- 2023.10.18
- サイバーセキュリティ
攻撃者の侵⼊経路
セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役 那須慎二様によるセキュリティコラム第5回。今回は、攻撃者の侵⼊経路についてご説明いただきます。
前回の記事は以下よりご確認いただけます。
攻撃者の侵入経路【セキュリティコラム第5回】
サイバー攻撃者は、企業にとって重要な情報が保存されているオンプレミスサーバ(ActiveDirectoryサーバやファイルサーバ、業務サーバなど、AWSなどでプライベートクラウドを構築している場合も同様)を狙ってきます。
また、攻撃の⾜がかりとするために、皆さんが普段使っているPC端末もターゲットになります。
今回は、攻撃者がどのような経路で侵⼊してくるのかを⾒ていきます。
尚、攻撃者が攻撃対象とするサーバとしてWebサイトやクラウドサービス等も当然狙いますが、今回のケースでは、社内への侵⼊を対象とするため、考慮しないこととします。
サイバー攻撃の主な侵入経路
攻撃者は初期侵⼊の経路として、主に以下を⼊⼝とします。
①メール
②VPN機器
③リモートデスクトップ
④Webサイト
⑤SNS
①メール
今も昔も変わりなく、初期侵⼊の王道といえばメールによる侵⼊でしょう。
添付ファイル、パスワード付きZIPファイル、URLリンクの貼り付け、rtf形式ファイルやWindowsショートカットファイル(.lnkファイル)の送付、Officeのマクロファイル送付など、メールを⼊り⼝にした攻撃には様々にバリエーションがあり、かつ後を絶ちません。
添付メール型のマルウェアであるEmotet(詳細は後⽇公開予定)は、取引先や知り合いから送られてくるメールのように⾒せかけるため、開封リスクが⾼まります。
加えて、今年に⼊ってから、フィッシングメールによる攻撃が増加しているようです。
ChatGPTなどの⽣成型AIツールを使うと、海外からの攻撃者も、⽇本⼈にとって違和感のない流暢な⽇本語でメール⽂章が作れます。
⽇本語という⾔語の壁を易々と乗り越えることができるようになっているため、メールによる攻撃は今後益々盛んになる可能性があり注意が必要です。
②VPN機器
VPN(Virtual Private Network)とはインターネットを介して社内サーバなどに接続する際、通信回線を暗号化することでデータの盗聴や改ざん等を不可能にする技術のこと。
VPN機器とは、インターネットと社内間に設置する通信機器のことで、これを⽤いれば簡単にインターネット経由で社内のファイルサーバや業務サーバ等に接続できるようになります。コロナ禍で急遽テレワークの必要性が⾼まり、急速に利⽤が広がりました。
インターネット経由で簡単に社内ネットワークにアクセスできるということは、攻撃者にとっても好都合。VPN機器の脆弱性を突き、社内侵⼊を許すケースが2020年以降から急増しました。
とりわけ、ランサムウェアを⽤いた犯罪者集団は、本攻撃によって多数の企業・法⼈団体へと侵⼊し、攻撃に成功しています。
脆弱性が発⾒されているVPN機器としては、フォーティネット、パロアルトネットワークス、ソニックウォール、パルスセキュア等があります。本機器を利⽤している全ての⽅は、今⼀度脆弱性対策が⾏われているかどうか、チェックしてください。
③リモートデスクトップ
リモートデスクトップとは、その名の通り遠隔(リモート)にある端末(PC、サーバに関わらず)の画⾯を、あたかも⽬の前にある端末のように操作できる機能のことで、Windowsの画⾯等を直接操作できるようになりす。
持ち運びが難しい、社内に備え付けてあるデスクトップPCや、サーバ等を操作する際に、⾃宅から操作できるようになるため、テレワークでは重宝する機能です。
通常であれば、リモートデスクトップ機能を外部に公開して、インターネット経由でアクセスできないようにしているはずです。ところが、セキュリティのことを考慮せず、外部公開しているケースや、リモートメンテナンス⽤としてサーバのリモートデスクトップ機能をONにした上で、外部に公開しているケースがあるのです。特に、Windowsのリモートデスクトップで利⽤されるデフォルトポート番号:3389番は常に狙われているため、そのまま使い続けるのは危険です。IDとパスワードさえ判明してしまえば、あっという間に端末が操作されてしまいます。
④Webサイト
Webサイトからの侵⼊ケースは、
・⾃社のWebサイトに脆弱性があり、サイトに悪意のあるプログラム(スクリプト)を埋め込まれ、サイト⾃体が乗っ取られてしまうケース
・PC端末のOSやブラウザに脆弱性がある状態でサイトアクセスをしている中で、上記サイト等に訪問してしまい、マルウェア等をダウンロードしてしまうケースが存在します。
⾃社のWebサイトに脆弱性があり、悪意のあるプログラムが埋め込まれてしまうと、⾃社のみならず、サイトを閲覧にきた全ての端末にマルウェアをばら撒いてしまう危険性を孕みます。
また、ブラウザはサイトアクセス時に接点を持つアプリケーションであるため、脆弱性を放置したまま利⽤を続けるのは危険です。
⑤SNS
SNSを利用した攻撃は、直接的な攻撃よりも、初期侵⼊のための情報収集やソーシャルエンジニアリングで⽤いられます。特にFacebookやLinkedlnで関係性を持ち、信⽤させた上で直接メッセージングツールで添付ファイルを送付したり、メールアドレスを⼊⼿したり、標的となる企業の情報を⼊⼿するなどの⼿⼝を使います。
海外から友達申請などがくる場合は、SNSの乗っ取りを疑う、公開している内容を閲覧しようとしているなどと警戒が必要です。⾃⼰紹介欄にメールアドレスや電話番号等を公開している場合、攻撃の⼊り⼝を悪意のある⼈物に奪われる可能性があるため、⾃⼰情報の開⽰は最⼩限にすることをおすすめします。
最後に
以上、攻撃者の侵⼊経路を5つ紹介しました。
セキュリティ対策の基本中の基本は「知ること」。
知ることで「こういうことが起こり得るかもしれない」と警戒⼼を持つことができます。
是⾮、セキュリティ強化のために、本内容を⾒直してみてください。
セキュリティコラムトピック一覧
本コラム連載の掲載トピック一覧は以下のとおりです。ぜひご期待ください。
<掲載済>
【第1回】どうなる?2023年以降のサイバー攻撃情勢予測
【第2回】DXの発展とセキュリティリスク
【第3回】Web3.0の発展とセキュリティリスク
【第4回】Chat GPTの利用に伴うセキュリティリスク
【第5回】攻撃者の侵⼊経路(今回)
<掲載予定>
【第6回】具体的な攻撃シナリオ
【第7回】特に気をつけてほしいサイバー攻撃(ランサムウェア)
【第8回】特に気をつけてほしいサイバー攻撃(Emotet)
【第9回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その1
【第10回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その2
※内容は変更の可能性がございます。
筆者紹介
那須 慎二(なす しんじ)
株式会社CISO 代表取締役
国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス(特許取得 特許第7360101号)を提供している。
業界団体、公的団体、大手通信メーカー、大手保険会社、金融(銀行・信金)、DX関連など業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
