ここ数年流行っている「標的型攻撃・標的型メール攻撃」について、IPAの資料で勉強して、要約した内容をこの記事に載せます。
参考にしたIPAサイト
www.ipa.go.jp
ハッカーからの攻撃
止められないハッカーの行動
攻撃目標選定(セキュリティが弱い企業、お金に変えられそうな情報など)
偵察(ネット上通信の半分は、ハッカーによるポートスキャンなどの偵察と言われている)
悪意のあるメール送信
攻撃用サーバ準備
ウィルス感染のきっかけ
標的型メール内のリンククリックによるバックドア開設
内部対策を怠るとやられてしまうこと
端末情報入手
ネットワーク構成把握
サーバ不正ログイン
管理サーバ乗っ取り
他端末への攻撃範囲拡大
情報窃取
情報破壊
上記の対策が行われていない企業が攻撃を受けて、さらに攻撃の踏み台にされる。(攻撃を受けた企業が発信元となり攻撃が送られてしまう)
偽装メールのテクニック
偽装メールには、「時事ネタの転用」「内部情報の転用」「実在メールの転用」のような種類があります。
心理的なテクニック
以下のメールは受信者がメールを開きやすい
● 「至急」「緊急」などの用語を用いる
● やりとり型
● 職位上位者、取引先からのメール
● 叱責、クレームメール
標的型メール訓練
企業の取組みとして、全社員に偽の不審メールを送ってチェック
● 開封率・リンククリック率を調べる
● セキュリティに対する意識を確認する
セキュリティを考える上で必要な考え
攻撃や対策は、以下3つに分けて考えます。
試験でも、この攻撃はどこから来る攻撃でどこで防ぐかを考えるようにしてください。
● 入口対策
● 内部対策
● 出口対策
入口対策
以下を使って入口を防御する
● IDS、IPS
● ウィルス対策ソフト
● FWによる不正通信検知
● ウィルスGW
内部対策
以下を使って内部を防御する(入口が防御できず侵入された場合の対策)
● ネットワーク分離設計
● キャッシュPWの保存禁止
● アクセス権限の最小化
● 管理者端末の分離
● メール経由(バックドア)で侵入した攻撃者は、ユーザ端末のID/PWを窃取しながら、侵入範囲を拡大していく
● 運用管理端末には、管理用ID/PWが保存されているため、窃取された際の影響が大きい
● 攻撃者は、ユーザ端末にキャッシュされているアカウント情報を窃取して侵入範囲の拡大を狙う
ウェブサイト
● 大量のウィルス感染が可能(水飲み場攻撃)
● 正規サイトであるため、ユーザに疑われにくい
● ユーザは閲覧するだけでウィルス感染してしまう
攻撃者の「計画~目的遂行」までの流れ
① 計画立案
● 攻撃目標設定
● 関連調査
② 攻撃準備
● 標的型メール
● ウェブサイト改ざん
● C&Cサーバ準備
③ 初期潜入
● 標的型メールの送付
④ 基盤構築
● バックドア開設
● 端末情報入手
● 構成情報入手
⑤ 内部侵入・調査
● 他端末侵入
● サーバ侵入
● 管理者情報窃取
⑥ 目的遂行
● 情報窃取
● システム破壊
⑦ 再侵入
● バックドアを通じ再侵入
◆「標的型攻撃・標的型メール攻撃」の対策を考えている組織
内閣官房情報セキュリティーセンターNISC
⇒ リスク評価手法等に関する検討会
IPA
⇒ 脅威と対策研究会