株式会社サイバーセキュリティクラウド
株式会社サイバーセキュリティクラウド

NEWS

ニュース一覧 /技術ブログ

2020.06.15 技術ブログ

サイバーセキュリティ:攻撃者を理解する

サイバーセキュリティは攻撃者との戦いと言われます。サイバーセキュリティに置いては攻撃者の方が、時間的にもコスト的にも優位にあると考えられています。
攻撃者優位と言われる中で、対策を行うにはどうしたら良いでしょうか。対策の基本はリスクの棚卸しです。どのような情報をもちどのようなリスクがあるのかを把握し、それがどのような攻撃から守る必要があるか、手段をどうするか、と検討を進めていきます。

本記事は、Google から公開されている SRE(Site Reliability Engineering) に関する書籍の一つ、”Building Secure & Reliable Systems” から、Understanding Adversaries の概要を紹介します。

どのような攻撃から守る必要があるか?の理解を深めるには、相手=攻撃者を理解する事が大きな助けになります。攻撃者の理解とは、誰が何のために攻撃を行うのか、また、TTPと呼ばれる Tactics(戦略), Techniques(技術), and Procedures(実行方法)を知ることです。

攻撃者のモチベーション:

攻撃者は様々なモチベーションで攻撃を行います、攻撃者の種類とモチベーションを列挙します。ここに挙げたものだけでなく他にも様々なモチベーションが存在していることでしょう。

  • 悪戯:純粋に楽しみとしてシステムへの被害を発生させる。>悪戯:純粋に楽しみとしてシステムへの被害を発生させる。
  • 名声:技術を誇示することで名声を得る。
  • アクティビズム:政治的もしくは個人的なメッセージを社会へ発信する。
  • 経済的利益:お金を稼ぐ(機密情報・個人情報の窃取からの売買、ビットコイン交換所の攻撃など)
  • 強制:サイト改竄、フィッシングサイトなど様々な手段で被害者に意図的に望まないことを行わせる。
  • 操作:不正なデータの挿入などにより意図した結果を作り出したり、システム動作の変更などを行う。
  • スパイ活動:諜報機関による機密情報の収集
  • 破壊活動:システムの妨害、データの破壊、システムのシャットダウンなど

攻撃者のプロファイル:

目的があるため、プロファイルはモチベーションにも似通っていますが、攻撃者には7つの属性に分類されると言われています。外部からの攻撃の対策だけでなく、内部犯行者による情報漏洩や被害の発生も対策を充分に行う必要があります。

  1. Hobbyisst(愉快犯)>Hobbyisst(愉快犯)
  2. Vulnerability Researchers(脆弱性リサーチャ)
  3. Governments and Law Enforcement(政府、法執行機関)
  4. Activists(活動家)
  5. Criminal Actors(犯罪活動者)
  6. Automation and Artificial Intelligence(自動化ツールや AI)
  7. Insiders(内部犯行)

攻撃者の手法:

攻撃者はどのような方法で攻撃をしてくるのでしょうか?我々が攻撃手法を知るためにいくつかの方法が存在します。

  • Threat Ingelligence(脅威情報)から収集する。
  • サイバー攻撃の仕組みや手順を分析、構造化した「サイバーキルチェーン」を理解する。
  • TTP(Tactics, Techniques, and Proedures)を理解する。MITRE が提供する ATT&CK Framework から情報を得ることできます。

リスク評価と検討すべきこと:

攻撃者を理解したあと改めて自身について把握する必要があります。リスクの評価と対策の計画を立てる上で重要なポイントを列挙します。

  • 自身(自社)がターゲットになる可能性を忘れない。機密情報をもたないから、小さい会社だから、サプライチェーンの下請けだからというのは対策が不要な理由になりません。>自身(自社)がターゲットになる可能性を忘れない。機密情報をもたないから、小さい会社だから、サプライチェーンの下請けだからというのは対策が不要な理由になりません。
  • 常に最も難しい方法で攻撃が行われるわけではない。攻撃者は特殊なターゲットへの攻撃を除き、可能な限り低いコストでの攻撃を行います。少しでもコストがかかりそうであればそこへの攻撃を中断することも選択肢として持っていることを理解しましょう。
  • 攻撃者を過小評価しない。上記とは反しますが、非常に長い時間、費用をかけるケースもあります。
    攻撃者の特定は難しい。Exploit (攻撃)プログラムは亜種がすぐに生まれます。誰が作って攻撃したか、ではなく、行動(TPP、サイバーキルチェーン)に着目して被害の最小化を目指しましょう。
    攻撃者が常に逮捕を恐れているわけではない。政府の活動であれば逮捕はされませんし、大義のもと実行する犯罪者もいます。

いかがでしたでしょうか。攻撃者のモチベーション、プロファイル、手法を理解してリスク評価を行うことで対策のとるべき方向が見えることがお分かりいただけたのではないでしょうか。

参考資料:
”Building Secure & Reliable Systems” https://landing.google.com/sre/books/
MITRE ATT&CK Frameworks https://attack.mitre.org/

戻る