2018年7月20日
常識を疑え!ハッカー視点のセキュリティ
筆者)株式会社トライコーダ 上野宣
第4回 ハッカーだって油断も失敗もする、侵入されている前提のセキュリティ対策
ハッカーが会社の内部ネットワークに侵入するというのはどういう状況でしょうか。ハッキングテクニックを駆使して鮮やかに一瞬で貴社の情報を奪っていくのでしょうか。
多くの場合は違うと言えます。ハッカーは侵入した後に、時間を掛けて情報を収集します。
つまり、ハッカーはしばらくあなたの会社のネットワーク内に居座り、じっくりと活動する可能性があるのです。
ハッカーの最初の目的はコネクトバック通信の確立
まず、ハッカーはどのようにして侵入してくるのでしょうか。ほとんどの組織の内部ネットワークでは、ルーターやファイアウォールなどによって直接インターネット側から内部ネットワークにアクセスすることはできません。
どうやって内部ネットワークのコンピュータを遠隔操作するのかというと、RAT(Remote Administration Tool)と呼ばれる遠隔操作を行うマルウェアを使うのです。初期の感染手法などは前回までに述べたとおりですが、RATがあるとなぜ遠隔操作ができるのでしょうか。これはRATによる「コネクトバック通信」が関係してきます。
たとえば、内部ネットワークのコンピュータのブラウザからWebサイトにアクセスをする場合、内部ネットワークのブラウザから通信をスタートしますが、その返答としてインターネット側のWebサイトからHTMLや画像などのデータが送られてきます。RATはこの仕組みを活用するのです。
内部ネットワークで動作しているRATが、インターネット上のC&Cサーバと呼ばれる管理中継サーバに接続しに行けば、C&Cサーバはその返答としてコマンドや新しいプログラムを送り込むことが可能になります。これがコネクトバック通信を利用したインターネット側から内部ネットワークのRATを遠隔操作するための手法です。
侵入初期はダンジョンのようなもの
RATによって遠隔操作をされたら、もう貴社の情報は盗まれたも同然なのでしょうか。
それは違います。RATによって遠隔操作中のハッカーは、ゲームなどのダンジョンに入って周りが真っ暗な状態に近いのです。考えてみてください。仕掛けたRATがどこのコンピュータで動き始めたのか、そしてそれは社内のどの辺りに位置するのか外部の人間からすると知るよしもありません。
つまり、ハッカーは最初自分がどこにいるのか、どこに何があるのか、目的地までどうやって移動すれば良いのかわかっていないのです。
ハッカーは最初に侵入した端末から自分がいるネットワーク内を調べたり、近くのコンピュータに侵入したりすることによって、徐々に地図を作って行き、自由に出来る端末を増やしていくのです。つまり、すぐに重要な情報にたどり着くとは限りません。
もし、あなたなら目的を達成するのにどれぐらいの時間が掛かりそうでしょうか。
これは組織やネットワークの規模、そして施行されているセキュリティ対策によっても異なります。広大なネットワークや複雑なネットワーク、防御対策が多いネットワークや監視の目が光っているネットワークなどはそう簡単に行かなさそうですよね。さて、貴社のネットワークの場合にはどれぐらいの時間が掛かりそうでしょうか?
ハッカーの失敗や油断を発見すべし
内部ネットワークで活動を行っているハッカーはたくさんの痕跡を残しながら活動をします。
ハッカーは隣のコンピュータやサーバなどに攻撃を繰り返しますし、ファイルやデータベースなどにもアクセスをします。サーバなどの認証機能を突破しようとパスワードを探るかもしれません。
目的地がどこにあるかもわからないのに、これらの行動を一度の失敗もなく実行できるでしょうか。そんなことはありません。ハッカーがどれだけ鮮やかなテクニックを持っていたとしても必ず失敗することはあります。
攻撃が華麗に成功した際の行動は、正規の行動と見分けが付きにくいものもあるため検知するのが難しいこともあります。しかし、繰り返される失敗は検知できる可能性がそれよりは高いのです。
成功した攻撃は、一般ユーザーが実行した処理と変わらないこともあります。しかし、失敗した攻撃は、一般ユーザーが通常取ることがない行動のはずです。普段起きない現象や状態を発見することで、内部侵入している最中のハッカーを発見することができるかもしれません。
マルウェア感染による初期侵入の段階を抑えるのは難しいので、侵入された後の内部ネットワークでのハッカーの活動を発見するのです。発見すればRATを排除し、C&Cサーバとの接続を切ってしまえば被害は止まります。つまり、被害を最小化することができるのです。
万が一、侵入されたとしても、機密情報を持ち出されたり、破壊活動などを免れることが重要ではないでしょうか。もちろん、再び同じ手で攻撃されないようにセキュリティレベルを向上させなければいけないことは言うまでもありません。
