情報BOX 【 知って得するサイバーセキュリティ講座 】
第20回新型サイバー攻撃には多層防御で対抗する
2013年6月19日
これまでのまとめとして、標的型メール攻撃を題材に、その流れと防御方法を紹介したいと思います。
まずは標的型メール攻撃で行われる攻撃のプロセスを確認しておきましょう。前号までの解説で攻撃に使われる手段等は解説済みですので、細かな説明は省略します。
ここでは「上司を装ったメールにPDFファイルが添付される」形を想定してまとめています。
- 攻撃対象に関する情報収集(攻撃対象の名前やメールアドレス、上司の名前など)をソーシャルエンジニアリングなどにより行う
- アクロバットリーダーの未修正のバッファオーバーフローの脆弱性を突く、テーラーメードのマルウェアが含まれたPDFファイルを作成する
- その上司に偽装したメールを作成し、テーラーメードのマルウェアが含まれたPDFファイルを添付ファイルとして、攻撃対象に送信する
- 攻撃対象が上司からのメールと誤認し、PDFファイルを開く
- PDFファイルに含まれたエクスプロイトがアクロバットリーダーのバッファオーバーフローの脆弱性を攻撃。マルウェア実行しユーザの権限が奪われる
- マルウェアがhttpを使用して、外部のサーバに接続するバックドアを設置し潜伏する
- ユーザの権限を悪用し、ネットワーク上のサーバなどに対してスパイ活動を行う
- 標的となる秘密情報を外部に流出させる
標的型攻撃の恐ろしさは、従来のセキュリティ対策の裏を突く巧妙に作られた攻撃である点にあります。では、この標的型メール攻撃を防御するためには、どうすればよいのでしょうか。
ここからは、その対策を紹介していきます。
- 攻撃プロセス1 ソーシャルエンジニアリングで、社内情報が調査される 対策 ・ ソーシャルエンジニアリングに関する訓練で、付け込む隙を与えない
-
攻撃プロセス2
未修整の脆弱性を突く、テーラーメードのマルウェアである
対策
・ セキュリティアップデートは常に行っておく
・ アクロバットリーダーのJavaScriptを無効化するなどの、ソフトウェアの設定管理を行う
・ ホワイトリスト型もしくはHIPS型のウイルス対策ソフトを導入する -
攻撃プロセス3
添付ファイルが付けられた、上司に偽装したメールが送られる
対策
・ 標的型メール攻撃に関する訓練を行い、怪しいメールは開かないようにする
・ ファイル送信サービスを導入して、ファイル送信をメールで受け付けない ※第18回を参照下さい。
-
攻撃プロセス4
httpを使用して、外部のサーバにバックドアを接続する
対策
・ httpプロキシサーバを導入し、httpプロキシサーバを経由しないhttp通信をファイアウォールで遮断する
・ IPSを導入し、外部への怪しい通信を検知し防御する⇒【対策】IPSと併せて、MSSPのSOCサービスを契約する - 攻撃プロセス5 ユーザの権限が悪用され、サーバにアクセスされる 対策 ・ USBキーなどによる認証ソリューションを導入し、サーバへのアクセス管理を強化する
- 攻撃成功による脅威 どの情報が流出したかわからない 対策 ・ ネットワークフォレンジックサーバを導入し、すべての通信をキャプチャして保管する
このように標的型メール攻撃を防御するためには、様々なセキュリティ対策を検討しなければなりません。逆にいうとこれらの対策を組み合わせることで、一つのセキュリティ対策が突破されても何重もの防御策により、最終的な攻撃の成功を防止することができるのです。このような防御の考え方を「多層防御」といいます。
「すべての対策を行わなければ全く無力である」ということではありませんが、セキュリティ対策を組み合わせることでより効果を高めることができます。
それぞれのセキュリティ対策の内容を、企業の業務、情報セキュリティポリシー、費用対効果に基づき、バランスよく採用していく必要があるでしょう。
◆ 次回は「マスコミ社会から口コミ社会へ」についてお届けします。
セミナー講演のご依頼・お問い合わせはこちらから。
過去の記事一覧
- 2011年11月1日 第1回 サイバースペースのセキュリティ
- 2011年12月20日 第2回 なぜサイバーセキュリティが必要か?
- 2012年1月25日 第3回 サイバーセキュリティの意義
- 2012年2月29日 第4回 エラーとバグと脆弱性
- 2012年3月23日 第5回 権限と脆弱性
- 2012年4月12日 第6回 人間の持つ脆弱性
- 2012年5月24日 第7回 サイバー攻撃を受けたら何をするべきか【1】
- 2012年6月27日 第8回 サイバー攻撃を受けたら何をするべきか【2】
- 2012年7月26日 第9回 サイバー攻撃を受けたら何をするべきか【3】
- 2012年8月22日 第10回 サイバー攻撃を受けたら何をするべきか【4】
- 2012年9月19日 第11回 汎用ソフトウェアの脆弱性対策
- 2012年10月17日 第12回 ゼロデイ攻撃・標的型攻撃と新型ウイルス対策
- 2012年11月21日 第13回 Webアプリケーションの脆弱性対策
- 2012年12月19日 第14回 Webアプリケーションのセキュリティ設計
- 2013年1月23日 第15回 サイバーセキュリティを実現する
- 2013年2月20日 第16回 デジタルフォレンジックスの導入
- 2013年3月26日 第17回 情報漏洩対策
- 2013年4月24日 第18回 メールの添付ファイル禁止とファイル送信サービス
- 2013年5月22日 第19回 私物モバイル対策(BYOD対策)
- 2013年6月19日 第20回 新型サイバー攻撃には多層防御で対抗する
- 2013年7月23日 第21回 マスコミ社会から口コミ社会へ
- 2013年8月22日 第22回 批判にさらされる企業
- 2013年9月26日 第23回 サイバースペース上での企業の責任を知る
- 2013年10月23日 第24回 顧客の情報を預かる責任
- 2013年11月20日 第25回 個人情報取得のポリシー
- 2013年12月18日 第26回 即応性の危機管理広報
- 2014年1月6日 第27回 情報という経営資源を守れ
- 2014年2月19日 第28回 利用者中心のサイバーセキュリティへ向けて
- 2014年3月13日 第29回 安全・安心なサイバー社会の実現(最終回)