ページの先頭です。
ここから本文です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. NEC Information Square
  3. Event Report
  4. 「C&Cユーザーフォーラム & iEXPO 2015」特集
  5. セミナーレポート
  6. サイバーセキュリティソリューション
ここから本文です。

「C&Cユーザーフォーラム & iEXPO 2015」セミナーレポート

サイバーセキュリティソリューション
~攻撃者視点で見た標的型攻撃の技術とCSIRTの防御力~

2015年12月7日

NEC 経営システム本部/サイバーセキュリティ戦略本部 主席セキュリティ主幹 上席サービスマネジメントアーキテクト(セキュリティ) 谷川 哲司

標的型攻撃を攻撃者視点で理解し、CSIRTの防御に生かす

サイバー攻撃の手法は日々、巧妙化・多様化し、企業セキュリティにも、脅威の侵入を前提にした対策が求められています。NECではいちはやくCSIRTを立ち上げ、攻撃への対応や攻撃手法の解析を進めてきました。その取り組みの一端を、最新脅威の動向とあわせて紹介します。

まずは攻撃の手法を知ることが肝要

サイバー攻撃者たちは、標的型攻撃、不正アクセス、サービス妨害攻撃(DoS攻撃)など、様々な方法で機密情報を狙ってきます。これらの脅威に適切に対処していくには、「相手の攻撃手法を知ること」が欠かせません。まずは、サイバー攻撃がどのように仕掛けられるのか、代表的な攻撃の手法を例にみていきましょう。

近年、特に大きな問題になっている標的型攻撃では、「準備」「潜入・情報収集」「感染拡大」「情報搾取/破壊」「撤収・埋伏」という5つのフェーズで侵入・攻撃活動が展開されます。まずメールなどを通じて標的に侵入し、C&Cサーバと通信を行いながら感染対象を拡大。目的の情報を外部へ送信した後には、侵入の痕跡を隠滅します。

ここで注意したいのが、最近では「ping」などのOS標準コマンドを利用して、C&Cサーバとの通信を行うケースが増えていることです。OS標準コマンドを利用することで、ウイルス対策ソフトなどによって“異質なもの”として検知されなくなり、目的達成の可能性が高まるからです。このような巧妙な攻撃手法が登場したことで、対策はしていたものの、それをすり抜けられて被害に遭う企業も増えています。

プロのサイバー攻撃者は、一度失敗しても、別の方法で何度も攻撃を仕掛けてくることにも注意が必要です。既知のマルウェアが使えなければ、次は未知のマルウェアで攻撃をしかける。それでもダメなら今度は「対解析機能付き」のマルウェアを利用するというように、侵入に成功するまで次々と執拗に攻撃を繰り返すのです。

図[拡大する]拡大する図1 標的型攻撃は繰り返し行われる

他にも、アプリケーションの脆弱性を突く、アイコンを偽装した添付ファイル付きメールを送る、水飲み場攻撃を仕掛けるなど、攻撃手法の多様化はとどまるところを知りません。さらに最近では、解析ツールやデバッグモードの作動を検知すると活動を停止して解析妨害をするマルウェア、PCやネットワークドライブ上のファイルを勝手に暗号化して身代金を要求してくる「ランサムウェア」というものも登場しています。「この対策をしておけば大丈夫」というものはなく、最新の動向にあわせた柔軟な対策を行っていく必要があるのです。

CSIRTの活動が被害拡大を防ぐ

こうした様々な攻撃に対処していくために、近年、セキュリティの専門チーム「CSIRT(Computer Security Incident Response Team)」を設置する企業が増えています。

NECでも、2000年からインシデントレスポンスチーム(IRT)が活動を開始しており、2002年に「NEC-CSIRT」が発足。以来、脅威に関する情報収集と、解析技術向上のための研究、インシデント発生時の緊急対応への備えなどを行ってきました。

具体的には、警察やセキュリティの専門機関と連携し、最新のインシデント情報などを共有。未知のマルウェアの解析や、未発見のままとなっているサイバー攻撃の顕在化に取り組んでいます。得られた情報は自社の入口・出口対策の徹底に生かすことはもちろん、外部からの依頼を受け、マルウェア解析のご支援をする場合にも生かされています。

図[拡大する]拡大する図2 NEC CSIRTにおける業務プロセス

インシデント発生時にも、攻撃の回避・防御、調査・解析、社内外への報告をCSIRTが担当します。例えば、怪しいメールを受信したという報告が社内からあれば、ネットワーク遮断やフィルタリング、アカウントの停止、ログ解析、フォレンジック解析などとともに、ヒアリング調査も実施。経営層への報告や、従業員への注意喚起、社外広報などを行います。

このように、最新のサイバー攻撃に関する情報を把握し、仕掛けられたサイバー攻撃への対処を専門に行うチームCSIRTは、サイバー攻撃者から見れば非常に“厄介”な存在。企業の機密情報を守る有効な手段となります。

しかし、実際には自社だけで取り組むのは難しいと感じるお客さまも多いようです。そうした場合には、ぜひ私たちNECにご相談をしていただければと思います。これまでの自社実践で培った経験・ノウハウを基に、お客さまのセキュリティ対策をより高度化するご支援をしていきます。

写真

(2015年12月7日)

ページ共通メニューここまで。

ページの先頭へ戻る