標的型サイバー攻撃は防げる?
2. 標的型サイバー攻撃の目的
全容を把握して頂くため、まずは、標的型サイバー攻撃の仕組みを解説したが、そもそも攻撃者は何を目的としているのだろうか?標的型サイバー攻撃の目的は、冒頭でも触れた通り、機密情報等の知的財産である。標的型サイバー攻撃以前のこれまでの攻撃は、技術力の誇示や社会に向けたメッセージ発信などの、自己顕示を目的とした、利益度外視の攻撃だったが、標的型サイバー攻撃の場合は、明確に、金銭的価値を持つ知的財産を狙った営利目的の活動と言える。
|
|
| 図2:標的型サイバー攻撃の目的 |
◆◇◆◇ コラム:攻撃者のモチベーション変化 ◆◇◆◇
こういった攻撃者の目的の移り変わりは、企業を標的とした標的型サイバー攻撃だけでなく、一般のコンシューマーを狙った攻撃にも現れている。フィッシングはその代表と言えるだろう。
フィッシングは、例えば銀行のオンラインバンキングを装った偽のページを作り、間違ってアクセスしたユーザーにパスワード等を入力させるといった手口で、金銭の搾取を目的としている。余談だが、従来のフィッシングではタイプミスを狙い、間違えやすいドメインを取得する事で受動的にフィッシングサイトへ誘導する形だったが、マルウェアと組み合わせ、マルウェアに感染した端末のhostsファイルのエントリを作成し、正規のURLをタイプしても強制的にフィッシングサイトへ誘導するような、能動的なフィッシングの仕組みも登場している。
近年の攻撃者は、対象がコンシューマーであっても、企業であっても、金銭的価値のあるリソースを狙っているという事を認識しておく必要があるだろう。つまり、標的型サイバー攻撃は、攻撃者にとってはビジネス活動なのである。
3. 標的型サイバー攻撃の対象
<1.標的型サイバー攻撃の仕組み>で解説した通り、標的型サイバー攻撃では、クライアントを狙った攻撃が行われる。クライアントを乗っ取る事で、「サーバーからの機密情報入手」、「入手した機密情報の外部へのアップロード」という二つの仕事をさせるのである。なぜそんなに回りくどいやり方をするのだろうか?
これは、「将を射んとすればまず馬から」と考える事ができる。
攻撃者が目的としている機密情報は、企業ネットワーク内のサーバーに保存されているケースがほとんどだろう。そのため、攻撃者から見ると、機密情報までの道のりは、FW、IPSと様々な障壁がある上、そもそもNAT配下であるため、通常、攻撃者から直接アクセスする事はできない。また、たとえDMZ上のサーバーに置いてあり、直接アクセスできるような環境であったとしても、最近では相応のセキュリティ対策が施されているため(残念ながら施されていない場合もあるが、それは論外である。また、DMZ上に機密情報を置く設計をしている時点で設計ミスと言う事もできる。)、攻撃者が試みたアタックのうち一つが成功したとしても、失敗のログが大量に残る。つまり、標的に気づかれやすい訳だ。
攻撃者の理想としては、時間をかけずに標的を攻略し、標的に気づかれる事無く、長期間情報を吸い上げるといったところなのだが、これでは、攻撃者にとっては非常に費用対効果が悪い上に、泥臭く、スマートではない。ではどうするのか?サーバーへアクセス権限のあるクライアントを乗っ取れば良いのである。つまり、アクセス権限を持たない者がアクセスできるようにするのではなく、アクセス権限を持っている者を操るという事だ。そのため、クライアント端末を狙い、乗っ取ったクライアント端末を操作して機密情報へアクセスさせるという訳である。
|
|
| 図3:クライアントへの攻撃 |
