
サイバー攻撃による被害が止まりません。最近では、ニコニコ動画等のサービスを運営する出版大手KADOKAWAグループが、「Black Suit」を名乗る犯行グループからランサムウェア攻撃を受け、社員の個人情報などが漏えいした事件は記憶に新しいと思います。
特に、政府機関や大手企業等の特定の目標を狙った標的型攻撃といわれるサイバー攻撃では、攻撃側に非常に高度な技術が要求される一方で、大量の個人情報や極めて影響度の高い情報の漏洩等、被害が大きくなる傾向があります。最近、その標的型攻撃の手法に変化が見られます。
以前はメール等を通じたスピアフィッシングと呼ばれる手法が侵入の糸口となることが多かったのですが、昨年位より「ネットワーク貫通型攻撃」と呼ばれる手法が増加をしています。
今回はこの「ネットワーク貫通型攻撃」の概要と基本的な対策について解説していきたいと思います。
ネットワーク貫通型攻撃とは
ネットワーク貫通型攻撃に関し、IPAは「企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品の脆弱性が狙われる攻撃」と説明しています。
※IPA「インターネット境界に設置された装置に対するサイバー攻撃について」
具体的には、VPNやファイアウォールなどの機能を持ったルータ等のネットワーク機器等、インターネット上に公開されている機器を対象とし、搾取したVPNアカウントを使用したり、対象とする機器が有する特定の脆弱性を突く等により外部からの不法なアクセスを確立します。
通常は、そのアクセスを確立した機器を踏み台として、さらに内部に侵入し、重要な情報の搾取等を行います。特にVPN機器の脆弱性を悪用した攻撃が数多く発生していることから注意が必要です。
狙われる企業側から見れば、VPN導入の目的がそもそもセキュリティ強化の観点である場合も多く、そのセキュリティ強化のために導入した機材が狙われる脆弱性となる、という一種の盲点となってしまっている可能性もあります。
最近では、2024年7月に国立研究開発法人宇宙航空研究開発機構(JAXA)が公表した不正アクセス被害についてVPN装置の脆弱性が起点になったとされています。
ネットワーク貫通型攻撃の特徴(利点・欠点)
しかし、そもそもなぜ攻撃側は、重要な情報が存在する内部のサーバ等ではなく、このようなルータやVPN機器といったセキュリティ・デバイスあるいはネットワーキング・デバイスを狙うのでしょうか。
少し回りくどい気もしますね。攻撃者がなぜネットワーク貫通型攻撃を使用するのか、その利点欠点について簡単に説明していきたいと思います。
利点:アクセス容易かつ、発見されにくい
攻撃側がネットワーク貫通攻撃を行う最大の利点は、「アクセス容易かつ、発見されにくい」ということが挙げられます。セキュリティ・デバイスやネットワーキング・デバイスはいわゆる「エッジ・デバイス」であり、インターネットに公開されている場合が多いです。
つまり、元々誰からでもアクセス可能、ということです。
これは、情報収集が容易であることを意味し、脆弱性に関する情報等も比較的容易に入手できる可能性があります。
また、これらのエッジ・デバイスは常に外部とやり取りを行うため、情報量が多くログの収集・管理が複雑になり易い一方で、非公開の機器に比し業務への支障を懸念して脆弱性対策が後回しになってしまう傾向があります。
加えて仮想化技術を使用する場合、その監視は一般的に技術的難易度が上がる場合が多く、EDR等による監視の対象外となってしまっている可能性もあります。
欠点:高い技術が必要
一方で、このような機材が有する特定の脆弱性をつくことは、その脆弱性に応じた攻撃手法を開発する必要があり、スピアフィッシング等のソーシャルエンジニアリング的手法に比し高い技術が求められます。
ただし、近年では犯罪者のネットワーク化が進み、ダークウェブ等を通じて特定の脆弱性を攻略するツールや、漏洩済みのVPNアカウント情報等を購入することも可能と言われています。
つまり、資金にさえ余裕があれば、そこまで高い技術がなくてもネットワーク貫通攻撃を行うことが可能となってきており、近年この攻撃が増加している要因とも考えられています。
ネットワーク貫通型攻撃の対策
ネットワーク貫通型攻撃の対策についてIPAは、「ベンダやSIer(保守契約の無い場合は販社等)へ相談し、修正プログラムやアップデートといった対策を行うとともに、既に侵害・内部侵攻を受けている可能性を考慮しアクセスログ等に不審点がないかをご確認ください。」としています。
※IPA「インターネット境界に設置された装置に対するサイバー攻撃について」
しかし、それ以前にまずは外部からの自組織ネットワークへの侵入経路となり得るネットワーク機器の把握が重要と考えられます。
意外なことかもしれませんが、このような自組織の情報資産を正確に把握出来ている組織は多くはなく、インシデント対応時にネットワーク機器を含めたシステム構成の全体像が現場からなかなか出てこないケースも珍しいものではありません。
自組織ネットワークの外界との接点を確実に把握したうえで、以下の基本的な対策を確実行うことが重要です。
① 各機器の脆弱性情報の把握と修正プログラム適用
② IPSやEDR設置、ログの収集含むネットワーク監視といったセキュリティ対策
③ VPNアカウント情報の管理(不要なアカウント削除、パスワード変更等)
ネットワーク機器の運用・監視などを外部に委託している場合は、上記の対策が契約範囲に含まれているか、確実に実行されているか、等を確認することも大事ですね