Information
SIPS Security Report

【配信日】 2020年7月13日

サイバー攻撃者のハッキング技術とその手法

日本の情報セキュリティ対策はどうなっているのだろう？
官民それぞれ高価な最新型セキュリティ対策製品を導入して対策しているはずである。
しかし日本に対するサイバー攻撃は増え続け、その被害も拡大する一方である。

JNSA(日本ネットワークセキュリティ協会)が2018年に発表したサイバー攻撃の被害額は1件あたり平均5億5000万円とされている。
これは、企業によってはサイバー攻撃を受けると倒産の危機にもなるという金額である。

情報セキュリティの考え方として「情報セキュリティマネジメントの実施サイクル(PDCAサイクル)」という考え方があるが、これは、計画(Plan)→導入・運用(Do)→点検・評価(Check)→見直し・改善(Act)の実施サイクルを常にチェックし、絶えず見直し、改善を図ることが大切とされている。
セキュリティ製品の導入は、このPDCAサイクルで考えると導入・運用(Do)に該当するがほとんどの企業は、このセキュリティ製品を導入することで満足してしまうケースが多い。
日本のセキュリティ対策の最大の欠点であると言わざるを得ない。

また本来、計画(Plan)の中で情報資産の洗い出しによるリスク評価を行い自社に適合する対策を策定するというのが本来の考え方であるが、導入する対策は【有名な製品を導入する】それが自社に適しているかは二の次であり、当然運用に関しても十分ではなく、PDCAで言う点検・評価(Check)→見直し・改善(Act)が、きちんと出来ている企業は少ないのではないだろうか。

このような日本の状況を狙うハッカー達はどうしているか見てみることにする。
中国ブラックマーケットには「検知をバイパスすバックドアの製作」というレポートが掲示されている。
これは.NETで短いコード(トロイの木馬)を特定ファイルメゾッドに隠蔽して極秘バックドアを作成し更にセキュリティ製品に任意のコードをインポートするdllを修正しコンパイルすると出来るバックドアである。
つまり特徴がないため管理者に気付かれず、セキュリティ製品の検知も回避してしまうプログラムであり、その作成方法が詳細に記載されている。
また世界的に有名で人気のある製品を特定した検知回避方法などのレポートも存在する。
これでまずはセキュリティ製品を気にせず作業ができ、脆弱性を突けば簡単に侵入できるわけだ。

続いてはサーバに侵入した後に使われる技術である。
リモート環境で使われるバックドア伝送方式【Ghost Tunnel】は、Payloadがターゲット機器に送り込まれても、ユーザには一切分からない状況でターゲット制御と情報送信を実行する方法である。
つまり悪性プログラムの挿入によりコマンドの実行とデータ搾取のための秘密のデータ送信経路を構築されるため、ユーザがデータを送信した時、通常と全く同じように通信をするのだが、そのデータは複製され秘密の通信経路を通じてハッカーの指定する任意の場所に送信されるのである。
この伝送方式は、一般的なネットワーク接続を確率させず、セキュリティ製品をバイパスさせる。
しかも現存のネットワーク通信及び接続状態には一切影響を与えないという技術である。

これ以外にも悪性ファイルをWindowsのファイルに偽装させる方法やデータを隠ぺいさせるための様々な技術、認証をクラッシュさせる方法など中国ブラックマーケットに掲示されているハッキング技術や技術レポートは数百件にも及び、流行させる前の悪性プログラムやマルウェア情報まである。

サイバー攻撃者のハッキング技術は高度で、新しいセキュリティ技術に対応するべく次々とハッキング技術を作り出し情報を共有する。

このような中で、各企業がセキュリティ製品を導入していても、セキュリティ製品は回避されて侵入され、ネットワーク内部で目的のサーバや機器に辿り着けば誰も分からないような悪性プログラムを設置され、誰にも分らずデータを秘密の経路でハッカーの指定する場所に送信される。
これが現実の世界であり、今この瞬間も行われている。

情報セキュリティマネジメント実施サイクルが十分に行われていない企業であっても、ハッキングの実被害が出ない限り、「導入したセキュリティ対策製品によって守られている」と考えがちだが・・・
【ハッキングされていない】のではない、【ハッキングされていることが分かっていない】のである。

サイバー攻撃による実被害を受けた企業が「情報漏洩はなかった」というコメントをよく聞くが・・・
【データは漏洩していない】のではない、【データが流出していることを分かっていない】のである。

サイバー攻撃者のハッキング技術を理解し、点検・評価(Check)→見直し・改善(Act)が実施されればハッキング被害も最小限にすることができるだろう。
自社に適切なセキュリティ対策がピンポイントで理解でき、高価なセキュリティ対策製品を十分に活用することができる。高額なセキュリティ対策製品導入が「猫に小判」と言われないためにも、もう一度情報セキュリティマネジメントの考え方を見直してもらいたい。

　<参考URL>
　ITmedia：2020/7/9
　データも人材もファーウェイに流出？　倒産するまで盗み尽くされた大企業に見る、中国の“荒技”
　https://www.itmedia.co.jp/business/articles/2007/09/news016.html

　総務省：情報セキュリティマネジメントの実施サイクル
　https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-1.html

　NTTコミュニケーションズ：2020/7/2
　当社への不正アクセスによる情報流出の可能性について(第2報)
　https://www.ntt.com/about-us/press-releases/news/article/2020/0702.html