• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

サイバークライムアナリストが明かす標的型攻撃の実像

手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(2)

平原 伸昭=トレンドマイクロ 上級サイバークライムアナリスト 2016/04/21 ITpro

 巧妙化する標的型サイバー攻撃。企業・組織の現場担当者からは、「自組織内に知見が少ない中、どうやって攻撃を発見・対処すべきか」という声が聞かれる。この特集では、攻撃者がどんな目的で攻撃するのかを解説し、企業・組織の現場担当者がどう対応すべきか、実践的な対策を提案する。

 前回の記事:手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(1)

攻撃対象を調べ、情報を探索する

 攻撃者は管理者権限を取得後に、機密情報を入手するためにネットワーク内の探索を行います。一般的に、「ipconfig」「net view」「netstat」といったWindows標準のコマンドを使用します。また、Active Directoryのオブジェクトを検索する「dsquery」ツールやActive Directoryのデータをインポートおよびエクスポート可能な「csvde」ツールといったMicrosoftが提供しているコマンドラインツールを使い情報を収集します。

 特に、「csvde」ツールを使うことにより、Active Directory内にあるコンピュータの情報、ユーザーアカウントの情報にひも付く氏名、部署、役職、上司の名前、電話番号、電子メール情報などの組織のあらゆる内部情報の収集が可能なため、攻撃対象の優先度を決める名簿を作成できます(図10、図11)。

図10●再現環境上のバックドアからcsvde.exeを実行した画面。Active Directoryのアカウント情報をcsvdeコマンドで取得している。
[画像のクリックで拡大表示]
図11●csvdeコマンドで取得した再現環境のActive Directoryアカウント情報の画面例
[画像のクリックで拡大表示]

 今回の再現シナリオでは、攻撃者の狙いはA社の人事情報、人材育成に関する情報でした。図11に人事部所属のアカウント「shimizu」があるのが確認できたので、攻撃対象のアカウントは決まりました。

 一方で、攻撃者はこのアカウントが使用しているコンピュータが何かを知る必要があります。ひも付けする方法はいくつかあるのですが、今回は「net use」コマンドを使って組織内のコンピュータの管理共有「C$」にアクセスし、「Users」フォルダー配下に対象のアカウントのフォルダーの存在有無を調べました(図12)。

図12●再現環境のバックドアから「net use」を実行し、Usersフォルダー配下を確認
[画像のクリックで拡大表示]

 コンピュータPC02には、攻撃対象のアカウントである「shimizu」がログオンした形跡があるため、PC02が攻撃対象のコンピュータとして標的になります。

 なお、「管理共有」とは、主にシステム管理のために用意された共有フォルダーのようなもので、通常、管理共有に対するアクセスはAdministratorsやBackup Operatorsといった限られたユーザにのみ許可されています。

次ページ以降はITpro会員(無料)の方のみお読みいただけます。

次ページ しかし、この段階では既に管理者権限は奪われてしま...
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る