高度標的型攻撃の対策

/セキュリティ
2022.05.27

高度標的型攻撃とは

標的型攻撃とは、企業や官公庁など、特定の組織から機密情報等を窃取することを目的としたサイバー攻撃です。特に高度標的型攻撃とは、以下の特徴を持ちます。

  • 従来対策では検知・遮断が困難
  • 攻撃の核心は情報システム(組織内部)への侵入行為による情報搾取
  • コネクトバックが確立した後は高い確率で内部侵入段階に移行

攻撃のフェーズには次の4つの段階があります。

  1. 初期侵入段階
  2. 基盤構築段階
  3. 内部侵入段階
  4. 目的遂行段階
初期侵入段階

初期侵入の目的は、目標とする組織の端末にマルウェアを感染させることです。想定される攻撃の手口は以下になります。

  • 目標組織に対し、マルウェアを添付したメールを送付し、その添付ファイルをクリックさせる。
  • 目標組織に対し、マルウェアを仕込んだWebサイトのURLを貼り付けたメールを送付し、そのWebサイトにアクセスさせる。

初期侵入が成功する要因は以下になります。

  • 送られてくるメールや添付ファイルは、日常的にやり取りメールに偽装しているため、攻撃者のものと見分けられない。
  • 亜種のマルウェアが多数作られるため、従来のシグネチャベースのアンチウィルスでは検知できない。
  • 脆弱性を悪用しない手口が広まっているため、脆弱性対策をした端末でも感染してしまう。
基盤構築段階

基盤構築段階の目的は、C&Cサーバとのコネクトバック通信の開設です。コネクトバック通信のパターンは以下になります。

  • 直接外部との通信を行うタイプのマルウェア
  • プロキシと連携するタイプのマルウェア
  • プロキシの認証機能を突破するタイプのマルウェア

基盤構築が成功する要因は以下になります。

  • HTTP/HTTPSなどの通常の通信プロトコルが使われるため、通信の特徴だけでは検知が難しい。
  • ファイアウォールのフィルタリングルール(ポリシ)の形骸化や、素通しに近いプロキシでの運用のため検知が難しい。
内部侵入段階

内部侵入段階の目的は、ネットワーク環境の情報収集と侵害の拡大です。情報収集の手法は以下になります。

  • 侵入した端末から管理者アカウントのパスワードハッシュを搾取する。
  • ファイル共有機能などを使い、近隣端末に攻撃用のツールをコピーする。
  • コピーした攻撃用のツールをリモート実行し、近隣端末を乗っ取る。
  • イベントログなどを削除し、痕跡を消去する。

内部侵入が成功する要因は以下になります。

  • ユーザ端末でのファイル共有サービスの開放
  • 共通アカウントの設定
  • ユーザ端末と管理端末の共用
目的遂行段階

目的遂行段階では、乗っ取ったサーバからの機密情報の搾取や、重要システムの破壊が行われます。搾取した情報は、データ分割して外部に送出されるため、ファイル単位での発見は困難となります。また、継続的に再侵入のために、バックドアが設置も行われます。

システム設計対策

高度標的型攻撃に対する対策について、情報処理推進機構(IPA)の「高度標的型攻撃対策に向けたシステム設計ガイド」を基に解説します。

システム設計の目的は、システム内部での侵害拡大を防止することであり、その要点は以下になります。

  • 攻撃者が心理的に内部探索しづらいステム設計を施す
  • 攻撃者の内部探索活動を検知するためのトラップを設置する
  • システム管理者が内部活動を早期に気付けるようにする

システム設計対策は、高度標的型攻撃の攻撃フェーズの内、基盤構築段階と内部侵入段階における計6つの対策となります。

基盤構築段階 ・プロキシの導入
・認証機能をもつプロキシの導入
・プロキシによるアクセス制御
内部侵入段階 ・ネットワーク分離
・ファイル共有の制限
・キャッシュ機能の禁止

プロキシの導入

感染したユーザ端末から直接インターネット上のC&Cサーバへ接続するコネクトバック通信を遮断します。

マルウェアの約半分は、システム構成を意識せず直接インターネット上のC&Cサーバにアクセスしようとします。社内からの通信は明示的にプロキシ経由に限定し、プロキシを経由しない外部への通信をファイアウォールで遮断します。

具体的な実装は以下になります。

  • インターネットにアクセスを行うブラウザなどで、組織内のプロキシを明示的に指定する。
  • ファイアウォールにおいて、TCP/80やTCP/443ポートを使用するインターネット閲覧については、組織内プロキシ経由の通信のみ許可する。

認証機能をもつプロキシの導入

認証機能を持たないプロキシを突破してC&Cサーバへ接続するコネクトバック通信を遮断します。

プロキシを導入していても、認証機能がなかったり、シングルサインオンにより自動的に認証が行われる場合、または敏捷情報をブラウザに保存する設定となっている場合は、マルウェアによるコネクトバク通信が確立してしまいます。

そのため、次のような機能をもつプロキシの導入が推奨されています。

  • ユーザ管理機能付き、またはディレクトリサービスなどとの連携が可能
  • ユーザ単位での認証が可能

プロキシによるアクセス制御

CONNECTメソッドを利用してセッションを維持するコネクトバック通信を遮断します。

一般にCONNECTメソッドは、SSL/TLSなどのプロトコルをトンネリングさせるために使用されます。マルウェアはCONNECTメソッドを利用し、443ポート以外でコネクトバック通信を確立させます。

ネットワーク分離

ユーザ端末と運用管理専用端末のネットワークを分離し、ユーザ端末から運用管理業務で使われている管理者情報の搾取を防ぎます。

サーバの運用管理業務を通常業務と同じユーザ端末で行っていると、ユーザ端末がマルウェアに不正侵入されたと同時にサーバに対するアカウント情報も搾取されてしまします。

そのため、サーバの運用管理専用の端末を用意し、通常業務を行うユーザ端末があるネットワークと分離し、かつインターネットともアクセスを行わない環境に設置します。

ファイル共有の制限

攻撃者がリモートコントロールしたユーザ端末から、周囲のユーザ管理端末へファイル共有機能を悪用した内部侵害の拡大を防止します。

ツールのコピーや実行に利用されるツールは、FTPサービス、Windowsファイル共有機能、echoコマンドなどです。

キャッシュ機能の禁止

管理者権限アカウントのキャッシュを禁止することで、攻撃者に管理者権限のアカウント情報を搾取されないようにします。また、ログインを監視することで、管理者権限アカウントの不正利用を検知します。

 

IT
マネジメント、セキュリティ、ネットワーク、システム
www.sansakuro.com
2021.04.25
散策路TOP
数学、応用数学、古典物理、量子力学、物性論、電子工学、IT、力学、電磁気学、熱・統計力学、連続体力学、解析学、代数学、幾何学、統計学、論理・基礎論、プラズマ物理、量子コンピュータ、情報・暗号、機械学習、金融・ゲーム理論
www.sansakuro.com
2021.03.24

 

タイトルとURLをコピーしました