変化に適応する能力は、今日のセキュリティ対策で最も重要なものの 1つです。なぜなら、セキュリティを侵害する攻撃も同様に変化に適応するからです。今日の脅威の巧妙化は、主にその手法で確認することができます。標的とした環境の弱点に合わせて、脅威はその手法を適応させていきました。
トレンドマイクロは、本稿で、ネットワーク上の脆弱を突いて攻撃を仕掛ける攻撃者の目線から、ネットワークについて考察します。こうした考察は、IT管理者がどのようにネットワークを保護すべきかの指南となるでしょう。
■人間が最も脆弱である
人間は、外部刺激に対して常に脆弱です。強い感情を引き起こす外部刺激に対してはなおさらです。これが、ソーシャルエンジニアリングが常に攻撃の一部となっている理由です。ソーシャルエンジニアリングには多くの手法が利用され、また高い効果が約束されています。人間が常にソーシャルエンジニアリングを利用した攻撃の犠牲になると想定することは、IT管理者にとって重要です。なぜならこれは事実だからです。社員の考えが何であれ、ネットワークのセキュリティ対策はこれを念頭において設計しなくてはなりません。IT管理者は以下を実践するとよいでしょう。
1. 攻撃者がネットワーク内に侵入するのを防ぐだけでなく、情報窃取も防ぐネットワークを構築して下さい。これにより、たとえ攻撃者がネットワーク内の PC を制御したとしても、窃取した情報を送出するのが困難になります。適切に管理されたファイアウォールやネットワークのアクセス管理も、ネットワークの保護に大いに役に立つでしょう。「スレットインテリジェンス」も同様に大きな役割を果たします。例えば、攻撃で利用されるコマンド&コントロール(C&C)サーバの IPアドレスを検出します。
2. システムが必要とするセキュリティレベルに基いてネットワークをセグメント化して下さい。重要なシステムは、物理的、もしくはそのシステムが接続するネットワークのセグメントを通して通常のシステムから切り離す必要があります。
こうした事項に加え、社員への教育もやはり重要です。社員への教育は定期的に行って下さい。
■最も安全だと考えている場所が最も危険である
ネットワーク間のセキュリティのわずかな違いですら、大規模な攻撃につながる可能性があります。攻撃者はこれを熟知しており、IT管理は心に留めておくことが大切です。ネットワークは定期的に精査し、すべてのエリアが適切に保護されているかを確認して下さい。
IT管理者はまた、自分自身が潜在的な標的になることを考慮していないかもしれません。さらに、プリンタやルータといったネットワーク上の機器が感染経路になることを想定していない場合があります。
同様のことが Web管理者にも言えるでしょう。攻撃者は、ネットバンキングの Webサイトのようなセキュリティ保護の高い Webサイトは直接攻撃せず、同じネットワークでセキュリティが不十分な「非武装地帯(Demilitarized Zone, DMZ)」上の他の Webサイトを探索し、侵害するかもしれません。そして、ネットバンキングの Webサイトとの信頼関係を利用して、暗号を利用した攻撃手法「サイドチャネル攻撃」をネットバンキングの Webサイトに実行する可能性があります。
■ユーザは弱いパスワードを使用している
多くのユーザにとって、パスワード管理が大変な労力であることは言うまでもありません。そのため、ネットワーク上のすべてのユーザが安全なパスワードを使用していると単純に想定するのは間違いでしょう。ユーザが安全でないパスワードを使用していると想定し、二要素認証や、場合によっては生体認証といった他の認証手段を導入してネットワークを保護する必要があります。
■ネットワーク上にすでに使用していない機器がある
ネットワーク上にはすでに使用していない機器が存在するものです。すべてのネットワーク上には、ネットワークの接続形態を表すトポロジーマップ上では確認できないものの、ネットワークにつながっている機器が存在します。例えば、従業員の個人的な機器や、外部業者の機器、または廃棄されずに残っている機器などがそれに当たります。攻撃者は、こうした機器を利用してネットワークへのアクセスや探索を行います。
これに対処するため、IT管理者は、ネットワークに接続しているシステムを注意深く監視しなければなりません。IT管理者は「ネットワークアクセス管理(Network Access Control、NAC)」の手法を導入して、こうした使用していない機器に与えられたアクセスレベルを監視し、管理する必要があります。
■古い脆弱性は有効でまだ利用されている
ソフトウェアに存在する脆弱性を確認し、対応することは、すべての IT管理者にとって重要なプロセスです。脆弱性は古いものも新しいものも含めて、すべて対処しなければなりません。脆弱性に対応しなければネットワークが脅威にさらされ続けることを IT管理者は心に留めておく必要があるでしょう。そして、脆弱性がいつ発見されたかは関係ありません。
さまざまな標的型攻撃に関する詳細と対策の考え方については、以下の情報もご参照ください:
- 国内における標的型サイバー攻撃の分析
- トレンドマイクロが提唱する次世代型セキュリティ「Next Generation Threat Defense」
- 「鉄壁の守り」は存在しない!? 脅威の変化を捉える次世代型対策とは
- セキュリティマガジンTREND PARK:標的型攻撃 最新動向と対策
- Threat Intelligence Resources on Targeted Attacks(英語情報)
- IT管理者が持つ、標的型攻撃対策5つの誤解
- 企業のネットワークを狙う、標的型攻撃の兆候を知る7つのポイント
参考記事:
by Ziv Chang (Director, Cyber Threat Solution)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)