━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2017.08.18配信
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
こんにちは。富士ゼロックス≪beat★ナビ≫担当の加賀です。
インターネットの世界と、現実は連動しています。
偵察行為やサイバー攻撃などが、現実世界のイベントと連動して、
実施される傾向にあります。
サイバー攻撃の対象になりやすいイベントには、
オリンピックなどのスポーツイベントや、
サミットなどの国際政治イベントなどがあります。
イベントだけでなく、国際情勢とも連動しています。
中国のサイバースパイ集団「APT10」が攻撃対象を
日本に変更したとの話しもあるようです。
毎回毎回、長文になってしまい心苦しいのですが、
最後までお付き合いいただれば幸いです。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆目次◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[1] こじ開ける
[2] 最近の主な機能強化
[3] 機能を有効に
[4] 侵入前提でリスクを考える
[5] サミット
[6] 機能を活用
[7] サイバーキルチェーン
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆1.こじ開ける
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
5月から「サイバーキルチェーン」※という考え方に沿って、
毎月お話させていただいています。
今回は、攻撃(エクスプロイト)についてです。
┏┓ エクスプロイト(exploit)
┗□…
偉業、手柄、功績、
人や状況を私欲のために利用する、
~につけ込む、~を搾取するなど。
攻撃者の目的は、自身との通信経路を「こじ開ける」ことです。
前段階の「配布(デリバリー)」では、
ソーシャルエンジニアリングの手法を用いて、
悪意のあるファイルを標的に受け取らせました。
今段階の「攻撃(エクスプロイト)」では、
渡したファイルを標的に開かせることで、
OSやソフトウェアの脆弱性につけ込んできます。
※サイバーキルチェーンの詳細については、
「目次 7」に記載しましたので、必要に応じてご参照ください。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆2.最近の主な機能強化
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
beatサービスでは、攻撃者のエクスプロイトに対応するべく、
定期的に基本機能の強化を図っています。
最近の主な強化の例としては、以下のものがあります。
┏┓ 不正な通信対策機能(IPS)機能強化
┗□…
2017年6月および7月
禁止アプリケーション追加、
ランサムウェア対応(WannaCry)、など。
┏┓ メールに関するセキュリティー機能強化
┗□…
2017年4月
主にスマートフォンのメールクライアントソフトで
採用されることが多くなってきた受信動作への最適化対応。
添付ファイル付きなどサイズの大きな迷惑メールへの対応。
┏┓ beat-boxのアンチウイルスエンジン機能強化
┗□…
2016年8月および2017年2月
ランサムウェア対応(Locky)、
URLベースのアンチウイルス機能を追加。
URLブラックリストに外部指令サーバー(C&Cサーバー)を追加。
日常的な各種シグネチャの更新に加え、
こうした不定期の機能強化についても、
責任者のお手を煩わすことなく、自動で更新しています。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆3.機能を有効に
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
シグネチャや機能は、自動で最新の状態に更新されますが、
機能自体を「有効」にしていないと意味がありません。
標準機能であっても、初期設定は「無効」状態の機能があります。
たとえば「迷惑メール判定機能」です。
ご利用のIDC上で、迷惑メール対策をしている場合であっても、
「有効」にすることをお薦めします。
前回ご紹介しましたが、
特定の条件が揃った迷惑メールを、
「マクロウイルス」と判定し削除する機能は、
beat独自のものです。
「不正な通信対策機能」については、初期設定で「有効」状態です。
ただし、お客様の環境に合わせて、チューニングが必要です。
不正な通信対策は、以下の2つに大別されます。
・ 禁止アプリケーション設定
・ その他の通信設定
6月の機能強化では、「禁止アプリケーション」の対象が追加されました。
しかし、「禁止アプリケーション設定」の初期値は、
[許可]になっています。
そのままでは、追加されたアプリケーションの通信は遮断されません。
社内での利用可否を判断いただき、必要に応じて、
[遮断]または[記録]に変更してください。
「beat-boxのアンチウイルス機能」は、一律で「有効」な状態です。
一時的であっても「無効」にすることは、非常に危険なため、
設定を変更する機能自体を提供していません。
アンチウイルス機能は、無効にできません。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆4.侵入前提でリスクを考える
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
攻撃者は、事前に攻撃対象を徹底的に調べ上げています。
また、使われるマルウェアも日々進化を続けています。
「配布(デリバリー)」までの入口対策だけで、
100%侵入を防ぐことはできない状況です。
侵入を前提として、
その後に発生するリスクを如何にして低減させるかを
考える必要があります。
「攻撃(エクスプロイト)」では、
脆弱性を利用した攻撃コード(エクスプロイト・コード)を、
配布した添付ファイルを開かせ実行させます。
攻撃コードは、FlashやJavaなどの脆弱性を利用したものです。
標的に気づかれないように、不正プログラムを実行するため、
複数の脆弱性を組み合わせることもあります。
また、「マクロウイルス」や悪意のあるスクリプトを、
PDFやOffice文書に隠し、そのファイルを開かせることで、
マルウェア本体をダウンロード、実行させることもあります。
いずれにしても、自身との通信経路を「こじ開ける」ために、
OSや各種ソフトウェアの脆弱性を利用してきます。
公開された「更新プログラム」を適用しない状態は、
勝手口のドアに鍵をかけていない状態と同じです。
侵入前提でリスクを考えると、
脆弱性を潰すためのソフトウェアアップデートは、
早急に解決すべき課題です。
自動更新を利用し、定期的に確認するようにしてください。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆5.サミット
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サイバー攻撃の対象になりやすいビッグイベントに、
beatが関わった実績としては以下のものがあります。
・ 2008年7月の洞爺湖サミット
・ 2016年4月の広島外相会合
・ 2016年5月の伊勢志摩サミット
洞爺湖サミットで、報道陣の写真転送用ネットワークとして利用され、
世界中から攻撃をうける中、情報を守りきりました。
その実績を評価され、広島外相会合、伊勢志摩サミットでも、
採用されることとなり、無事に役目を果たしました。
日本では、2019年にラグビーワールドカップ、2020年に東京オリンピックと、
ビッグイベントも控えています。
ファイア・アイ社によると、
中国のサイバースパイ集団「APT10」は、2015年後半に活動量が低下したが、
2016年6月に再び活動が活発化したとのことです。
攻撃対象をアメリカから日本に変更していると警告しています。
その攻撃は、イベントに関わる周辺企業にも及びます。
イベントに関連するホテルの従業員や、イベントのサポートスタッフなどを
攻撃の入り口にすることもあります。
オリンピックともなれば、その影響は広範囲に及びます。
自分は無関係だと、簡単には言い切れないかもしれません。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆6.機能を活用
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「攻撃(エクスプロイト)」に対して、
「beat-boxのアンチウイルス機能」は、
マルウェアのダウンロード先や外部指令サーバー(C&Cサーバー)への
アクセスをブロックしています。
「迷惑メール判定機能」は、
メールに添付された、マクロウイルスや悪意のあるスクリプトを
フィルターしています。
「不正な通信対策機能」は、
FlashやJava、Windowsなどの脆弱性を悪用するファイルへの
アクセスを検出しています。
また、危険なサイトやC&Cサーバーへのアクセスも検出しています。
ぜひ、各機能を有効にして、活用いただきたいと思います。
特に、今段階の「攻撃(エクスプロイト)」に対しては、
「不正な通信対策機能」がポイントになります。
LAN内を流れる通信について、
普段の状態をチェックしておくことをお薦めします。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆7.サイバーキルチェーン
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「サイバーキルチェーン」という考え方を、ご紹介します。
攻撃者の行動パターンを、"7つ"の階層に分解したものです。
「サイバーキルチェーン」は、航空機メーカー、ロッキードマーチン社の
マイク・クロッパー氏により提唱された考え方です。
攻撃の手順をプロセスごとに階層化したもので、
いずれかの階層で脅威を断ち切るという「多層防御」の考え方を
理解するのに役立ちます。
┏┓ サイバーキルチェーンの7階層
┗□…
1.偵察
2.武器化
3.配布(デリバリー)
4.攻撃(エクスプロイト)
5.インストール
6.遠隔操作(C&C)
7.目的の実行
企業が自社のセキュリティ体制を見直す上でも、
欠かせないフレームワークです。
今回は、"攻撃(エクスプロイト)"について、詳細をお話ししました。
次回はまた、サイバーキルチェーンの階層に沿って、お話したいと思います。
最後までお読みいただき、ありがとうございました。
次回は2017年9月8日(金)に配信予定です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□ 編集後記 □■
先日、子供にこんなことを言われました。
「パパ、パパ、クレヨンしんちゃんって、
大人になったら、ボールペンしんちゃんとかになるのかな?」
かなりツボに嵌まって笑ってしまいました。
「多分クレヨンは、ポケモンとかみたいに
進化したりはしないと思うけど・・・」と答えつつ、
頭の中では「鰤みたいに出世したりもしないと思うよ。」と思っていました。
その後も、とりとめなく色々考えてしまいました。
「たしか、鰤は最終進化形だから、鰤のクレヨンはなんて言うんだっけ?」
「途中には、色鉛筆とかシャープペンとか。やっぱり万年筆かな。」
「はっぱふみふみ・・・シャーボ、欲しかったなぁ。」
誰でも使えるという点で、キーボードやスマホ画面のタップ操作は、
紙とペンを超えられていません。
でも、子供たちが大人になる頃には、
全く別のものになっているかもしれません。
アマゾン社は、アメリカのサンディエゴにある高齢者専用住宅地で、
AI音声アシスタントのアレクサを使った生活を実験中だそうです。
アレクサは、iPhoneなどに搭載されるSiriのような人工知能です。
声で話しかけるだけでさまざまな操作が可能になるので、
何かをメモするために、ボールペンは必要はないようです。
実験プログラムに参加する人の半分以上は80代後半です。
手にふるえがあるような方にとっては、検索ワードをスマホで入力するより、
アレクサで検索をする方がはるかに簡単で早いそうです。
孫と話したい時は、通話サービスも利用できるし、
「時間がある時に電話して欲しい。」という、
テキストメッセージに変換して送信することもできるようです。
しかし、それ以上の、プレゼントおねだりメッセージが、
返信されてくるような気がします。
(カガ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━