新型コロナウイルス感染症拡大の影響で、世界中の経済活動、生活様式が大きく変わる中、この混乱につけ込んだサイバー攻撃が世界各地で
急増しています。その中でも特定の組織や人を狙って行われる標的型サイバー攻撃は、テレワークが急増した近年大きな脅威となっています。また、ハッカーの手口は日々巧妙化しており、侵入対策だけでなく、侵入されることを前提とした対策が必要です。
サイバー攻撃で狙われているもの
「権限昇格」
「権限昇格」
「権限昇格」を阻止することで、多くの秘密情報・重要情報を守ることができる。
なぜ権限昇格が被害を大きくするのか
OSの操作
ウイルス対策ソフトを停止させる
- 【対策の実施】⇒ウイルスをインストールできないため、侵攻調査含め、広範囲の情報収集ができない
ActiveDirectoryの操作
ADを操作し、グループポリシーを用いてAD配下端末のセキュリティレベルを下げる
- 【対策の実施】⇒被害範囲を抑えられる
ADに登録されている情報の解析が可能となり、パスワードを含めた各種アカウント情報のすべてが利用できる
- 【対策の実施】⇒侵入を広範囲に抑えることができ、それらのアカウント情報を別の機会でも利用されない
-
- 偵察
- 多数の侵入先・侵入方法模索
-
- 侵入
- 多数の偵察結果から、ネットワークへ侵入(メール添付、Webアクセス、不正アクセス等)
-
- 感染
- 利用者権限のPCやサーバに侵入★利用者の権限を制限していればここでの被害は少ない
どんな攻撃もここからは一本道で、管理者権限が無ければ被害は限定的
-
- 権限
昇格 - 管理不備をついて管理者権限へ権限昇格し、ADや管理ツール、管理者PCへ侵入★旧来の手法、手順からほとんど変わっていない
- 権限
-
- 準備
-
ウイルス対策機能を止め、別の侵入経路から操作可能にするためバックドアを作成し、調査・攻撃用のマルウェアやツールを持ち込み、攻撃対象を選択。場合によりAD配下のPCのセキュリティレベルを下げてどこにも侵入しやすくする。
★ADの操作権限を奪われると実施していたはずのセキュリティ対策がすべて無効になる
-
- 情報
漏洩 - 攻撃先から攻撃者の条件にあうファイルをリモート操作により、クラウドサービスや送付アプリを使い送付する★従来、ファイル転送であったが、現在は一般的なサービスやアプリが悪用されるため、通常の通信と見分けがつきにくい
- 情報
-
- 暗号化
- 身代金要求と証拠隠滅を目的で各所のファイルをランサムウェアまたは同様の機能を有するツールで暗号化する
-
- 脅迫連絡
- 更に、メールまたはダークウェブ上での漏洩情報公開などの脅し、連絡を取る
| ソリューション | 偵察 | 侵入 | 感染 | 権限 昇格 |
準備 | 情報 漏洩 |
暗号化 | 事件 解明 |
復旧 対策 |
顧客 対応 |
| 対策前調査 | ||||||||||
| dit|リスクアセスメント | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | ||||
| dit|ペネトレーション診断 | 〇 | 〇 | 〇 | 〇 | ||||||
| dit|アドバイザーサービス | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | |
| テクノロジー的対策 | ||||||||||
| CyberArk|PAS | 〇 | 〇 | 〇 | |||||||
| CyberArk|EPM | 〇 | 〇 | ||||||||
| CrowdStrike | 〇 | △ | 〇 | |||||||
| ForcePoint|WSC | 〇 | 〇 | 〇 | |||||||
| ForcePoint|DLP | 〇 | 〇 | ||||||||
| Fortinet|FortiGate | △ | 〇 | 〇 | 〇 | 〇 | △ | 〇 | |||
| Fortinet|FortiEDR | 〇 | △ | 〇 | |||||||
| SSH|Tectia | 〇 | |||||||||
| SSH|PrivX | 〇 | |||||||||
| 人的対策 | ||||||||||
| KnowBe4 | 〇 | 〇 | 〇 | |||||||
| 事後対応 | ||||||||||
| dit|フォレンジック | 〇 | 〇 | ||||||||
| dit|サイバー情報パトロール | 〇 | |||||||||
| dit|危機管理コンサル | 〇 | 〇 | 〇 | |||||||
| dit|ログ解析 | 〇 | 〇 |