巧妙化する標的型サイバー攻撃。企業・組織の現場担当者からは、「自組織内に知見が少ない中、どうやって攻撃を発見・対処すべきか」という声が聞かれる。この特集では、攻撃者がどんな目的で攻撃するのかを解説し、企業・組織の現場担当者がどう対応すべきか、実践的な対策を提案する。
攻撃対象を調べ、情報を探索する
攻撃者は管理者権限を取得後に、機密情報を入手するためにネットワーク内の探索を行います。一般的に、「ipconfig」「net view」「netstat」といったWindows標準のコマンドを使用します。また、Active Directoryのオブジェクトを検索する「dsquery」ツールやActive Directoryのデータをインポートおよびエクスポート可能な「csvde」ツールといったMicrosoftが提供しているコマンドラインツールを使い情報を収集します。
特に、「csvde」ツールを使うことにより、Active Directory内にあるコンピュータの情報、ユーザーアカウントの情報にひも付く氏名、部署、役職、上司の名前、電話番号、電子メール情報などの組織のあらゆる内部情報の収集が可能なため、攻撃対象の優先度を決める名簿を作成できます(図10、図11)。
今回の再現シナリオでは、攻撃者の狙いはA社の人事情報、人材育成に関する情報でした。図11に人事部所属のアカウント「shimizu」があるのが確認できたので、攻撃対象のアカウントは決まりました。
一方で、攻撃者はこのアカウントが使用しているコンピュータが何かを知る必要があります。ひも付けする方法はいくつかあるのですが、今回は「net use」コマンドを使って組織内のコンピュータの管理共有「C$」にアクセスし、「Users」フォルダー配下に対象のアカウントのフォルダーの存在有無を調べました(図12)。
コンピュータPC02には、攻撃対象のアカウントである「shimizu」がログオンした形跡があるため、PC02が攻撃対象のコンピュータとして標的になります。
なお、「管理共有」とは、主にシステム管理のために用意された共有フォルダーのようなもので、通常、管理共有に対するアクセスはAdministratorsやBackup Operatorsといった限られたユーザにのみ許可されています。