-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
APT攻撃をご存知でしょうか?標的型攻撃といった方がぴんとくる方もいらっしゃるかもしれません。特定の対象(企業や団体など)に対して、長期間にわたって継続的にあの手この手で攻撃を試み、最終的な目的(機密情報の取得など)を果たすまで繰り返すという特徴を持っています。このような攻撃の標的とされた場合、攻撃は様々な手法で何度も行われるため、完全に防御することは非常に困難です。6月に話題となった日本年金機構のニュースを記憶されていらっしゃる方も多いかと思いますが、それだけに限らず、現在このようなAPT攻撃が広く発生している状況です。
手前味噌になってしまいますが、このようなAPT攻撃の状況を踏まえ、
先日当社よりAPT攻撃耐性診断サービス「APT先制攻撃」を発表いたしました。
私自身も、「APT先制攻撃」の提供にあたって、検査で利用するための「疑似攻撃マルウェア」の開発を行いました。
*日経BP社様にも取材いただき、ITproで記事を掲載していただきました。
「APT先制攻撃」の詳細につきましては、当社ホームページをご確認いただければと思いますが、概要としましては、お客様の環境(社内ネットワーク内のPC等)が、APT攻撃にてマルウェアに感染したことを想定し、その後の感染拡大・重要権限の取得・機密情報の持ち出しなどの不正行為に対して、どの程度の耐性があるかを調査し、脆弱なポイント・効果的な対策などをアドバイスさせていただくといったサービスとなっています。
上記の通り、「APT先制攻撃」では、お客様環境にマルウェアが感染したことを想定した検査を行います。しかし、お客様の環境を実際にマルウェアに感染させるわけにはいきません。そこで、当社がこれまでに対応してきた様々なマルウェアの分析結果から、検査に必要な最小限の機能を持つ検査用ツール「疑似攻撃マルウェア」の開発を行いました。
基本的な開発時の苦労話などは、ITproで記事にしていただいておりますので、よろしければぜひ上記のITproの記事もご覧ください。
このブログでは、開発に関連して、感じた点・視覚障がいがあることで感じた感想(?)を書いてみたいと思います。
①マルウェアを作るのは大変!
いきなり何を!という感じではありますが、今回の疑似攻撃マルウェアの作成にあたっては、社内の有識者の方から情報をいただいたことに加えて、一般的にマルウェアでよく利用される手法について、調査・検証を行いました。その中で感じたのは、その手法がうまく行くかは動作させる環境に依存することが多いということです。OSやソフトウェアのバージョンが違えば挙動が変わるのは当然として、PCの設定が一つ違うだけでも挙動が変化することもありました。そういう意味で、利用(悪用)する技術の高さもさることながら、様々な対象で動作するマルウェアを開発してくる技術力の高さを感じました。対策を考えるにあたっては対等に渡り合える、さらには上を行く技術力が必要になると思っています。私自身、今後も継続して技術力を磨いていきたいと感じました。
②疑似攻撃マルウェア自体にGUIが必要とされなかったため、開発が行いやすかった
疑似攻撃マルウェアは、検査対象の端末で動作させるものであり、検査を行う人間は疑似攻撃マルウェアを、こちらもサービス用に開発した指令サーバを使って遠隔から操作します。そのため、疑似攻撃マルウェアは、動作結果を指令サーバに通知することはしますが、動作している端末上に表示するようなことは行いません。画面に分かりやすく結果を表示する、ということを意識せずに、結果を指令サーバに通知すればよかったため、目を使わずに開発を行っている私としては開発の行いやすい形態でした。これは今回の疑似攻撃マルウェアに限らず、結果をユーザに直接表示するのではなく、結果をサーバに送信するような形態のプログラムであれば、視覚を必要としないため、開発しやすい分野であると言えると思います。
③スクリーンリーダー(画面読み上げソフト)の裏側が少し見えた
私がパソコンを操作する際は、スクリーンリーダーといわれる、画面の文字を読み上げてくれるソフトウェアを利用して操作しています(この記事の入力も同様です)。今回、疑似攻撃マルウェアの実装を行うにあたって、最終的に機能として組み込まなかったものも多いですが、OSに近いレベルの情報を取得する方法を調査しました。必要な情報を文字列として取得する(たとえば入力したパスワードを取得するようなイメージです)方法を調査したり、実際、試したりしている中で、普段使っているスクリーンリーダーが読み上げている内容ってこの情報を取得しているんだな、という発見がいくつかありました。使い方によっては、パスワードを盗み出すというような悪意のある使い方もできる一方で、スクリーンリーダーで必要な情報を読み上げるためにも利用できる、技術は本当に使い方次第だなと改めて感じました。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR