内部犯行への対策、外部からの攻撃に対する防御
重要情報へのアクセス権限を持っていない人の内部犯行や、外部からの標的型攻撃の場合、攻撃者が最初の目標とするのは、全権限が得られるドメインコントローラの管理者権限を奪取することだ。まず乗っ取ったPCから、他のPCやサーバーの管理者権限を得ようとする。
アクセス権限を持っている人の場合、直接目標となる重要情報にアクセスできる。このため内部犯行がクローズアップされやすいが、実際の事故件数で見る限り、外部犯行のほうが多い。「対策は両方のケースを想定する必要がある」(高橋氏)。
アクセス権限を持っていない人や標的型攻撃の場合、最終的にはドメインコントローラの権限の奪取と、それに伴う重要情報の奪取が目的だ。一方、アクセス権限を持っている人が内部犯行におよぶ場合は直接データを奪えばよいが、一般的には情報窃取をチェックする機構がある。右下は「2014年夏に問題になった会社」が取っていた対策で、一通りのことはやっていたという |
権限を奪取する手口の1つとして「Pass The Hash攻撃」の例示。クライアントに残っていることが多いIDとパスワードを、ハッシュ関数で数値化したものを使ってログインを試みる |
M内部犯行が大きく取り上げられることが多いが、件数は圧倒的に外部からの攻撃が上回る。ただ、それでも対策は両面(外部からの攻撃と内部犯行)から行う必要がある |
また、最近は日本でも被害が急増しているオンラインバンキングに関しても言及。オンラインバンキングは通常、IDとパスワードに加えて、乱数表やワンタイムパスワード(OTP)、暗号鍵を使って防御している。
乱数表やワンタイムパスワードを突破する手法としては、MITB(Man in the Browser)によってユーザーのWebブラウザを乗っ取る攻撃が行われている。また、公開暗号を使う企業向けサービスでも、マルウェアを感染させて秘密鍵をエクスポートしたり、エクスポート不能な場合は秘密鍵そのものを消してしまい、再発行の時を狙って奪取する手口があるという。
このような攻撃はインターネット社会が拡大するにつれ、単なる愉快犯からサイバークライム、サイバーテロ、諜報、紛争と拡大した。マルウェア数が爆発的に増えたのは、多種のマルウェアがあるわけではなく、プログラムをドキュメントに埋め込んで配布する手口と、難読化に伴う暗号化によって大量の亜種が発生していることを挙げた。