしたリモート攻撃だけが深刻な脅威なのではありません。リモートの対策は万全だからと足元の対策を疎かにしていると、内部型の攻撃、すなわちローカルアタックの被害にあってしまうこともあります。さらには、自分の機器が踏み台になり、さらなる被害をもたらす可能性もあるのです。今回はリモート攻撃、ローカル攻撃、そしてサプライチェーン攻撃についてそれぞれ見ていきたいと思います。

 

リモート攻撃

リモート攻撃(Remote Attack)とは、ネットワーク経由で別のコンピュータを標的とする攻撃のことです。攻撃者は、セキュリティの弱いコンピュータなどをみつけ、そこを踏み台として標的とするコンピュータ(サーバなど)を攻撃し、他人のPCを乗っ取り遠隔操作します。乗っ取ったPCにウィルスを仕込み、ネットワーク内にウィルスを感染させてしまうケースもあります。

緊急事態宣言後の7都道府県におけるリモートワーク実施率は、一部調査によると既存の2倍を超えたと言われています。そして世界的にみてもその普及率に比例して、サイバー攻撃も増加していることが米マイクロソフトからも指摘されています。

 

過去数ヶ月間に、サイバー犯罪者が新型コロナウイルス感染症(COVID-19)の拡大を利用して消費者と企業を同じように攻撃しているという、一見矛盾したようなデータが発表されました。

2月の初旬までさかのぼると、COVID-19のニュースや同ウィルス関連の攻撃が比較的少なかったことがわかります。それが、2月11日に世界保健機関(WHO)によってこの世界的危機を引き起こすウイルスが「COVID-19」と命名されると、攻撃者はそれに便乗した活動を積極的に展開し始めました。この宣言があった翌週には、関連の攻撃がそれまでの11倍にまで増加しています。この数値は、マイクロソフトが毎月観測している攻撃総数の2%を下回るものでしたが、それでもサイバー犯罪者がこの状況を悪用しようとしていることは明らかでした。

 

世界全体の攻撃数と、COVID-19関連の攻撃数の動向

世界全体の攻撃数と、COVID-19関連の攻撃数の動向

引用:Microsoft Threat Protection Intelligence Team

 

ローカル攻撃

ローカル攻撃(Local Attack)とは、ログオンしているコンピュータを標的とする攻撃のことです。ローカル攻撃者による情報の漏えいや改ざん、root権限など各種権限の入手及びローカルシステムの管理者グループへのユーザの追加(特権昇格)などに悪用される危険性があります。この攻撃は管理作業との見分けがつきにくいため、攻撃を防御しにくい面があります。したがって、権限のある正規ユーザかどうかを見分けるための対策を強化する必要があります。

ソフトウェアの脆弱性の重大性を評価する場合は、先に説明したリモート攻撃の方が危険度が高く位置づけられる傾向があります。どこの誰が仕掛けてくるか分からないリモート攻撃の方がなんとなく怖いというイメージを持たれているかもしれません。しかしもっとも身近で、なおかつ防御が難しいのがローカル攻撃です。

ローカル攻撃によって特権の昇格(Privilege elevation)が行われると、ユーザが許可されていない特権を取得できてしまいます。つまり、OS等のソフトウェアの脆弱性により、許可されていないユーザが特権を取得してしまう危険性が現れるのです。例えば、ログオンしたユーザは、OSの脆弱性を悪用してシステムの管理者権限を取得することができます。これを通じ、プログラムのインストールやデータの検索・更新・削除、さらには新しいユーザの作成や管理者権限を持つ管理者グループへのユーザ追加など、コンピュータの制御を完全に奪ってしまう可能性があります。セキュリティホールから侵入した攻撃者は、特権の昇格により管理者権限を奪取することにより、不正アクセスを行ないます。もしこの特権の昇格が内部のインサイダーにより行われてしまうと、リモートの攻撃者よりさらに簡単に情報の奪取や、システムの改ざんを行われるようになります。また、その場合の被害の深刻度はリモート攻撃を上回る場合もありえます。

 

自社が加害者になるリスクをご存知ですか?

サプライチェーン攻撃

攻撃者に乗っ取られた自社のパソコンがクライアント大企業への攻撃に利用されてしまうこともあることをご存知でしょうか?攻撃者は大手企業や政府機関など大きな組織の正面突破が難しい場合、比較的セキュリティ対策が手薄な取引先や子会社を経由しサイバー攻撃を仕掛けます。取引先のメールを偽装しターゲット企業に送付したり、ターゲットである企業で利用されているソフトウェア製品の更新プログラムを不正に仕掛けたりなどの攻撃手法が知られています。例えば、セキュリティが脆弱な中小企業を足がかりに大企業のネットワークへ侵入し、重要なデータを盗み出します。この手口は「サプライチェーン攻撃」と呼ばれており、IPAの「情報セキュリティ10大脅威 2019」でも4位にランクインしています。

サイバー攻撃の目的は、企業に侵入して機密情報を盗むなど、なんらかの利益を得ることです。そのため、これまでは政府機関や大企業がターゲットとなっていました。しかし最近では行政機関や大企業ではセキュリティ対策の強化に投資を重ねており、正面突破が難しくなっています。そこで、周辺のセキュリティ対策が脆弱な関連企業をターゲットにする方が、成功率が高くなるという考えのもと、取引先のアカウントを不正利用してターゲット企業のネットワークへアクセスするのです。あるいは取引先の保管しているターゲット企業の機密情報を盗み出します。このように正面突破するのではなく、迂回路を見つけ出し、脆弱な部分から侵入を試み成功確率を高めていきます。中小企業では対策に必要なリソースの不足、経営層の意識の甘さによって脆弱なセキュリティ体制となっていることが多く、結果サプライチェーン攻撃の標的になってしまいます。

 

さいごに

これらのサイバー攻撃を防ぐには、情報セキュリティ管理ルールを徹底させることが不可欠です。その上で必要なセキュリティ対策を導入していくことで、各種の攻撃から自社、及び取引先への攻撃連鎖を防いでいきます。リモートワークの普及に限らず、今後、IoTの進化により、家電、自動車、金融サービスなど、さまざまなものがネットワークにつながることが予想されます。そのため、サイバーセキュリティに対する需要は、ますます増加していくでしょう。従来のセキュリティは、マルウェアなど、それぞれの脅威に個別に対応する形が主流でした。しかし今は、新しい攻撃や脅威に対し、よりリアルタイムかつ包括的に対処することが求められています。そのため、サイバーセキュリティ技術は進化しており、AI(人工知能)の活用なども進んでいます。従来では通信の送信元とあて先を根拠に制御していたのに対して、次世代ファイアウォールは通信の中身を可視化することで、許可するサービスの種類などをきめ細かく制御できます。進化を続けるサイバー攻撃に対しては、防御する側もまた新しい脅威や攻撃に対応した、新しい物を導入する必要があるでしょう。