SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2020年7月13日号

***************************************************************
 サイバー攻撃者のハッキング技術とその手法
***************************************************************
日本の情報セキュリティ対策はどうなっているのだろう?
官民それぞれ高価な最新型セキュリティ対策製品を導入して対策しているはずである。
しかし日本に対するサイバー攻撃は増え続け、その被害も拡大する一方である。

JNSA(日本ネットワークセキュリティ協会)が2018年に発表したサイバー攻撃の被害額は1件あたり平均5億
5000万円とされている。
これは、企業によってはサイバー攻撃を受けると倒産の危機にもなるという金額である。

情報セキュリティの考え方として「情報セキュリティマネジメントの実施サイクル(PDCAサイクル)」という考え方が
あるが、これは、計画(Plan)→導入・運用(Do)→点検・評価(Check)→見直し・改善(Act)の実施サイクル
を常にチェックし、絶えず見直し、改善を図ることが大切とされている。

セキュリティ製品の導入は、このPDCAサイクルで考えると導入・運用(Do)に該当するがほとんどの企業は、
このセキュリティ製品を導入することで満足してしまうケースが多い。
日本のセキュリティ対策の最大の欠点であると言わざるを得ない。

また本来、計画(Plan)の中で情報資産の洗い出しによるリスク評価を行い自社に適合する対策を策定する
というのが本来の考え方であるが、導入する対策は【有名な製品を導入する】それが自社に適しているかは
二の次であり、当然運用に関しても十分ではなく、PDCAで言う点検・評価(Check)→見直し・改善(Act)が、
きちんと出来ている企業は少ないのではないだろうか。

このような日本の状況を狙うハッカー達はどうしているか見てみることにする。
中国ブラックマーケットには「検知をバイパスすバックドアの製作」というレポートが掲示されている。
これは.NETで短いコード(トロイの木馬)を特定ファイルメゾッドに隠蔽して極秘バックドアを作成し更にセキュリティ
製品に任意のコードをインポートするdllを修正しコンパイルすると出来るバックドアである。

つまり特徴がないため管理者に気付かれず、セキュリティ製品の検知も回避してしまうプログラムであり、その作成
方法が詳細に記載されている。
また世界的に有名で人気のある製品を特定した検知回避方法などのレポートも存在する。
これでまずはセキュリティ製品を気にせず作業ができ、脆弱性を突けば簡単に侵入できるわけだ。

続いてはサーバに侵入した後に使われる技術である。
リモート環境で使われるバックドア伝送方式【Ghost Tunnel】は、Payloadがターゲット機器に送り込まれても、
ユーザには一切分からない状況でターゲット制御と情報送信を実行する方法である。
つまり悪性プログラムの挿入によりコマンドの実行とデータ搾取のための秘密のデータ送信経路を構築されるため、
ユーザがデータを送信した時、通常と全く同じように通信をするのだが、そのデータは複製され秘密の通信経路を
通じてハッカーの指定する任意の場所に送信されるのである。
この伝送方式は、一般的なネットワーク接続を確率させず、セキュリティ製品をバイパスさせる。
しかも現存のネットワーク通信及び接続状態には一切影響を与えないという技術である。

これ以外にも悪性ファイルをWindowsのファイルに偽装させる方法やデータを隠ぺいさせるための様々な技術、
認証をクラッシュさせる方法など中国ブラックマーケットに掲示されているハッキング技術や技術レポートは数百件
にも及び、流行させる前の悪性プログラムやマルウェア情報まである。

サイバー攻撃者のハッキング技術は高度で、新しいセキュリティ技術に対応するべく次々とハッキング技術を作り
出し情報を共有する。

このような中で、各企業がセキュリティ製品を導入していても、セキュリティ製品は回避されて侵入され、ネット
ワーク内部で目的のサーバや機器に辿り着けば誰も分からないような悪性プログラムを設置され、誰にも分らず
データを秘密の経路でハッカーの指定する場所に送信される。
これが現実の世界であり、今この瞬間も行われている。

情報セキュリティマネジメント実施サイクルが十分に行われていない企業であっても、ハッキングの実被害が出ない
限り、「導入したセキュリティ対策製品によって守られている」と考えがちだが・・・【ハッキングされていない】のでは
ない、【ハッキングされていることが分かっていない】のである。

サイバー攻撃による実被害を受けた企業が「情報漏洩はなかった」というコメントをよく聞くが・・・【データは漏洩
していない】のではない、【データが流出していることを分かっていない】のである。

サイバー攻撃者のハッキング技術を理解し、点検・評価(Check)→見直し・改善(Act)が実施されればハッキ
ング被害も最小限にすることができるだろう。
自社に適切なセキュリティ対策がピンポイントで理解でき、高価なセキュリティ対策製品を十分に活用することが
できる。高額なセキュリティ対策製品導入が「猫に小判」と言われないためにも、もう一度情報セキュリティマネジ
メントの考え方を見直してもらいたい。
---------------------------------------------------------------------------------
 <参考URL>
 ITmedia:2020/7/9
 データも人材もファーウェイに流出? 倒産するまで盗み尽くされた大企業に見る、中国の“荒技”
 https://www.itmedia.co.jp/business/articles/2007/09/news016.html

 総務省:情報セキュリティマネジメントの実施サイクル
 https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-1.html

 NTTコミュニケーションズ:2020/7/2
 当社への不正アクセスによる情報流出の可能性について(第2報)
 https://www.ntt.com/about-us/press-releases/news/article/2020/0702.html

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved