今だから知りたい、『脅威インテリジェンス』 シリーズ#3
第三講:「脅威インテリジェンスを活用するための“サイバー攻撃への理解”」
発行日:2021年4月26日
(第一講:「インテリジェンス」とは? 『脅威インテリジェンス』とは?)
(第二講: オシント/シギント/ヒューミント? どうやって区別するの?)
前回のコラムで、オシント/シギント/ヒューミントについて、少し踏み込んだ話をしました。
お伝えしたかったのは、
オシント/シギント/ヒューミントはインテリジェンス自体の分類ではなく、インテリジェンスの収集方法の分類である
ということでした。
では、実際にこれら脅威インテリジェンスを利用してセキュリティ対策を行う場合、どのような活用方法があるのでしょうか。
最も大切なのは「目的設定をしっかり行う」と言うことです。
脅威インテリジェンスを活用する目的を定義する
少し前まで、これまで多くの企業の取り組みは、「マルウェアの侵入を防げば良い」「スパムメールを除外できれば良い」といった、”攻撃の侵入を防ぐこと”に重きが置かれていました。ただ、最近では、その目的が多様化してきたことを、私もお客様と接する中で感じています。
例えば、このような目的を持っていらっしゃいます。
「侵入を食い止めたい」
「侵入された後、早く気付きたい」
「データを搾取されることを防ぎたい」
「攻撃のターゲットになりやすいのか知りたい」
なぜ、目的が多様化しているのでしょうか。それは、「どんなに侵入を防ぐためのセキュリティ対策を施しても、完全に攻撃の侵入を防ぐことは難しい」ということが年々明らかになってきたからです。
これは、昨今、名だたる大企業がセキュリティ侵害にあっていることからも我々は受け入れないとならない事実です。
「完全に攻撃の侵入を防ぐことは難しい」
この前提に立つと、セキュリティ対策の目的は、”侵入を食い止めるのか”だけには留まりません。
目的が多様化するのですから、それぞれの目的に応じて、適切な脅威インテリジェンスを選択し、活用していくことが肝要です。
脅威インテリジェンスを活用する目的が定まらなかったらどうするのか?
もし、セキュリティ対策の目的がなかなか定まらないという方がいらっしゃいましたら、まずは、“サイバー攻撃のライフサイクルを理解すること”をお勧めいたします。
サイバー攻撃のライフサイクルを理解するのに、分かりやすくまとめられたものがあります。
以下に図示したのが、Mandiant社(現在は、FireEye社)が“APT1”というレポート内で紹介をしている「サイバー攻撃のライフサイクル」です。
攻撃者が標的とする企業を狙い定める「①情報収集」の段階から始まり、攻撃の「⑧目的達成」をするまでを8つのステップに分けて説明をしています。
出典:Mandiant APT1レポート
(https://www.fireeye.jp/content…)
P.27 “APT1 Attack Lifecycle”より
英語表記ですと、イメージがつきにくいと思いますので、日本語に訳します。
少しイメージが湧いてきたでしょうか。それぞれのステップで、攻撃者は以下のような活動を行います。
1. 情報収集 : 攻撃者は闇雲に標的とする組織を定めるのではなく、まず、標的として狙いを定めた企業の調査から入ります。例えば、どんなシステムがあるのか。SNSの情報などありとあらゆる手段を使って、ターゲット企業の情報を集めます。どこから攻撃を仕掛けると、攻撃が成功するのか、脆弱なポイントを見つけるのです。そして、脆弱なポイントがあれば、次の「2.初期侵入」段階に移行します。
2. 初期侵入 : 「1.情報収集」段階で確認した脆弱なポイント。この脆弱なポイントに標準を絞り、攻撃者は、攻撃手法のカスタマイズを行い、攻撃を試みます。この段階の攻撃の目的は、企業の内部に侵入すること。そのための攻撃手法を選択します。フィッシングメールなどはその手法の1つです。
3. 足場確立 : 攻撃が成功したら、遠隔地からでも企業のイントラネットに入れるように足場を確立します。(例えば、バックドアツールを仕掛けるのもこのステップになります。)
4. 権限昇格 : パソコンOSの管理者権限を奪取するのがこのステップです。例えば、Windowsの管理者(administrator)権限であれば、パスワード ダンプツール(mimikaztなど)を利用して奪われます。
5. 内部偵察 : 奪取した管理者権限を利用すれば、各種ネットワーク調査のコマンドなどを自由に利用できるため、企業内のサーバ/パソコンのIPアドレスなどの情報やその稼働ポート/稼動システムなどを調査できるようになります。その権限を利用し、攻撃者は目的達成する上で、次にどのパソコン/サーバに浸潤を深めればよいか、内部ネットワークを偵察します。
6. 水平展開 : 内部偵察で把握した情報を基に、最初に侵害した端末から、目的達成に近づくために、別の端末に浸潤範囲を広げていきます。
7. 持続性確保 : 攻撃者は新たなバックドアを仕掛けたり、正規のVPNアカウントを利用して、いつでも企業のネットワークにアクセスができるような状態を作り上げます。
<この 「5.内部偵察」 → 「6.水平展開」 → 「7.持続性確保」 を繰り返しながら、徐々に目的を達成(目標とする情報を収集)するために必要なパソコン/サーバに浸潤を深めます。>
8.目的達成 : 浸潤を深め、狙った情報まで行き着くことができたら、その情報を外部に持ち出します。持ち出すために用いる手法も様々で、単純にFTPで外部に送る方法もあれば、企業のコーポレートサイトが悪用されることもあります。
少し、冗長な説明になりましたが、ここでお伝えしたいことは、それぞれのステップで攻撃者が考えていること、実行すること、そのために利用されるツールは異なるということです。
従って、セキュリティ対策をする場合、どこのステップに対する対策を行っているかの目的設定をしっかりしないと、誤った対策をしかねず、せっかく投資した製品/サービスが無駄になることもあります。
残念ながら、私の知る限りにおいて、これら全てのステップを1製品でカバーできる製品/サービスはなかなか存在しません。
特に、攻撃者が行う情報収集を防ぐのは、相当難しいと思います。
だいぶ文章が長くなってしまったので、今回のブログはここで一旦切り、続きは次回に持ち越すことにします。
次回は、このサイバー攻撃のライフサイクルを理解したうえで、「セキュリティ対策の目的」を設定するところをもう少し詳しく話していきたいと思います。