HOME コラム一覧 ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 (その3 全4回)

ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 (その3 全4回)

post_visual

攻撃ステップ1:予備調査と一覧列挙(Attack step 1: Reconnaissance and enumeration)

 予備調査の主な目標は、「認証情報など、狙ったネットワークシステムにあるいくつかの脆弱性について学習する」ための情報収集である。例えば、個々人の個人識別情報、「ソフトウェアのバージョンや間違った設定である。この情報収集の一つの方法としてソーシャル・エンジニアリング詐欺、つまりエンドユーザをだましてデータを引渡すように仕組む方法を通じて行われる。これはしばしば、フィッシング(偽メール)、ファーミング(偽ウェブサイト)、立ち寄りファーミング(ハイジャックした無線アクセスポイントでDNS設定を変更してしまう)などで実行される。」
 ネット犯罪者たちは、例えばwww.cwu.eduのようなドメイン名を調べ、彼らが使うIPアドレスに変えてしまうために、主にインターネット DNS(ドメインネームシステム)サーバを利用する。DNSサーバは、ある特定のドメインやIPアドレスの範囲内からの要求のみに対処するように設定されているべきである。しかしながら、そのサーバがそのドメイン外からの要求に対応するような既定値の設定のままだとハッカーたちからの搾取に対して脆弱になる。
 SonicWALL報告書によれば、一覧列挙、この2本の柱からなる戦略の第二の部分であるが、これは予備調査の間にこっそりと知識を広げ、データを得ようとするものである。「サービス・スキャニング、(Service Scanning)」と「ウォーダイアリング、(War Dialing)」はこの一覧列挙フェーズでは一般的であり、それぞれが恐ろしい結果をもたらす。サービス・スキャニングは、ネットワークを特定し、ユーザの知識の欠陥とソフトウェア上の弱点をマッチさせる。一方、ウォーダイアリングは会社内の情報リソースに直接アクセスできるモデムを探し当てることを求めて、その会社の電話番号の一つ一つに自動で電話をかけまくるシステムを使う。これもSonicWALLに記述されている。

攻撃ステップ2:侵入と進化した攻撃(Attack step 2: Intrusion and advanced attacks)

 ハッカーたちは「知りえた脆弱性を確認し相互に関連付けを行った後、それを有効に使ってネットワークに侵入する。さらにいっそう危険なのは、まだ公開前なのにもかかわらず、軽犯罪者クラスから国をまたぐ組織化されたギャング集団にいたる侵入者達がいる闇市場で流通されていると想定されるソフトウェアの弱点集を活用する、最新の「ゼロ・デイ(Zero-day)」攻撃である」とSonicWALL報告書は述べている。ゼロ・デイ、もしくはゼロ・アワー(Zero Hour)攻撃とは、攻撃対象となったソフトウェアへの侵入に開発者が気づき、その脆弱性に改善策を施すできるだけ前に、ハッカーたちが攻撃を仕掛けることである。

攻撃ステップ3:マルウェア投入(Attack step 3: Malware insertion)

 ネットワークに侵入した後、ハッカーたちは「システムへの継続した遠隔支配を維持させ、目的達成のためにネットワーク内でプログラムを実行させるマルウェアを秘密裏に投入する。投入されるマルウェアは迷惑行為(例えば、極度な販売活動)、統制管理(裏口アクセス、もしくはリモートコントロールをもたらす)、または破壊的(意図した損害を引き起こす、または攻撃者の痕跡を覆い隠す)もののいずれかである」とSonicWALL報告書は述べている。
 一度マルウェアが投入されると、ハッカーはあなたのネットワークへの鍵を持つこととなる。それはあなたの車のキーや自宅の玄関の鍵を持っているようなものである。これでゲームオーバーだろうか? ほぼ決まりだ!

攻撃ステップ4:仕上げ(Attack step 4: Cleanup)

 SonicWALL報告書は「攻撃サイクルの最終ステージは、感染させたシステムから捜査上の証拠になるような痕跡を取り除くことである」と述べている。このステップの成否は、ハッカーがこれ以前のステップでいかに目立たないようにしていたかにかかっている。SonicWALL報告書によれば「例えば、狙われたシステムへのアクセスに警戒のアラームを上げたりせず、もしくは悪意のあるファイルを挿入したり情報を抜き取るのにインスタント・メッセージのようなありふれたアプリケーションを使うような信用あるネットワークのユーザの認証情報を奪い取るようなことである。このステップの主要目的は攻撃痕跡の全てをシステムから消し去ることである。これは、攻撃が完了した後に、手作業または自動的による命令入力行(コマンド・ライン)、イベント・ログの削除、アラーム機能の無効化、時代遅れのソフトウェアのアップグレードやパッチをあてることによってなされる」

(その4に続く)
---------------------------------------
初出:FRAUDマガジン44号(2015年6月1日発行)

このエントリーをはてなブックマークに追加

この記事の執筆者

Robert E. Holtfreter, Ph.D., CFE, CICA
ワシントン州エレンズバーグにあるセントラル・ワシントン大学の会計研究の特任教授(distinguished professor)。また、ACFE諮問委員会と編集顧問委員会のメンバーの一人である。

※執筆者の所属等は本記事の初出時のものである。

翻訳協力者:小黒恒成、CFE、USCPA、CIA、CGMA、CISA

この記事のカテゴリ

コンプライアンス その他

この記事のシリーズ

企業の不正リスク対策

記事の一覧を見る

関連リンク

不正リスク(バックナンバー一覧)

「騙すつもりはなかった」 不正行為の正当化と故意 (その1 全4回)

暴かれたコンドミニアム不正:「気楽な」コンドミニアム生活に潜むリスク (その1 全4回)

ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 (その1 全4回)

ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 (その2 全4回)

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら

シリーズで読む

シリーズ一覧はこちら


コラム
/column/2018/img/thumbnail/img_24_s.jpg
 予備調査の主な目標は、「認証情報など、狙ったネットワークシステムにあるいくつかの脆弱性について学習する」ための情報収集である。例えば、個々人の個人識別情報、「ソフトウェアのバージョンや間違った設定である。この情報収集の一つの方法としてソーシャル・エンジニアリング詐欺、つまりエンドユーザをだましてデータを引渡すように仕組む方法を通じて行われる。これはしばしば、フィッシング(偽メール)、ファーミング(偽ウェブサイト)、立ち寄りファーミング(ハイジャックした無線アクセスポイントでDNS設定を変更してしまう)などで実行される。」 ネット犯罪者たちは、例えばwww.cwu.eduのようなドメイン名を調べ、彼らが使うIPアドレスに変えてしまうために、主にインターネット DNS(ドメインネームシステム)サーバを利用する。DNSサーバは、ある特定のドメインやIPアドレスの範囲内からの要求のみに対処するように設定されているべきである。しかしながら、そのサーバがそのドメイン外からの要求に対応するような既定値の設定のままだとハッカーたちからの搾取に対して脆弱になる。 SonicWALL報告書によれば、一覧列挙、この2本の柱からなる戦略の第二の部分であるが、これは予備調査の間にこっそりと知識を広げ、データを得ようとするものである。「サービス・スキャニング、(Service Scanning)」と「ウォーダイアリング、(War Dialing)」はこの一覧列挙フェーズでは一般的であり、それぞれが恐ろしい結果をもたらす。サービス・スキャニングは、ネットワークを特定し、ユーザの知識の欠陥とソフトウェア上の弱点をマッチさせる。一方、ウォーダイアリングは会社内の情報リソースに直接アクセスできるモデムを探し当てることを求めて、その会社の電話番号の一つ一つに自動で電話をかけまくるシステムを使う。これもSonicWALLに記述されている。
2018.07.05 18:24:31