閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2017年04月13日 | サービス・製品

標的型攻撃を受けた場合の組織へのダメージを事前に把握するには?

新年度を迎え、セキュリティ対策の見直しを検討されている方もいらっしゃるのではないでしょうか。昨年度末はWordPressやStrutsの脆弱性をつき、外部から簡単に攻撃できる脆弱性が報告されました。そのため、改めて外部からの攻撃への対策について、問題無いか確認されたのではないかと思います。

一方で、標的型攻撃の対策についてはいかがでしょうか?標的型攻撃は、特定の組織内の情報を狙って行われるサイバー攻撃の一種です。その組織の人宛てにマルウェアが添付された電子メールを送ることなどによって開始されます。以降も持続的に潜伏して行われる標的型攻撃はAPT(Advanced Persistent Threat)と呼ばれています。

詳細につきましてはこちらをご覧ください。

大きな事件も発生しており、その被害の大きさから各組織において、既に何らかの対策を講じているかと思います。しかしながら、2016年度も複数の事件が報告されました

標的型攻撃による事件

2016年度においても、複数の事件が発生しており、IPAの情報セキュリティ10大脅威2017(組織)では「標的型攻撃による情報流出」が1位にランクインしています。

事例として、大手旅行会社などが挙げられており、実際に個人情報の漏えいがあったことも報告されています。

Active Directoryが侵害されることによる被害拡大

標的型攻撃が行われる際に、Active Directoryが侵害されることによって被害が拡大する高度サイバー攻撃の事例を多数確認されていることから2014年12月にJPCERT/CCから注意喚起が行われています。

そして、2017年3月にJPCERT/CCがActive Directoryへの攻撃を効果的に検知するための方法と、そのために理解しておくべき攻撃手法の概略について記述した解説書が公開されています。そこでは、「Active Directoryが侵害されることによって被害が拡大する高度サイバー攻撃の事例を多数確認しており、これらの事例のなかには、脆弱性に対処していなかったり、ログが適切に保存されていなかったりしたために、被害状況の調査が困難なケースが多く見られました。」とあります。おそらく注意喚起以降にも被害が確認されていたのではないかと推測します。

このようにすでに大きな事件も発生しており、その被害の大きさから各組織において、既に何らかの対策を講じているにも関わらず事件に発展しているのは、その対策が有効に働いているかの評価ができていないことが原因のひとつとしてあるのではないでしょうか?

おそらく、評価ができていない理由は以下と考えます。
・実際に攻撃が来ないと効果が測定できない
・各フェーズで評価を実施すると莫大なコストがかかる

評価を行うことで、問題点を洗い出すことができます。

弊社では、標的型攻撃の耐性を評価する「APT先制攻撃サービス」を提供しています。
問題点を洗い出すための選択肢のひとつとしてご検討いただけると幸いです。

標的型攻撃耐性診断サービス「APT先制攻撃サービス」とは

ラックのサイバー救急センター(サイバー119サービス)が対応した標的型攻撃の実例から、実際に行われた攻撃手法を、擬似攻撃マルウェアに実装し、組織内部のネットワークに放ちます。APT先制攻撃サービスでは、メールから特定の端末がマルウェアに感染した状況を想定し、標的型攻撃で狙われる内部ネットワークの脅威を評価します。具体的には、権限の奪取や感染の拡大、情報の窃取と外部への送信を試すことで、お客様の内部ネットワークで実際に起こりうる弱点を確認できます。

擬似攻撃の一例
擬似攻撃の一例

診断サービスを受けた全てのシステムで何らかの改善項目が存在

実際にサービスを提供した結果、全てのシステムに何らかの問題点が存在しました。
問題点例としては以下のようなものです。

  • C2サーバ(指令サーバ)との通信確立
  • 他端末への侵入が可能
  • ファイルサーバから個人情報が取得可能
  • APT先制攻撃サービス報告書
    APT先制攻撃サービス報告書

    明らかになった問題点から、既に実施済みの入口/出口対策に加えて、組織内ネットワークに関する問題点の対策をすることで多層防御の層が厚くなり、万一マルウェアに感染したとしても重大インシデントになりにくい環境に改善しています。

    最後に

    従来の入口/出口対策を行うことはもちろんのこと、内部からの攻撃に対する耐性を持つことで組織としてより強くなることができると考えます。せっかく対策を行っているのであれば、それがどれくらいの耐性を持っているのかを知ることが次への対策へとつながりますので、今の対策に不安がある方は是非お声掛けください。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top