情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

2.脅威 > 2.4 標的型攻撃

c2f058cb

最近は標的型攻撃というのがあるらしいですが、なぜ流行っているんですか?




能動型攻撃は、外部から直接WEBサーバなどを攻撃する。ところが、最近ではFWやIPSなどの防御がしっかりしており、攻撃しにくい。そこで、誘導型攻撃にて利用者が特定の攻撃をとるように誘導するものである。
FWを通過できるメールやHTTPを利用する。多いのが、メールを送りつけてそれを開かせ、悪意のあるサイトに誘導してそこで情報漏えいなどを呼び込む。
15863853
これ、聞いたことあります。
不正なメールの添付ファイルに悪意のプログラムが含まれていたり、
メールにスクリプトが埋め込まれていたりするんですよね。
でも、これって、パソコンのウイルス対策ソフトで検出できないんですか?

まず無理だろう。というのも、攻撃者が作成したファイルが、ウイルスチェックにひっかからないかを確認するサイトがある。それを確認してから送りつけてくるのだ。
http://www.virtest.com/

情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「2010年は国内外で標的型攻撃が確認されている。一般紙等でも報道された事例として、経済産業省を狙った標的型攻撃がある。報道によると、経済産業省の職員宛に一斉に標的型メールが送付され、その内の約20人がメールを開いてしまったとある。メールは、実際に行われた会談の内容に関するものであり、送信元のメールアドレスも会談を担当している職員に酷似していたとのことだ。この事象から、当事者間で共有されている情報が使用される等、偽メールと疑う余地が無い、手の込んだ攻撃だと分かる。」と述べられている。

しかし、標的攻撃は専門家でも受けてしまう可能性が高い。JPCERT/CCが実施したように、「予防接種」が良いと思う。一度、疑似攻撃を実施しておくことで、利用者への免疫ができるのだ。 
 http://www.jpcert.or.jp/research/index.html#inoculation

ただ、個人的には予防接種の効果については評価が分かれるのではなかと思う。

※以下のサイトを随分と参考にしました。
http://www.ipa.go.jp/security/vuln/documents/10threats2009.pdf

大規模な攻撃
大規模な攻撃には名前が付けられている。以下が詳しい。
http://www.ipa.go.jp/files/000026543.pdf

■2009年
オペレーション・オーロラ攻撃
Googleなどが狙われた大規模なサイバー攻撃はOperation Aurora攻撃と言われる。

■2009年11月
ナイトドラゴン攻撃
エネルギー系の会社を狙った攻撃は、Night Dragon攻撃と呼ばれる

■2010年
Night Dragon

■2012
オペレーションハイローラー

標的型攻撃とは
 標的型攻撃とは、SPAMメールなどのように無差別に攻撃するのではなく、標的を絞って効果的に攻撃をするものである。標的となるのは、官公庁や特定の企業が多い。当然のことながら、産業スパイなどが何らかの意図があって攻撃しているのであろう。
 SPAMメールであれば、ありとあらゆるメールアドレスに対して無差別かつ大量に迷惑メールを送る。これに対し、標的型攻撃の場合は、標的を絞り、極端な場合は標的の相手に1通のメールしか送らない。その分、効果的な攻撃を仕掛ける。たとえば、標的企業の取引先情報を入手し、取引先企業のメールと誰もが間違えてしまうほどの内容を作り上げる。受信した人は、偽りのメールとは気付かずに、添付ファイルを開くと、ウイルスやスパイウエアに感染してしまうのである。
 技術的な攻撃よりソーシャルエンジニアリングの要素が多い攻撃である。

過去問(H25春午前1共通問14)には、以下がある。
問14 ソーシャルエンジニアリング手法を利用した標的型攻撃メールの特徴はどれか。
ア 件名に“未承諾広告※”と記述されている。
イ 件名や本文に,受信者の業務に関係がありそうな内容が記述されている。
ウ 支払う必要がない料金を振り込ませるために,債権回収会社などを装い無差別に送信される。
エ 偽のホームページにアクセスさせるために,金融機関などを装い無差別に送信される。

正解はイ

標的型攻撃の対策法
 標的攻撃であろうが、SPAMメールであろうが、対処方法は基本的に同じである。ウイルスソフトのパターンファイルやOSのパッチを最新に保つことが大切である。
 さらに、ボットネットのように、外部の司令を受けないように、ファイアウォールにて不要なポートを閉じることも大切である。
  ※以下のサイトを随分と参考にしました。
 http://www.ipa.go.jp/security/vuln/documents/10threats2009.pdf

APT(Advanced Persistent Threat)
最近流行りのAPTである。「新しいタイプの攻撃」と言われることがある。
問1 APT(Advanced Persistent Threats)の説明はどれか。
ア 攻撃者はDOS攻撃及びDDOS攻撃を繰り返し組み合わせて,長期間にわたって特定組織の業務を妨害する。
イ 攻撃者は興味本位で場当たり的に,公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返す。
ウ 攻撃者は特定の目的をもち,特定組織を標的に複数の手法を組み合わせて気付かれないよう執ように攻撃を繰り返す。
エ 攻撃者は不特定多数への感染を目的として,複数の攻撃方法を組み合わせたマルウェアを継続的にばらまく。(H25春SC午後Ⅱ 問1)
正解はウの「攻撃者は特定の目的をもち、特定組織を標的に複数の手法を組み合わせて気付くかれないよう執拗に攻撃を繰り返す。」である。
4

これって標的型攻撃のことですか?
まあ、同じ仲間と思ってもらえばよい。厳密な定義はないからね。
APTの場合は、Advanced(先進的)でPersistent(永続的)なThreat(脅威)という直訳になります。Persistentという言葉があるように、標的型攻撃を長期間(たとえば数か月~数年)にわたって行うものだ。
韓国でも被害があったが、あれも長期間にわたっての攻撃だったようす。
IPAでは、APTという言葉を使わず、「新しいタイプの攻撃」と表現している。内容に関しては、動画があるので、ご覧いただきたい。
http://www.youtube.com/watch?v=-efeSnIcfSY

水飲み場型攻撃
標的型攻撃において、ウイルス感染させる方法は、メールだけではありません。水飲み場型攻撃というWebサイトを使う方法もあります。
過去問(H27秋SC午前Ⅱ問8)では、「水飲み場型攻撃(Watering Hole Attack)の手口」として、「標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み,標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする」と述べられています。

ドライブバイダウンロード

大手自動車会社のホームページ改ざんでは、ドライブバイダウンロード攻撃が仕掛けられました。
過去問(H28SG春午前問25)では、「ドライブバイダウンロード攻撃の説明」として、「Webサイトを閲覧したとき,利用者が気付かないうちに,利用者の意図にかかわらず,利用者のPCに不正プログラムが転送される」と述べられています。


過去問(H24秋SC午後1問3)を見てみよう。
S主任:典型的な標的型攻撃では, (A)ウイルスが,様々な方法で社内に侵入し,(B)社内で感染を拡大させ,(C)感染したPC及びサーバのアクセス権を入手して情報収集を行います。このとき,ウイルスの活動によって異常なトラフィックが発生したり,PC又はサーバが異常な振る舞いをしたりすることもあります。その後,(D)収集した情報をネットワーク経由で攻撃者に報告します。
P部長:そうだな。このような被害の拡大をどこかで断ち切れるように対策を強化していこう。
S主任:はい。(A)については, MXl及びPRXにウイルス対策ソフトを導入しており,(B)についてはPC及びサーバにウイルス対策ソフトを導入しています。(C)についてはPC又はサーバの監視強化を検討します。(D)は,バックドア通信と呼ばれるものですが,対策は簡単ではありません。
P部長:つまりどういうことかね。
S主任:バックドア通信については、当社のネットワーク設定で、既に遮断できる通信もあります。しかし,例えば,ウイルスがWebアクセスの通信パターンを模倣して行う通信については,現在のところ防げません。これに関しては,④更なる対策を検討していきます。

設問3 〔標的型攻撃への対策〕について
(4)本文中の下線④で示した更なる対策として考えられる具体的な手段を,40字以内で述べよ。
6b2fb508
なんか、攻撃がすごく複雑ですね。
ふつうのウイルスソフトやIPSなどの対策ではダメなんですかね?




標的型攻撃に対する、明確な見解は出ていない。製品に関しては、FireEyeなどの標的型対策の専用機があったり、FFRIのyaraiなどのような専用ソフトもある。また、各UTMメーカも、標的型対策専用のオプションライセンスを設けている場合が多い。そういう観点では、既存の対策では不十分と各社が考えているのだろう。
 一方で、違う見解もある。たとえば、ウイルス対策やIPSなどをきちんとやっていれば、ほぼ攻撃を受けないだろうという考えだ。実際、SONYがやられたときも、既知の脆弱性を付かれたということで、従来の対策をきちんとしていれば防げたと発表されている。
 さらに、違う意見もある。本気で狙われたら、どう対策しても防ぎようがないという考えだ。ソーシャルエンジニアリングを絡めれば、これは事実かもしれない。
 私の考えでは、標的型対策に関して、試験センターでは、標的型の専用機を導入しましょうという考えではないと思う。既存の対策をまずはきっちりやりましょうという考えではないか。この価値観を認識しておかないと、試験では、作問者が求める答えと違う回答を書いてしまう気がする。

たとえば、この問題の設問3(4)の解答例は「通信先が信用できるかをシグネチャで判断するWebフィルタをPRX(プロキシサーバ)に導入する。」である。これは対策の一つであるが、これで完璧ではない。標的型攻撃の恐ろしさと精巧さを知っている人であれば、この解答では不十分と考え、この解答は出てこないだろう。

対策
さてさて、前置きが長くなったが、基本的な対策について整理したい。
過去問にある(A)(B)(C)(D)に応じて対策が求められる。
入口対策
 そもそも、標的型メールなどが入ってこないようにする仕組み。
内部対策
 内部でウイルスなどが拡散しない仕組み
出口対策
 ほとんどの標的型攻撃は、外部のC&Cサーバと通信する。それを防御し、情報漏えいも防ぐのだ。

過去問(H27年SC秋午後Ⅱ問1)に、標的型攻撃のシナリオとその対策が掲載されています。IPAが発表する「「高度標的型攻撃」対策に向けたシステム設計ガイド」と考え方は同じです。
対策として、認証プロキシの導入の記載があります。この点も、上記の設計ガイドにある内容です。IPAの考え方を理解しておくと、試験で有利になることでしょう。
情報セキュリティ管理部が想定した,マルウェアによる情報漏えいのシナリオは次のとおりである。
(1)計画立案段階
 ・攻撃者が,A社従業員のメールアドレス,職場関連の情報を収集する。
(2)攻撃準備段階
 ・攻撃者が,収集した情報を差出人やメール件名に使って,従業員がだまされやすい文面のメールを作成する。
 ・攻撃者が,C&C(Command and Control)サーバを準備する。
(3)初期潜入段階
 ・攻撃者が,メールを従業員に送信する。(→①)
 ・メールの添付ファイル又は本文中のURLを従業員に開かせる(→②)ことによって,マルウェアを実行させる。(→③)
(4)基盤構築段階
 ・マルウェアが,C&CサーバのIPアドレスを用いて,C&Cサーバとの通信を開始する。(→④)
(5)目的遂行段階
 ・マルウェアが,ファイアサーバ又はグループウェアサーバから機密情報を含んだファイル(以下,機密ファイルという)を盗み出す。(→⑤)
 ・マルウェアが,盗み出した機密ファイルをC&Cサーバから指示されたインターネット上のサーバに送信する。(→⑥)

情報セキュリティ管理部は,マルウェアによってファイルサーバとグループウェアサーバ上の機密ファイルが,インターネット上のサーバに送信されることを防ぐために,情報漏えいのシナリオを踏まえた次の対策を新しいOAシステムの要件とした。
(1)マルウェア感染対策(初期潜入段階に対する対策)
 要件1.PC及び各サーバにおいてウイルス対策ソフトを利用する。
 要件2.ウイルスフィルタリングサーバによって,受信メールの添付ファイル及びWebサイトからダウンロードしたファイルに対するウイルススキャンを行う。
(2)マルウェア感染後の情報漏えい対策(基盤構築段階及び目的遂行段階に対する対策)
 要件3.認証プロキシサーバを新設し,利用者IDとパスワードによる利用者認証及びアクセスログの取得を行う。インターネット上のWebサイトへのアクセスは,必ず認証プロキシサーバを経由させる。
 要件4.基盤構築段階及び目的遂行段階で利用される通信を禁止する。

a

Facebookの友達申請。友達の数を競い合うという面も持ち合わせているので、毎日のように友達申請がやってきます。でも、これって本当の友達なんでしょうか?
IPAでは、この点に関しての注意喚起をしています。

http://www.ipa.go.jp/security/txt/2013/11outline.html

 会社の幹部などの有名人であれば、顔写真も生まれた年も出身校も経歴もすべて公開されている場合があります。それだけの情報があれば、簡単にその人になりかわってFacebookのアカウントを作成できます。 そして、本人になりすましてやり取りすれば、いろいろな情報を搾取できます。
 怖い怖い。
これの企業版が、標的型攻撃です。知り合いに成りすましてメールを送り付け、ウイルスが添付されたファイルを実行させるのです。標的型攻撃の被害はかなり拡大しています。
きちんとした対策が求められているでしょう。

IPAの文献に、「標的型攻撃メールの傾向と事例分析」というのがある。
http://www.ipa.go.jp/files/000036584.pdf

攻撃者がいかに巧みであるかがとてもよく分かる。
日常のメールとほぼ同じ内容で来たら、つい添付ファイルも開いてしまうだろう。
ドメイン詐称など、きちんと対策すれば防げるものもある。
でも、上司からのメールが届き、「今日は休日だから家からフリーメールで送っています」とあれば、信頼してしまうのではないか。

ポイントは、このように、不正な攻撃として標的型メールがやってくるのを防ぐのは、対策の一つにすぎないことだ。むしろ、これを100%防ぐのは無理であろう。
それより、PCのウイルス対策をきちんとしたり、きちんアクセス管理をしたところに機密情報を保管したり、内部から外部への不正通信をさせないようにFWやProxyのWebフィルタで守ることなどが、求められる対策であろう。

このページのトップヘ