サイバーセキュリティ脅威の捉え方について

１．はじめに

これから始めようとするシステム開発案件において、セキュリティ要件の充足度を確認しなければならないといった際は、各企業で定めている規定手続きやチェックリストで充足状況を確認することが多いかと思います。
そしてこれらの社内規定やチェックリスト自体については、NIST（米国立標準技術研究所）やFISC（金融情報システムセンター）が発行しているガイドラインがもとになっているケースが多いのではないかと思われます。

しかしこれらのガイドラインがカバーする範囲は非常に広く、システム開発に関わるセキュリティ要件の充足度を確認したくても、どこが該当しているのか見当たらない、といった経験がある方は多いのではないでしょうか。
筆者も例えば、クラウド環境のインターネット接続に伴うセキュリティ要件や、メールに関わるセキュリティ対策システムの実装要件を纏めようとした際に、様々なガイドラインを調べたものの、結局のところ適切なものを見つけることができなかった経験があります。
そうした背景からか、対策要件の裏返しであるサイバーセキュリティ脅威が纏められているものが欲しい、という声をよく耳にします。しかしながら、そのような資料もテーマを特定したものは見つけられても、脅威全体を俯瞰したようなものは見たことがありません。

そこでこのコラムでは、サイバーセキュリティ脅威の全体感をどう捉えればよいのか、ということを考えてみてみたいと思います。それぞれの脅威に対する理解を深めて頂けるように、具体的なサイバー攻撃手段も合わせて記載しますが、攻撃手段は日進月歩するものですので、全ての攻撃手段を記載できる訳ではない点はご容赦ください。
またセキュリティ脅威として捉える範囲は「サイバーセキュリティ」、即ち電子的な手段で生じる脅威を対象とし、例えば設備の入退館といった物理的なものや、組織の運用体制などに関わるものなどは考慮外とさせて頂きます。

さてサイバーセキュリティ脅威を全体感で捉えるにあたり、人や組織、システムなど、脅威の対象を具体的にイメージすることがポイントになると筆者は考えます。その場合、サイバー脅威の対象を「公開サービス環境とその利用者」、「社内システム環境とその従業員」の２グループに分けて捉えることで、脅威全体を俯瞰して見れるようになると思います。
それでは以下の章で、それぞれのグループ毎に、どういったサイバー脅威があるのかを具体的に見ていきましょう。

２．公開サービス環境とその利用者に関するサイバー脅威

インターネット上で公開されているECサイトなどのWEBサービスは、金銭目的のサイバー犯罪グループから古くより直接のターゲットにされてきました（図１Ⓐ）。その一方で、こうしたWEBサービス環境のセキュリティ対策が年々強化されてきたことを受け、近年ではサービスの利用者側を対象とした攻撃が増えてきています（図１Ⓑ）。

この章では、図１のⒶとⒷそれぞれに対する攻撃手法やサイバー脅威を確認していきます。

（１）公開WEBサービス環境に対するサイバー攻撃（図１Ⓐ）

ECサイトなどのWEBサービスは、利用者との間で決済取引を行っていることもあり、サイバー犯罪のターゲットとして、サービス停止と金銭要求を組み合わせた攻撃や、利用者に成りすました不正利用、WEBアプリケーションの不備を突いた攻撃や、サイト改ざん等の脅威に晒されてきました。
またWEBサービスがホストされる環境につき、企業所有のデータセンターからパブリッククラウド環境への移行が進んだことを背景に、クラウド特有の事故が目立ってきています。

①サービス停止
DoS攻撃やDDoS攻撃はWEBサービスの停止を目的とした攻撃ですが、攻撃停止と引き換えで金銭要求を求めるケースや、政治的な理由での攻撃もよく起きています。
具体的な手法には、SYNフラッド、ACKフラッド、UDPフラッド、HTTP GET/POSTフラッド、Slow HTTPなど様々あり、DNSアンプ攻撃はUDPフラッド攻撃の一種で、Mirai等のマルウエアに感染したIoT機器がDDoS攻撃元となることがあります。
②利用者に成りすました不正利用
利用者とWEBサイト間の通信に介在するなどで利用者の認証情報を奪い、攻撃者が利用者に成りすまして不正にＷＥＢサービスを利用しようとする攻撃です。
具体的な攻撃手法は、WebセッションCookieの乗っ取り、アプリケーションアクセストークンの侵害、ブルートフォース攻撃、リスト型攻撃（Credential Stuffing）など。
③WEBアプリケーションの不備を突いた攻撃
WEBアプリケーションに適切なセキュアコーディングを施していない場合には、WEBサービスの利用者情報が搾取されるなどの攻撃を受ける可能性があります。
具体的な攻撃手法は、クロスサイトスクリプティング、SQLインジェクション、OSコマンドインジェクション、ディレクトリトラバーサル、クロスサイトリクエストフォージェリ、バッファオーバーフローなど
④WEBサイト改ざん
システム設定ミスや使用中の製品の脆弱性が放置されていると、WEBサイトを改ざんされ、水飲み場攻撃の足場として利用されるなどの攻撃を受ける可能性があります。ゼロデイエクスプロイトは、脆弱性が公表された直後に攻撃を受ける脅威です。
⑤不適切なアクセス権限設定
アクセス権限が適切に設定されていない場合、情報漏洩などの深刻な被害を招くことは従来からある脅威ですが、特にパブリッククラウドでは誰もが簡単に開発を始められる半面、セキュリティに不慣れな開発者が事故を起こすケースが目立っています。
具体的には、不十分なクラウドアクセス管理設定や、情報公開に関わる設定ミスにより、意図しない情報公開や、攻撃者によるアクセス権限情報の奪取、クリプトマイニングに利用されるといった事例が多く報告されています。

（２）WEBサービス利用者に対するサイバー攻撃（図１Ⓑ）

サービスやシステムが堅牢に構築され、厳格に運用されていたとしても、サイバー攻撃者は人の弱さに付け込み、攻撃を成功させることができます。
WEBサービス利用者のアカウントを乗っ取ることで、例えば銀行のオンラインサービスに乗っ取ったアカウントでログインし、攻撃者の口座に不正な送金を行うことができます。WEBサービス側も追加対策としてショートメール等の２要素認証を導入したりしていますが、攻撃者側もSIMジャッキングなど新手の攻撃でイタチごっこが続いています。
アカウントを乗っ取るための手段としては、フィッシングやソーシャルエンジニアリング、利用者端末のマルウエア感染、通信経路上での中間者攻撃など多くの手段があります。
またこうして不正に奪われたアカウント情報が、ダークウエブなどの闇サイトで販売されることで、より多くの攻撃者に再利用される可能性があります。

①   フィッシング
フィッシングは正規のWebサイトに良く似た攻撃者のサイトに利用者を誘導し、利用者のアカウント情報を入力させて情報を奪い取るシンプルな攻撃手段ですが、奪われたアカウント情報の大半がこの手法によるものだと言われています。
利用者を攻撃者のサイトに誘導する方法としては、正規のサービス提供者を装ったフィッシングメールや、DNSハイジャック（DNS登録情報の不正更新、DNSキャッシュポイゾニング）など。また正規のサービス提供者のドメインとよく似たドメインが利用されることがあります。（タイポスクワッティング、ドッペルゲンガードメイン）
またソーシャルエンジニアリングは、利用者からアカウント情報を直接聞き取ったり、攻撃者の口座に不正な送金を求めたりする攻撃です。
②   利用者端末のマルウエア感染
フィシングメールを通じて利用者の端末にマルウエアを配信する攻撃（フィシングペイロード）などにより、利用者端末が攻撃者のコントロール下に置かれる（コマンド＆コントロール）ことで、アカウント情報の漏洩や不正利用の脅威が生じます。
ExcelやWordなどのメール添付ファイルのマクロを利用した攻撃（Macro Viruses）や不正なWebサイトへの接続によるマルウエア感染（ドライブバイダウンロード攻撃）などによって感染することがあります。
クリプトジャッキングは、マルウエア感染した端末のCPUリソースを使って、攻撃者がBitcoinなどの暗号資産を採掘して利益を得る攻撃のことです。
③   通信経路上の中間者攻撃
Webサービス利用者端末とWebサイト間のネットワーク経路上の通信を盗聴し、アカウント情報を入手するといった攻撃が中間者攻撃（Network Sniffing 等のMITM攻撃）です。現在ではインターネット経路上の商取引の大半がSSL暗号化通信で行われているため、攻撃が成功する可能性は低くなりました。

３．社内システム環境とその従業員に関するサイバー脅威

電力会社や医療機関など、その業務が急に停止したり、顧客情報が流出したりすることで社会的な影響が大きな企業は、金銭要求を伴うサイバー攻撃の対象にされやすく、軍事技術等を扱う企業は国家レベルの高度なサイバー攻撃で社内データを狙われることがあります。
社内システムに侵入して社内データを流出させたり、暗号化によって利用できなくし、身代金目的で従業員端末に感染するマルウエアがランサムウエア。機密情報を気が付かれないように入手する高度な攻撃がAPT（Advanced Persistent Threat、持続的標的型攻撃）ですが、攻撃の具体的な手順は似通っています。
またこうした企業にとっては、サイバー攻撃と同様に従業員による内部不正にも注意を払う必要があります。

従業員用オフィスのWi-Fiルータや在宅勤務の際に利用されるVPN等の脆弱性を狙った攻撃や、サプライチェーンで接続された他企業経由での攻撃などもありますが、多くのサイバー攻撃は図２のように従業員の端末を起点に広げられます。
ここでの攻撃手法は、サイバーキルチェーンやMITRE ATT&CK（マイターアタック）において、体系的に攻撃手段を確認できるのですが、このコラムでは、攻撃主体や攻撃対象に焦点を当てたアプローチにより、脅威の全体感を俯瞰的に見てみたいと思います

（１）  従業員やその端末に対するサイバー攻撃（図２Ⓑ）

従業員端末に対する攻撃手段は、前の章で見てきたWebサイト利用者に対する攻撃と基本的に同じ手段になりますので（図１Ⓑと図２Ⓑ）、具体的な攻撃手法は前章を参照頂きたいのですが、従業員端末を対象とした攻撃はマルウエア感染が中心となります。
企業内の従業員端末や企業内ネットワークは、個人利用の端末環境に比べて強固なセキュリティ対策が組まれていることが多く、サイバー攻撃者は端末のマルウエア感染に際してセキュリティツールの無効化を試みたり、コマンド＆コントロールのためにDNSトンネリング等の手法を用いたり、より高度で組織的な攻撃を試みます。
またソーシャルエンジニアリング等によるビジネスメール詐欺では、一個人とは比べ物にならないぐらい大きな金銭被害が生じる点も、個人の場合との違いです。

（２）  社内システム環境内でのサイバー攻撃の水平展開（図２©）

サイバー攻撃者は、従業員端末をマルウエアに感染させ、コマンド＆コントロールで支配下においた後、社内システムに対して次のステップの攻撃を開始します。代表的な攻撃手段は以下のとおりです。

①   企業内ネットワークでの情報収集や水平展開（ラテラルムーブメント）
具体的な攻撃手法はSMBを用いたネットワーク内ファイル検索、リモートサービス（SSH、RDP）やPowerShell、PsExec（リモートプログラム実行ツール）の悪用など。

②   アカウント権限（Credential）の不正取得
具体的な攻撃手法は、パス・ザ・ハッシュ攻撃、パス・ザ・チケット攻撃、クレデンシャルスタッフィング、クレデンシャルハーベスティング、OSクレデンシャルダンピング、DCSync攻撃、スピアフィッシングなど。

（３）  内部不正（Insider Threat）による脅威

社会的影響力の大きな企業にとって、内部の従業員による不正行為、企業内機密の不正な持ち出しはサイバー攻撃と同様に大きな脅威です。内部不正脅威では、必ずしも悪意がある訳ではないが、不注意によって生じるリスクも考慮に入れる必要があります。
SaaS利用の拡大や在宅勤務の常態化によって、従業員の端末からの不正な情報持出が行われる脅威は従来以上に大きくなっていると思われます。

①   不正な情報持出
情報持出経路として従来からあるメール、印刷、媒体などに加え、最近ではストレージサービスを持つSaaSにも注意が必要です。企業で認可済のSaaSの利用に際しても、個人アカウントを当該SaaSで持っていれば情報持出が秘密裏に可能となります。
②   不注意による情報漏洩
メール誤送信は従来からよくある情報漏洩リスクとして留意されてきましたが、最近ではTeamsなどの新たなコミュニケーション手段が増えていることや、未認可のSaaS利用（シャドーIT）のずさんな運用といった情報漏洩リスクにも留意が必要です。
③   社内規定の運用形骸化
厳格すぎて従業員の業務実態から乖離した社内規定は、実際の業務運用に際して規定が遵守されず、運用が形骸化するリスクがあります。その場合、本来は発見されるべき内部不正や過失が見逃されている可能性があります。

４．おわりに

サイバーセキュリティ対策は多くの関係者の努力により、継続的な改善が進められてきた一方で、サイバー攻撃者側もより高度で組織的な手段を講じる状況が続ており、これで充分だという対策一覧を整理しても、それは一時的なものに過ぎません。
そのためサイバーセキュリティ対策の必要要件は常に見直しが求められるのですが、その際に、サイバーセキュリティ脅威の全体感が把握できていれば、対策の改善や追加に迷いなく取り組むことができるのではないかと思います。

そんな思いでこのコラムでは、サイバーセキュリティ脅威の全体感を捉える為の一つのアプローチとして、脅威のアクターとターゲットに焦点を当てた見方を紹介させて頂きました。脅威のターゲットとしては、一般的な企業における情報資産を対象としていますので、一般企業の情報システム担当者には適した見方だと思います。
大規模なクラウド事業者であれば、守るべき資産はより幅広いでしょうし、例えば「不注意なＳＮＳへの投稿で炎上」といった、このコラムでは取り上げていないサイバーセキュリティ脅威もあるかと思います。
システム開発案件におけるセキュリティ要件というテーマであれば、今回紹介させて頂いたようなアプローチでサイバーセキュリティ脅威の全体感を捉え、必要要件を絞り込んでいく際の参考にして頂けるのではないでしょうか。システム開発案件においては、何かしらの守るべき情報資産が存在するからです。
但し詳細な実装要件を纏め上げようとする際には、このコラムでは記載しきれていない具体的な脅威の内容をもう少し細かく見ていく必要があるかと思います。そのような場合には是非当社にお声かけ頂き、セキュリティ要件定義をお手伝いさせて頂ければと存じます。

菊池 智秀
株式会社Dirbato （ディルバート）
コンサルティンググループ　マネージャー
大手金融機関WEBサイトのセキュリティ・基盤担当を長く務めたほか、クラウドサービス（AWS）利用に関わる統制整備やインターネット接続に関わる要件定義、社内イントラ環境のセキュリティ対策強化など、幅広くサイバーセキュリティ対策全般の実務を経験したのち、Dirbatoではセキュリティコンサルタントとして、企業内CSIRT部門でのセキュリティ強化施策を支援するなかで、直近ではSIEM製品のPoC計画立案・実行、製品比較評価などを推進中。
趣味はスキューバダイビング、登山、スキー、ガーデニング、サッカー観戦など。