1.サイバーセキュリティの定義
サイバーセキュリティは,インターネットなどのサイバー空間を通じての成りすまし攻撃,マルウェア,内部関係者などによる脅威を防御,検知,解決するプロセスです。NIST Framework for Improving Critical Infrastructure Cybersecurity V1.1(「重要インフラのサイバーセキュリティを改善するためのフレームワーク」)では、「攻撃を防止、検知し、攻撃に対応することにより情報を保護するプロセス」と定義しています。
2.サイバーセキュリティにおける脅威とは
NIST SP800-30によるIT関連の脅威の定義を準用すると、サイバーセキュリティの脅威とは、インターネットなどのサイバー空間を通じて「情報の正規の権限によらないアクセス,破壊,開示,または変更,および/またはサービス妨害によって組織の業務と資産,個人,他の組織,または国家にマイナス面の影響をもたらしうる状況または事象」であり、「脅威源(脅威を引き起こす原因となるもの)と脅威事象(脅威源によって引き起こされる状況または事象で組織に対し負の影響を持つもの)に分解」されます。
具体的には、サイバーセキュリティの脅威源と脅威事象の例は以下の通りです。
脅源威 | 脅威を引き起こす原因となるもの | 敵意を持ったサイバー攻撃または物理的攻撃(内外の個人,グループ,競争相手,顧客,供給業者,国家による) |
脅威事象 | 脅威源によって引き起こされる状況または事象で組織に対し負の影響を持つもの(標的型攻撃のサイバーキルチェーン) | 偵察を行い,情報を収集 |
攻撃用のツールの製作 | ||
マルウェア等の送り込み | ||
システム内での不正アクセス,操作、攻撃の実施 | ||
攻撃による機密情報の窃取,システムの停止 |
3.標的型攻撃における攻撃方法の種類
標的型攻撃における攻撃方法としては、以下のようにネットワークの階層毎にそれぞれ種々の攻撃方法があります。
(1)ネットワークの階層毎の攻撃方法
ネットワーク基盤4階層モデル | 対応ソフトウェア | プロトコル例 | ネットワークの脆弱性を衝いた攻撃例 |
アプリケーション層 | アプリケーション | FTP,DNS,RPC,SMTP, SNMP,TLS/SSL | 下記「ネットワークサービスへの攻撃」、「ウェブアプリケーションへの攻撃」参照 |
トランスポート層 | オペレーティングシステム | TCP,UDP | SYN Flood攻撃(TCP接続におけるSYNパケット送付によるDoS攻撃) |
ネットワーク層 | IP(v4,v6),ICMP,IPSec | 大量フラグメント攻撃(部分的な分割データ送付によるDoS攻撃)、Smurf攻撃(pingを使ったDoS攻撃) | |
リンク層 | ドライバ | ARP,OSPF,PPP,MAC | ARPキャッシュポイズニング、WEP(無線通信の暗号化方式)の脆弱性攻撃 |
(2)ネットワークサービスへの攻撃
ネットワークサービスへの攻撃に関する各種の攻撃方法の例は、以下の通りです。下記の例以外にDNSキャッシュポイズニング、SNMP不正アクセスなどがあります。
ネットワークサービス名 | 攻撃方法 | 攻撃方法の説明 |
共通 | バッファオーバーフロー | プログラムがデータを格納するために確保した領域(バッファ領域)に意図的にメモリサイズを超えるデータを入力することにより,プログラムの戻り先がマルウェアになるように書き換えて,マルウェアを起動させる攻撃 |
バックドア,デバックオプション | 開発者,運用者向けの管理画面やエラーメッセージが表示される設定になっていること等により,サーバの設定を変更して気づかれずに外部と通信できるバックドアを仕込んだり,攻撃の足掛かりとなる情報を取得する攻撃 | |
メールサーバ | オープンリレー | メール送信用のSMTPサーバが,メールの送信元を従業員等に制限せず,また送信先も制限しない設定をいい,外部からの送信依頼を受け付け,メールの送信を行うことができることを利用して,当該設定のされたサーバを中継させて,送信元を隠蔽したスパムメールを送る等の攻撃 |
DNSサーバ | ゾーン情報盗取 | ゾーン情報は,あるドメイン中に含まれるホスト名とIPアドレスの対応などの情報をまとめたものであり,当該情報は,そのドメインを管理するプライマリDNSサーバから冗長化のためセカンダリDNSサーバに転送が使われるが,DNSサーバの設定の不備等をついて,ゾーン情報を攻撃者に転送させ,その構成情報を利用して攻撃 |
(3)ウェブアプリケーションへの攻撃
ウェブアプリケーションへの攻撃に関する各種の攻撃方法の例は、以下の通りです。下記の例以外に強制ブラウズ、ディレクトリトラバーサル、セッションフィクセーションなどがあります。
攻撃の分類 | 攻撃方法 | 攻撃方法の説明 |
クライアント | クロスサイトスクリプティング | 攻撃者による悪意のあるスクリプト(ウェブブラウザ上で実行される命令)が仕掛けられたリンクをユーザがクリックする等により,標的サイトで,当該スクリプトが実行され,表示された偽ページに個人情報を入力することによる情報の窃取等を行う攻撃 |
クロスサイトリクエストフォージェリ | 別のサイトに用意した悪意のあるスクリプトやURLにアクセスさせることで,意図しないリクエスト(掲示板への書き込み,商品の購入)を正規のユーザが行ったように発生させる攻撃 | |
クリックジャッキング | ユーザを誘い込んだサイト上に,透明な別のサイトを重ねて表示するようにし,ユーザがそこに見えるボタン等をクリックしていると思っても,実際にはその上の別のボタン等をクリックすることによって,意図しない操作を行う攻撃 | |
コマンド実行 | OSコマ ンドインジェクション | ウェブアプリケーションの入力フィールドに,不正なOSコマンドを入力して,実行することにより,情報の改ざん,窃取,破壊等を行う攻撃 |
SQLイ ンジェクション | ウェブアプリケーションの入力フィールドに,不正なSQLコマンドを入力して,DB内の情報を不正に操作する(情報の改ざん,窃取,破壊等)攻撃 | |
HTTPヘッダインジェクション | ブラウザとウェブサーバの間で通信する際に使われるHTTPのヘッダ(データのサイズや種類,更新時刻などを含む)に改行コードを含む文字列を挿入できると当該ヘッダ行は改行で終了し,それ以降は新たなヘッダ行として処理されることを利用して,不正な動作を行う攻撃 |
4.サイバーセキュリティの各種対策
標的型攻撃を組織のネットワークの境界線で防御することが第 1 の対策となりますが(「入口対策」),現状100%侵入を防ぐことは難しい状況となっています。そのため,内部にマルウェアなどが侵入した後,その進行を妨げ,検出する対策(「内部対策」),さらに,組織内の機密情報が外部の攻撃者に送られない対策(「出口対策」)が重要になってきています。これらの複合的な対策は,「多層防御」と呼ばれることがあり、下記に対策例をまとめています。それ以外に、脅威の検知・ハンティング、セキュアコーディングなどの対策があります。
対策分類 | 対策例 | 対策例の内容 |
入口対策 | ファイアウォール | 外部ネットワークと内部ネットワークの境界に設置され,内外の通信を中継・監視し,許可された通信のみを通す機能,社内でのIPアドレスを外部向けに変換して,内部IPアドレスを外部に隠ぺいする機能(NAT,NAPT),通信ログを記録する機能を持つシステム |
不正侵入検知・防止システム(IDS/IPS) | 不 正 侵 入 検 知 シ ス テ ム(Intrusion DetectionSystem:IDS)は,ファイアウォールがIPアドレスやポート番号で通信を許可,禁止するのに対し,通信内容まで分析して,不正の兆しのある通信に対しアラートを管理者に送る機能を持つシステム。 不 正 侵 入 防 止 シ ス テ ム(Intrusion ProtectionSystem:IPS)は,IDSの機能に加え,不正の兆しのある通信を遮断する機能を持つシステム | |
サンドボックス・振る舞い検知 | サンドボックスは,従来の過去に認識されたマルウェアの攻撃パターンをシグネチャとしてデータ化し,それに合致したプログラムを阻止する方式では,未知のマルウェアを阻止できないことから考えられたもので,隔離された仮想環境内でマルウェアの疑いのあるプログラムを動作させてマルウェアかどうかを確認することで,当該環境外へ悪影響が及ばないようにする仕組み。 振る舞い検知(ヒューリスティック検知ともいう)は,システム内のプログラムの挙動を常時監視し,ウイルスと同じような動作をするプログラムを発見すると,アラートを管理者に送る仕組み | |
メール無害化 | メール無害化 メールの本文や添付されてくるファイルにマルウェアなどが混入しないように,HTMLメールのタグの取り除きとテキスト形式への変換,添付ファイルの内容のテキスト形式への変換,マクロの取り除き,PDFの画像への変換などをセキュリティソフトウェアで行うこと | |
内部対策 | エンドポイントセキュリティ | サーバ,パソコン,スマートフォンといった社内ネットワークの末端(エンドポイント)を,サイバー攻撃から守るためのセキュリティ対策で,従来のアンチウイルスソフト以外に, 不正な通信を検知するパーソナル・ファイアウォール,スパムメール対策機能,Webサイトの危険性を評価する機能,データの暗号化,ログオン認証,OS・ソフトウェアの脆弱性対策など包括的なセキュリティ対策を含む。 |
セグメンテーション | 社内に侵入したマルウェアがネットワーク内を侵攻する動きをより困難にさせるとともに,内部犯行者がネットワークの他の部分にアクセスするのを防ぐために,社内ネットワークをより細かいセグメントに分割し,ユーザ権限やネットワークトラフィックを適切に分割すること | |
NAC(ネットワークアクセス制御) | ネットワークリソースの利用を,定められたセキュリティポリシーに準拠したデバイスだけに限定することによって社内ネットワークのセキュリティを強化する手法。 | |
出口対策 | データロス防止 | 組織内の機密情報を事前の定義に従ってスキャンし、保存場所を検出して、当該情報が含まれるファイルの利用状況を常時、組織内横断的に監視し、外部への送信などを制限するセキュリティソフトウェアを用いた対策 |
次世代ファイアウォール | UTM(統合脅威管理)に、アプリケーションの識別・制御機能を加えたもので、UTMには、ファイアウォールやVPN、ウイルス対策、不正侵入検知・防御(IDS/IPS)、Webコンテンツフィルタリングなどの機能が含まれており、入口、出口対策を含む。 |
5.まとめ
以上、サイバーセキュリティの定義、脅威、攻撃方法、対策について、その要点をまとめさせていただきました。
さらに詳しくサイバーセキュリティについて学ばれたい方に、以下のeラーニングコースと書籍を紹介させていただきます。
サイバーセキュリティアカデミー(サイアカ)
サイバーセキュリティ専門のeラーニングコースを提供しております。マルウェア解析、IoTのペネトレーションテスト、クラウドセキュリティ、デジタル・フォレンジック、OSINT、FinTech関連のセキュリティなどのコースがあります。
コースについてお知りになりたい方は、以下をクリックください。
書籍のご紹介
サイバーセキュリティの基礎及びその監査の方法をわかりやすく解説しています。サイバーセキュリティの脅威、攻撃手法、対策を詳しく説明するとともに、NISTのサイバーセキュリティのフレームワーク、AICPAのサイバーセキュリティリスクのマネージメント報告なども解説しています。Amazonへのリンク