サイバージムジャパンのトレーニングで標的型攻撃を体験してきました

5月27日、サイバージムジャパン社のサイバーセキュリティトレーニングに参加しました。
トレーニングでは、サイバージム社のイスラエルの社員が受講者にそれぞれ割り当てられたクライアントPCを含むネットワークに標的型攻撃を行い、どのように標的型攻撃の影響を受けるかを体験してきました。

標的型攻撃を実際に体験する

受講者は標的型攻撃の進行状況を確認するため、SIEM（Security Information and Event Management）を監視することでネットワーク通信の状況、Microsoft社のProcessExplorerを利用してデジタル署名が無いなどの怪しいプロセスが無いかなど、複数のツールを使いネットワークやクライアントPCの状態を常に把握します。

トレーニング講師の方の合図によって、イスラエルから標的型攻撃が開始されます。会社サイトとして構築されたホームページへのXSS（クロスサイトスクリプティング）やSQLインジェクションが行われてホームページを改ざんされました。そしてアクセスしたクライアントPCがマルウェアに感染し、瞬く間にマルウェアがネットワーク内へと感染拡大しました。

クライアントPCにはいつの間にか管理者権限を持つユーザが作成され、ProcessExplorerからは複数のマルウェアが確認されました。そのマルウェアが表示した偽装のWindowsログイン画面に受講者がログインユーザ名とパスワードを入力し、その情報がキーロガーによって窃取されてしまいました。
また数台のクライアントPCからはネットワーク内を探索するようなネットワーク通信が行われていることがSEIMから確認でき、攻撃者がターゲット内のネットワーク環境の調査を行っている様子が見えました。
そして最終的には全台のクライアントPCがランサムウェアによる脅迫画面に切り替わり、攻撃は終了しました。

標的型攻撃の８つの段階

トレーニング講師の方から、標的型攻撃には以下の資料にある８つのフェーズがあるという説明を受けました。

攻撃者がインターネットなどから情報収集を行う初期フェーズから任務遂行の最終フェーズまで、少なくとも1年以上、通常でも年単位の期間をかけるようです。
例えば、2021年の東京オリンピックをターゲットにした場合、遅くとも2020年から攻撃を開始していたと考えられます。更に、本来は2020年開催だったことから、2019年から攻撃が開始されていたケースも充分に考えられます。
このトレーニングでは数年で行われる攻撃を1時間に凝縮したので怒涛の攻撃を受けましたが、対象の組織に気付かれないように長い時間をかけて慎重に行われるようです。

そしてあらゆるセキュリティ対策を想定した上で攻撃を成功するように、攻撃者は複数の攻撃手法を組み合わせて攻撃を仕掛けます。その攻撃パターンは数万パターンに及ぶそうです。

標的型攻撃を防ぐには

このように用意周到に計画された標的型攻撃から業務停止や情報漏洩を防ぐには、組織側も以下のような準備が考えられます。

SOCやCSIRT部門の設置

攻撃者が行う標的型攻撃に対抗するべくSOC（Security Operation Center）部門やCSIRT（Computer Security Incident Response Team）部門などのセキュリティ対策部署を設置し、社内のセキュリティ状況の把握と異常時のスムーズな対応を行える体制を整えます。

昨今、セキュリティエンジニアの不足が話題になっています。今回参加させていただいたサイバージム社のトレーニングによる技術力の向上、SOCやCSIRTのアウトソーシングなどの方法が挙げられます。

暗号化による情報そのものの保護

予め機密情報を暗号化することによって、標的型攻撃による情報漏洩を防ぐことも重要です。

昨今、国家が絡んだと思われる標的型攻撃が日本のあらゆる業界で発生しています。また世界中のハッカー集団が特定企業に対して長期間にわたる攻撃を行っているという情報もあり、日本が保有する機密情報が世界中から狙われています。
日本企業の市場競争力の源泉でもある技術力の他国への漏洩は、絶対に防がなければいけません。