標的型攻撃対策

ITシステムのセキュリティ対策の中でも厄介で脅威となっているサイバー攻撃。ここでは、特定のターゲットを定めて執拗に攻撃を仕掛けてくる標的型攻撃、APT( Advanced Persistent Threat )への対処の一端をお伝えします。

急増するサイバー攻撃。狙われている日本の情報資産。標的とされていることを前提とした、より包括的なセキュリティ対策を

報道される標的型攻撃の事案は氷山の一角であり、実際には、侵入されていることに気づかずにいる被害組織はかなり多く存在しています。

標的型攻撃に見られる特徴
  • ステルス性の高い攻撃(潜伏期間が長い)
  • ソーシャルエンジニアリングを利用した巧みな手口
  • 国家を背景とした攻撃組織
  • 狙われる産業: 防衛、航空、宇宙、機械、化学、病院、公的機関、エネルギー、報道機関など
  • 攻撃というより情報を狙った諜報活動(スパイ活動)に近い

高い目的意識と技術を持った攻撃者の脅威から、私たちの情報資産を守るにはどうしたらよいのか…。
標的型攻撃対策の取り組み方の1つをご紹介します。

認識するべき課題

ウイルス対策製品などのレガシー対策の存在は、攻撃者にとっては百も承知です。初期侵入段階や潜伏段階におけるツール、テクニック、手法が多様化しており、攻撃者の知見は、防御側のそれを圧倒的に凌駕していると言わざるを得ないのが現実です。

  • レガシー対策の限界(検知回避テクニックの存在)
  • 初期侵入されることは避けられない
  • 攻撃者の知見や技術スキル >> 防御側の知見や技術スキル
  • セキュリティ人材の不足
  • 事後対処の課題
認識するべき課題

もはや攻撃は止められない。
攻撃に備えてしておくべきことは何か?
攻撃された時にどのように対処するか?

攻撃者の手を知る

企業が自社のセキュリティ体制を見直す上で欠かせないフレームワークが、攻撃の手順をプロセスごとに階層化した「Cyber Kill Chain※1」です。「Cyber Kill Chain」は、Lockheed Martin社のMike Cloppert氏らによって提唱された考え方です。

Cyber Kill Chain (サイバー・キル・チェーン)

サイバー空間の標的型攻撃における攻撃者の行動を分解した考え方を「Cyber Kill Chain」と呼びます。いずれかの階層で脅威を断ち切るという多層防御の考え方を理解、設計するのに役立ちます。

攻撃者の手を知る

Cyber Kill Chain 各階層における対策

それでは、各階層でどのような対策ができるのかを見てみます。

  階層 予防 ブロック 検知 フォレンジック



偵察
  • ユーザ教育
 
  • SNS・掲示板などの監視
 
武器化  
  • ホスト型ウイルス対策
配送
攻撃
  • パッチ管理
  • ユーザ教育
インストール
  • ホスト型ウィルス対策



  遠隔操作
  • PFW(プロセスベースアウトバウンド制御)



侵入拡大  
目的実行
  • 暗号化
 

現在利用しているセキュリティ製品をこのフレームワークに照らし合わせることが「どの領域が甘いのか」「どこに投資を行うか」の判断をする助けとなるでしょう。

また、上位階層での対策で防御できることが望ましいです。しかし、上位階層で防げないケースを想定し、下位の階層でも対策を施しておくことが大切です。一つの製品で検知に失敗しても、他の製品で検知ができるような多層防御の考え方が必要です。

さらに、攻撃の既知・未知の両面を意識した対策を打つこともポイントです。

攻撃者の一歩先へ

攻撃者は、私たちが思っている以上に勉強熱心です。そのため、ある時点での最新テクノロジーが、数年で陳腐化することも十分あり得ます。つまり、防御する側も、常にセキュリティに関する最新の情報を入手し、攻撃を先回りする「攻めの防御」に努める必要があるのです。そして、そういった情報をタイムリーに提供してくれる「信頼できるパートナー」を見つけておくことが重要です。

「攻めの防御」へ向けた戦略例

  • 多層防御
  • パターンマッチングから振る舞い検知へ
  • セキュリティベンダのインテリジェンスやOSINTの活用
  • 攻撃者をだます技術
  • マシンラーニング
  • アタックサーフェスの徹底管理
  • SOC/CSIRTの立ち上げ
  • 止めないセキュリティ

用語解説

APT

「Advanced Persistent Threat 」の略。標的型攻撃の一種に分類される。特定の組織の機密情報搾取やシステムの破壊などを目的とし、ターゲット(組織・個人)のサイバー空間へ不正侵入し、偵察をする。そしてターゲットに適した手法やタイミングで目的が達成されるまで執拗・継続的に仕掛けるサイバー攻撃のことをいう。

Cyber Kill Chain (サイバー・キル・チェーン)

サイバー空間の標的型攻撃における攻撃者の行動を分解した考え方。攻撃のシークエンスを示す軍事用語「Kill Chain」に由来する。

Lockheed Martin社によるCyber Kill Chainに関する原文はこちら

※1 CYBER KILL CHAINは、米国 Lockheed Martin Corporation の米国における登録商標または商標です。

EDR

「Endpoint Detection and Response」の略。エンドポイントにおける標的型攻撃対策ツール。