IT用語/高度標的型攻撃

高度標的型攻撃(Advanced Persistent Threat)(2015-09-20)


標的型攻撃

特定の組織や人を絞り込んで行う攻撃
例えばある会社の社員を狙ってウィルスを添付した「なりすましメール」を送って
その会社から情報を盗んだり会社のシステムをダウンさせたりする攻撃を標的型攻撃といいます。
手当たり次第に無差別にではなくて、標的を定めているところがポイントです。

私も本で読んで知ったのですが、
特定の個人の情報をインターネット(SNS含む)からかき集めるツール、なんてものも色々と存在するそうです。
確かに、会社の特定の役職の人の名前は普通にWebサイトに載っているし、SNSに趣味とかは載せるだろうし、そこで狙った会社の役員の趣味に合わせた偽装電話&メールを送ることも容易いのかもしれませんが・・・

「高度」標的型攻撃

で、その標的型攻撃に低度も高度もあるものなのかと思ったのですが、
どうやらIPAから「『高度標的型攻撃』対策に向けたシステム設計ガイド」というのが出ているようです。
詳しくは Google:高度標的型攻撃 IPAでググってみましょう。

この設計ガイド、後半に割と実践的な(具体的なOSの設定例など)が書いてあります。
ポイントになるのは、内部対策、出口対策という発想でしょうか。

例えばウィルスの感染から情報漏洩までの流れをこんな感じだとします。

ZU_KOUDO1.png
  1. 電子メールやWebサイトを使って不正プログラムを送りこみます
  2. PCやサーバが不正プログラムに感染します
  3. 感染したPCやサーバが、インターネット上の不正機器へ情報を漏洩します

図にある、「C&Cサーバ」というのはCommand&Controlサーバのことで
不正プログラムが遠隔のC&Cサーバから指令(command)をうけとって、制御(control)されるという仕組みです。
通信はファイアウォールをすり抜けるようにHTTPプロトコル(TCP/80ポート)を使って偽装したりします。

普通は(1)の段階で、不正プログラムの感染を防ぎます。「入口対策」というやつです。
例えば怪しいWebサイトにアクセスさせないようにプロキシ設定したり、
不正なメールを受け取らないようにメールサーバに設定したりといった風に防ぎたい。

ところが、
怪しさや不正さを巧妙に隠したり、いわゆるゼロデイ攻撃のような防ぎづらい脆弱性を突いたり、社員に馬鹿が居たり、
攻撃が「高度」になってくると、もはや入口対策で防ぐのは不可能です。
こういった「高度標的型攻撃」に対しては、どうするのか

ZU_KOUDO2.png

はい、内部対策、出口対策というものが出てきます。
不正プログラムの感染が防げない場合がある、というのが前提になっているのがポイントです。
どんなに注意しても 馬鹿な社員は 高度な攻撃は 防げないのだから*1
攻撃を受けた後に被害を最小限に食い止めるのが、いまどきのセキュリティ対策の考え方になります。
具体的には、通信量の増減や特定のコマンドの実行、想定外のWebサイトへの通信等の「異常を検知する」仕組みを情報システムに実装していきます。

昨今では発見されていないウィルス/脆弱性の方が、既知のものよりも多いとか言われているので
攻撃を防ぐだけでなく、攻撃被害を迅速に検知するシステムが重要になるようです。


*1 とか書いちゃいましたけど、最近は洒落にならないくらい「高度」な攻撃や、注意したところで防ぎようがない攻撃が増えてきちゃいましたね。

  最終更新のRSS