エンカレッジ・テクノロジ通信 連動コラム

【特権アカウント管理のAtoZ】第2回:標的型攻撃対策になぜ特権アカウント管理が必要なのか

2017年4月より毎月最終火曜日のお昼に定期配信を行うことになりましたエンカレッジ・テクノロジ通信の連載コラム「毎月5分で学ぶ特権アカウント管理のAtoZ」。
第2回は、特権アカウントと標的型攻撃の関係について解説します。

標的型攻撃の脅威


猛威を奮うサイバー攻撃。その中でも特に脅威となっているのが、特定の企業を狙って攻撃を仕掛ける標的型攻撃といわれる手法です。

ターゲット企業を事前に調査し、業務内容に似せた非常に巧妙なメールを送り付けるなどの方法を取ることから、完全に侵入を防ぐことが困難な状況となっています。

標的型攻撃については、2005年頃から確認されており、すでに十年以上が経過しています。しかし近年になっても、標的型攻撃による個人情報や機密情報の漏えい事件が企業や公共団体で発生している現状です。
そのことから、独立行政法人情報処理推進機構(IPA)の発行する「情報セキュリティ10大脅威」の2017年版 組織編において、最も高い脅威として挙げられています。

初期潜入後にどのような活動が行われているのか?

マルウェア感染により初期潜入を果たした攻撃者が、最終目的である重要情報の持ち出しや改ざんを達成するまでに、どのような活動が行われているのかが、様々な機関・ベンダーの調査によって明らかになっています。

攻撃者は感染端末を踏み台にして、遠隔操作を可能にするよう外部との通信を確立するとともに、感染範囲を広げ、ネットワーク全容を把握し、重要サーバーの存在場所を突き止めアクセスを試みます。

重要システムへ侵入する方法としては、大きく2つあります。
1つはシステムの脆弱性を突く方法、そしてもう1つがアカウントの資格情報を奪う方法です。

公的機関やセキュリティベンダーの調査によると、システムへのアクセスできる資格情報を奪取するため、様々なツールが存在していることが分かっています。

認証情報を詐取する
ツールの例
機能
PwDump7 システム内のパスワードハッシュ一覧を表示する
PWDumpX リモートホストからパスワードハッシュを取得する
Quarks PwDump ローカル・ドメインアカウントのNTLMハッシュや、キャッシュされたドメインパスワードを取得する
端末内の情報に加え、NTDS.DITファイルを指定して解析することも可能
mimikatz 記憶された認証情報を搾取
Windows Credentials Editor ログイン端末のメモリ内に存在する、パスワードハッシュ情報を取得する
gsecdump SAM/ADやログオンセッションから、ハッシュを抽出するツール
lslsass lsassプロセスから、有効なログオンセッションのパスワードハッシュを取得する
Find-GPOPasswords.ps1 グループポリシーのファイルにパスワードの記載がある場合、それを取得する
Mail PassView 端末上のメールクライアントの設定に保存されているアカウント情報を抽出する
WebBrowserPassView 端末のWebブラウザに保存されているユーザー名・パスワードを抽出する
Remote Desktop PassView 端末上のRDPの設定に保存されているアカウント情報を抽出する

出典:インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 2016年6月28日 一般社団法人JPCERTコーディネーションセンター

特に特権アカウントのパスワードが奪われることは、あらゆる操作を許してしまうことになります。そのため、情報の持ち出しや改ざんのリスクが一気に高まります。

標的型攻撃の内部対策として特権アカウントの管理が重要に

ますます巧妙化するサイバー攻撃に対し、完全に防御し侵入を防ぐことが困難となっている今、初期潜入を許してしまっても、最終目的である情報の持ち出しや改ざんを行われないよう、内部対策も合わせて実施することが必要です。特権アカウントの適切な管理は、その中でも重要な取り組みの一つと言えます。
下記にご紹介するホワイトペーパーでは、標的型攻撃の内部対策として、どのような対策が必要かについて解説をしています。是非ご参照ください。

本日のコラムに関連する詳細資料のご案内
ホワイトペーパー:標的型攻撃の内部対策の要 特権アカウントの保護

 
補足:ランサムウェア WannaCry

今月12日頃からランサムウェアWannaCry(別名:WannaCrypt、WannaCryptor、Wcryなど)が世界中で猛威を奮いました。対応に追われた方も多かったと思います。

現在様々な機関で詳細な調査が行われていますが、現時点で判明しているのは、マイクロソフト社の脆弱性を突くことによって感染を広げたと考えられています。また、マルウェア自身が自ら拡散するワームの性質を有しているため、世界中で一気に感染が広まったと考えられています。

一方、WannaCryは、ターゲット企業を綿密に下調べして攻撃する標的型攻撃の要素はなく、攻撃手法自体は比較的単純なものだったと想定されています。そのため、過去に発生した標的型被害のように、特定の企業から大量の機密情報が持ち出されるといった、きわめて深刻な被害は発生していないようです。

いずれにしても、サイバー攻撃の手法は多様化を極めており、特権アカウントの管理に限らず、内部ネットワーク内のシステムであってもセキュリティパッチを適用することや、データのバックアップを定期的に取得するなど、侵入前提の対策が重要であることを再認識するインシデントであったと言えます。

<<前へ    コラム一覧    次へ>>