Skip to content

セキュリティマガジン TREND PARK

 A社が契約中のトレンドマイクロの運用支援サービス(※5)なら、新種・亜種の不正プログラムであっても、2時間以内に不正か否かの判断と、不正だった場合の応急的なパターンファイル(バンテージパターンファイル)が提供可能です。同時に山中氏と斉藤は、A社の重要サーバを綿密に調べていきます。「標的型サイバー攻撃の最終目標は、サーバに潜り込んで目的のファイルを盗むことです。そのために攻撃者はクライアントPCから入り込み、事態を悟られないように他のPCやサーバへの侵入を試みます」と斉藤は説明します。

 攻撃者が攻撃基盤を構築するため、最初に辞書攻撃、ブルートフォースアタックやハッキングツール等を駆使して管理者権限を奪い取ろうとします。このとき発生した大量の認証エラーなど侵入を試みた痕跡が監査ログやイベントログに残る事もあるのです。もし管理者権限を奪われた場合、攻撃者はさまざまな不正行為を自由に行える状態となるため、重要サーバへのハッキングによる侵入及びサーバ上でのデータ探索が容易に行えることになります。

 「サーバへの侵入を許してしまうと、サーバ上で何が発生していたのか通信ログの監視のみでは分からない場合もあります。昨今の不正プログラムは一度実行し目的を達成すると、侵入の痕跡を消去したり、自分自身を削除したりしますから、サーバ自体のログやファイルの変更監視も必要となります」と斉藤は事情を説明します。

 例えば、攻撃者が管理者IDとパスワードの入手に成功してしまった場合、通常の方法でサーバにアクセスすることも可能になります。そうなると通信監視だけでは捉えきれず、脅威がサーバに到達することを許してしまうケースも考えられるのです。そこで必要となるのが、斉藤のいうサーバ上で行われた変更の監視です。不審なファイルやサービスの作成や変更、削除などを見るだけでなく、ネットワークログオンやイベントログといったセキュリティログを監視することで、攻撃の痕跡や時系列を捉えるのです。これも通信ログの監視を定常運用に組み込むことと同じく、サーバの監視も同様に定常運用化する必要があるのです。これらを両立することで多層防御体制を敷き、標的型サイバー攻撃に対する強固な防衛が可能になります。

 サーバ監視もルール化して人間が行うことも可能ですが、クラウド、仮想化、物理といった多様な環境が混在した昨今の複雑な環境を考えると、サーバ環境にあわせたセキュリティ対策が行える統合型サーバセキュリティ対策製品(※6)を導入することも有効です。

本稿は2013年4月に執筆した内容の一部を編集した記事です。

後編
標的型サイバー攻撃に対抗するセキュリティ運用強化シナリオ(2)
標的型サイバー攻撃を未然に防ぐために

記事公開日 : 2014.12.12

ページの先頭へ