今回は、攻撃者の手口などについて解説したブログを紹介する。
まず1本めは、ソーシャルエンジニアリング。ハッカー向け会議「DEFCON」で人気のイベント「Social Engineering Capture the Flag(SECTF)」。コンテスト参加者は、大企業のセキュリティ専門家が青ざめるようなソーシャルエンジニアリングの手口を使い、電話1本でFortune 500企業のターゲットから巧みに情報を聞き出す。
大企業のセキュリティ専門家は、従業員がそうしたソーシャルエンジニアリング攻撃に引っ掛からないためのトレーニングプログラムを担当することがあるが、その多くは期待ほど成果をあげていない。トレンドマイクロは、トレーニングプログラムを向上するために注意すべきポイントをブログで考察した。
トレンドマイクロは、トレーニングプログラムの名前を工夫することを勧めている。くだらないことのようだが、これには理由がある。キャッチーなプログラム名は物笑いの種になりやすいが、トレーニングプログラムとそこで学ぶことはユーザーの記憶に残る。
トレーニングプログラムの内容では、ユーザーを攻撃側の役につかせて、基本的なソーシャルエンジニアリングの手口を教える。どのようにソーシャルエンジニアリングを実行するか学ばずして、どのようにソーシャルエンジニアリングが機能するか理解することはできない。
また、「No」と言う重要性を認識させる。ソーシャルエンジニアリングで大変有効に使われる手口は、指示に応じなければ上司が怒るだろうと暗に脅しをかけることだ。「No」と断って担当者に確認をとっても決して処罰されないと、従業員と管理者に理解させることが重要だ。
ソーシャルエンジニアリング関連の優れたトレーニングには、ソーシャル侵入テストが盛り込まれている。参加者の誰かが攻撃者を演じ、ソーシャルエンジニアリングの手口で従業員をだます。一部の企業はコスト削減のために自動テストのみ行っているが、これはかえって実際の攻撃に対して脆弱性を増すことになる。ソーシャルエンジニアリングへの抵抗力を測定するには、できるだけリアルにテストを行うべきだと、トレンドマイクロは指摘している。
攻撃ツールが監視の目をかいくぐる方法
トレンドマイクロは、攻撃ツールを仕込んだWebサイトがセキュリティベンダーや研究者の監視の目をかわす方法について、ブログで説明した。
攻撃者が使う最も基本的な手法はIPブラックリストだ。セキュリティベンダーが、スパム送信や不正サイトのホスティング、盗まれた情報の受信などに使われるIPアドレスの広範なブラックリストを持っているのと同様に、攻撃者にもセキュリティベンダーが使っていると考えられるIPアドレスのブラックリストがあり、これらIPアドレスによるすべてのアクセスを遮断する。
さらに高度な手法として、IPアドレスに1回だけ感染する「infect once」がある。セキュリティベンダーがある種の攻撃に関係するWebサイトのリストを持ち、手動あるいは自動で1つのサイトにアクセスしたとする。攻撃者は、自身が所有するバックエンドのデータベースで、この特定のIPアドレスがすでに攻撃関連のサイトにアクセスしたことがあるのを確認する。セキュリティベンダーがサイトにアクセスすると、サイトはデータベースを照合し、不正コンテンツが読み込まれないようにする。
セキュリティベンダーのクロールを回避する手法
このようなバックエンドのデータベースは、ダイナミックDNSサービスと合わせて使われることもある。攻撃者は動的に多数のランダムなURLを生成し、誰かが訪問してから数分以内にURLを非アクティブ化できる。
これら手口のすべては、程度の違いこそあれ複数の攻撃ツールが対応している。最もよく使われる手口の1つであるinfect onceは、「Blackhole」攻撃ツールのバージョン1および2をはじめ、「Styx」「CoolKit」などが備えている。
各種の対抗手段が個別に提供されているが、複数の手段を導入するのはセキュリティベンダーや研究者にとって負担になる。しかし、ユーザーの安全性を確保するには単一の保護策のみに依存しないことも重要になる。
今日のセキュリティ環境において、クラウドとエンドポイントの手法を利用する多層防御戦略は、脅威を防ぐ最も効果的な方法となっている。何より重要なことは、あらゆる側面から感染を検出するための多数の手段が相互に連携することが、新たな脅威を検出および分析するのに不可欠ということだ。
クラウドベースのセキュリティは、わずかなリソースでも広範囲にわたる強力な相関関係と防御機能によりユーザーを効率的に保護できる。それでも、エンドポイントの対策はクラウドベースの保護を補完するのに欠かせない。脅威はエンドポイントで実際のユーザーに対して実際の環境の中で発生している。
