近年、JPCERTコーディネーションセンター(JPCERT/CC)では、国内の組織(企業)を狙った「標的型攻撃」*を多数確認している。攻撃者は、対象とした企業・組織のネットワークに侵入して長期間にわたって潜伏し、情報窃取などを行う。
*標的型攻撃には多数の定義があるが、本特集では、「特定の組織に対して、目的を持つ攻撃者が、組織内部のネットワークに侵入後、長期間にわたって潜伏し、情報窃取などの活動を行う攻撃」と定義する。
実は、あまり知られていないようだが、標的型攻撃の多くではActive Directoryのドメイン管理者アカウントが不正に使用されている。管理者アカウントを乗っ取ると、組織内の端末を“支配”しやすくなるためだ。
そこでJPCERT/CCでは、2014年12月19日に「Active Directoryのドメイン管理者アカウントの不正使用に関する注意喚起」を公表して注意を呼びかけている(図1-1)。
図1-1●JPCERT/CCが公開した「Active Directoryのドメイン管理者アカウントの不正使用に関する注意喚起」
[画像のクリックで拡大表示]
注意喚起公表後も、管理者アカウントを不正使用する事例は相次いでいる。そこで本特集では、Active Directoryを狙う標的型攻撃の現状と対策を解説する。
効果的な対策を施すには、攻撃者の手口や行動を知ることが重要だ。そこで今回は、標的型攻撃の代表的な手口について説明しよう。
