「最新セキュリティ動向〜シフトする脅威」(1) 攻撃対象と攻撃目的はどのように変わったのか? | ScanNetSecurity
2024.05.03(金)

「最新セキュリティ動向〜シフトする脅威」(1) 攻撃対象と攻撃目的はどのように変わったのか?

NTTデータ・セキュリティ株式会社
診断サービスグループ ペネトレーションテストチーム 辻 伸弘

特集 特集
facebookLINE
NTTデータ・セキュリティ株式会社
診断サービスグループ ペネトレーションテストチーム 辻 伸弘


昨年末にNTTデータ・セキュリティ株式会社が開催したセミナー「最新セキュリティ動向から見る脅威と対策」では、質的に様変わりしつつあるセキュリティ脅威の最新事情と、企業が取るべき効果的な対策について語られた。

なかでも、NTTデータ・セキュリティ 診断サービスグループ ペネトレーションテストチームの辻 伸弘氏による講演「最新セキュリティ動向 〜シフトする脅威」では、攻撃対象や目的の変化が生み出す新しい攻撃実態を、会場内に仮設したLANを実際に攻撃を行い、デモンストレーション形式で説明するという興味深い手法がとられた。当日の講演の模様をレポートしよう。

協力:NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/

───

>> 現在までの脅威、公開サーバ等を狙う愉快犯

まず最初に辻氏の講演では、これまでの伝統的な攻撃手法は、公開サーバを狙う攻撃と個人のパソコンを狙う攻撃の二種類あったことが解説された。

すなわち、Web改ざんやDDoS攻撃、リソース占有による踏み台等の、いわゆる公開サーバを狙う攻撃と、もうひとつは、メールで拡散するウイルスや、ネットワークに感染するワームといった、個人のパソコンを狙う攻撃である。

このように従来の攻撃ではもっぱら、公開サーバや個人のパソコンが攻撃対象とされており、企業内のLAN等の内部ネットワークは、メール拡散型ウイルス等の被害はあったものの、主な攻撃対象ではなかったと言えるという。

それでは従来型の攻撃者はいったいどんな動機で攻撃を行っていたのか。

従来型の攻撃者の動機の類型は以下の通りである。公開サーバへの攻撃では、たとえばWebサイトの改ざんやDDoS攻撃、リソースの占有のほとんどは、若者やギークによる自己顕示や、政治宗教の立場による思想的怨恨などが動機として行われていたという。自己顕示の特殊なケースとして、ブラジルでは、学生や若者がIT技術の水準を就職希望の企業にアピールするため、いわば就職活動としてWeb改ざんが行われることがあるという例も挙げられた。

個人ユーザを狙う攻撃は、自己顕示に加え、啓蒙活動も含まれる。すなわち、特定の脆弱性にパッチを施さないユーザーに対して警鐘を鳴らすことを目的とした数々のワームやウイルスなどがそれである(「コンセプトワーム」「コンセプトウイルス」と呼ばれる)。

双方の動機に共通するのは、攻撃者が自分の技術と知識を駆使し、コンピュータに対して被害を与え、私的な好奇心や自己顕示欲、思想的意志を満たす点であると言える。


>> 様変わりする脅威、すべてのコンピュータの向こうの金銭を狙う犯罪者

以上に対して、ここ1〜2年の新しい攻撃手法は、公開サーバや個人のパソコンだけではなく、すべてのコンピュータと、そのユーザを狙う攻撃にシフトしているという。

攻撃の具体例としては、不正にユーザに送金させるためのフィッシング詐欺や、ユーザの情報を搾取するキーロガーやスクリーンキャプチャ、ボットネットへの誘導などが例に挙げられる。

こうした新しい攻撃へのシフトは、攻撃者の動機が、コンピュータ自身への被害ではなく、攻撃をすることで得たIDやパスワードをもとにした不正送金や、自分が構築したボットネットを不正利用に有償レンタルするなどの、具体的な金銭的利益を目的としていることが原因だ。


>> ボットネットのレンタル料金とは

大きくシフトした脅威の例として、ボットネットが詳しく解説された。ボットネットとは、コンピュータウイルスの一機能で、コンピュータに感染し、そのコンピュータをネットワークを通じて外部から操ることを目的として作成されたプログラムである。

感染したコンピュータは外部からの指令を待ち受け、与えられた指示に従って様々な処理を実行させられてしまう。そのようなコンピュータと指令を送るコンピュータで構成されたネットワークをボットネットという

ボットへの感染は、従来のウイルス同様、メール添付、HTMLメール等ネットワーク経由によるものや、人為的な侵入によりボットプログラムをインストールされ感染するケース、Webサイトを閲覧した際に脆弱性を利用され感染するなどさまざまだという。

一度ボットに感染し侵入されると、ボットに感染したコンピュータは悪意のあるユーザが用意した特定のサーバへ自ら接続を行い、ボットネットワークを構成する一員となってしまう。

ボットの親玉サーバへの接続の際に、ファイアウォールは通常内部から外部への通信に寛容に設定されていることが多いため、ブロックされないことが多い。NTTデータ・セキュリティ株式会社 診断サービスグループが行ったペネトレーションテストの結果によれば、ボットが内側から行った通信は、簡単にファイアウォールを通過してしまったという。そして、一度接続が確立してセッションが成立すれば、そのパソコンは外部から自由に操作することが可能になってしまう。DDosやスパム送信等の指令を下され、攻撃に利用されてしまうわけだ。たとえば悪意ある個人や組織がスパム送信用サーバとして1万台のボットネットワークをレンタルした場合、そのレンタル料は1時間300ドルが相場だという。

辻氏によれば、世界各国でボットネットワークが確認されており、2005年10月の警察庁調査では、日本国内でも14万台のボット感染のネットワークが確認されたそうである。ボットはその全ての処理をステルス化して、目立たない工夫をこらしているため、多くのユーザーは自分が毎日使っているパソコンがボットに感染していることには気づいていないそうである。

そして実際に、ゼロデイアタックとして報道された「Vector Markup Language の脆弱性により、リモートでコードが実行される (MS06-055)」をついたWebブラウザでアクセスすると、攻撃を受けてしまうデモンストレーションが行われた。会場内のデモ環境で、ユーザーを模したパソコンからデモ用のHTMLファイルにWebブラウザでアクセスし、ユーザーがエクスプロイットコードを含むリンクをクリックすると、悪意のあるプログラムがいとも簡単にインストールされてしまった。

【取材・文:SCAN編集部】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  6. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  7. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  8. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  9. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 特集 特集 記事
TOP