- 2018/06/12
- サイバー攻撃
標的によって変化する最新のハッキングオペレーション
Post by : Lior Div
攻撃計画はビジネス活動と同様に処理され、雇用計画、予算、およびスケジュール作成などが含まれます。
セキュリティ担当役員との会話の中で、終始取り上げられる話題は、“最新のハッキングオペレーションは正確には何で構成されているのか”ということです。セキュリティの専門家は、直面している相手がもはや総合的な計画を持たないスクリプトキディ(他人の製作したプログラム、またはスクリプトを悪用し、興味本位で第三者に被害を与えるハッカー)でないことは分かっています。しかし、細部重視の敵が攻撃キャンペーンを開発するときはどうするのか、彼らも十分には認識していません。
最近のハッキングオペレーションは、十分な資金を持ち、様々な経験や経歴を持つ高度な訓練を受けたチームによって組織化され、開発されています。実際に、攻撃計画はビジネス活動と同様に処理され、雇用計画、予算、およびスケジュール作成などが含まれます。
セキュリティのプロたちが直面している攻撃を、より理解できるように、ハッキングの計画に伴う作業に関する私の所見をいくつか紹介します。
目標がオペレーションを決める
攻撃はネットワークに侵入するかなり前に始まります。どのような攻撃でも、最初のステップでは、オペレーションの目標を設定します。ハッカーは、ランダムに組織を選択し、やみくもに攻撃して、有益な情報が見つけるわけではありません。ターゲットは、処理するデータとその情報がハッカーの目標達成にどのように役立つかを考慮して選択されます。
通常、攻撃の背後にある犯罪者組織が目標を設定しますが、それは目的と動機によって異なります。例えば、国家がサイバー攻撃を使用して国の事業に調査と開発の利点を提供する場合、成功企業から知的財産と企業機密を盗むことを目標に設定します。
大規模なキャンペーンでは、小さな目標がいくつか含まれており、それらが結びつくと主な目標に到達する場合もあります。場合によっては、目標達成のために複数のターゲットへの侵入が組み込まれているキャンペーンもあります。例えば、オペレーションには、指定された実際のターゲットのネットワークに侵入するために、他の企業のハッキングが含まれることもあります。ハッカーは、最初にHVACベンダーのシステムに感染してターゲットネットワークにアクセスするときに、この方法をターゲットへの侵入に使用しました。
ここから目標の話に進みます。ハッカーは目標達成のためには何でもします。ルールを無視して、可能な限りいつでも詐欺という方法をとります。これらのオペレーションの背後にいるのは、金儲け、知的財産の獲得、その他の不正行為の実行に余念がない犯罪者で、企業ポリシーに従う人たちではありません。
相手を知る
ハッカーが実施する偵察は、企業のITネットワークのマッピングやテクノロジーについての知識の域を超えています。彼らが興味を持っているのは、ターゲットに関してできる限り多くの情報を集めることです。特に、ビジネス活動や重要な社員の活動について調べます。これらの詳細は、攻撃者が、攻撃を妨害する技術的または人的な障害を避けて進むために役立ちます。
このような詳細を収集するために、ハッカーはソーシャルメディアを使用して、セキュリティチームの重要メンバーが働く企業、また、どの大学に行ったかを調べます。ハッカーがネットワークに侵入した場合、電子メールや予定表の項目を確認して、主要なセキュリティ担当者がいつ休暇を取るか調べ、スタッフが手薄なときに攻撃します。
読者を被害妄想にしたくはありませんが、場合によっては、ハッキング組織はターゲットに関する情報を取得するために、内部関係者を使用します。すでにその企業で働いている従業員を使うか、誰かをその企業に採用させて、ターゲットの内部から操作できるようにします。入社の際の面接試験では、企業のセキュリティイベントの処理方法、およびセキュリティ担当者の査定および評価方法を攻撃者に教えてしまう可能性があります。仮に、企業のセキュリティチームがいかに迅速にインシデントを修正できるかで査定されることを攻撃者が知った場合、実際のオペレーションから目をそらす方法として、簡単に発見できるマルウェアを攻撃に含めてしまうでしょう。
これらの情報をすべて収集するためには、調査に多くの時間を費やすことになります。ハッカーの中には、最初に侵入する1年前から調査を開始するものもいます。しかし、これらすべてを準備することにより、オペレーションが成功するチャンスが増えます。
多様性に祝福を
ハッキングチームは、様々な背景を持ち、その経験をオペレーションに役立てることのできる人たちで構成されています。鉱山をターゲットにした攻撃には、例えば地質学のエキスパートが含まれ、この組織の機能について経験から直接得た知識を提供します。この多様性により、ハッカーはオペレーションに取り組む新たな方法を手に入れます。企業は、セキュリティチームを構成する際に、同様のやり方に従うのが賢明でしょう。この点については最近のNetwork World blogで述べています。
ハッキングチームでの役割も多様です。例えば、通常、詐欺を専門にしている人たちのグループがあります。この見逃されることの多いグループは、メイン操作からセキュリティチームの注意をそらすキャンペーンを作成します。注意をそらすというのは、キャンペーンが発見されるリスクを緩和することです。最も一般的な注意をそらす方法には、企業のWebサイトを停止するDDoS攻撃や、セキュリティチームが簡単に検知できるマルウェアなどがあります。これらのおとりの脅威は、真の脅威を覆い隠し、いつまでも衰えないようにします。
ネットワークへの侵入はオペレーションの最も簡単な部分で、外部委託されることもあります。そのことは、侵入がオペレーションの最重要コンポーネントと思われおり、多くの人を驚かせますことでもあります。しかし、侵入をその仕事のスペシャリストに外部委託することで、ハッカーは組織に確実に入り込めることが保証されます。理由は簡単です。侵入を担当するチームは、ターゲットに侵入した場合のみ報酬が支払われます。現金払いの報酬で、これらのチームは、企業の防御を破るためにできることは何でもします。
心に余裕を
ハッキングオペレーションは急がれません。攻撃者は、ターゲットのIT環境にできる限り長く検知されずにいることを望んでいます。この方法では、ミスを最小限に抑えることができ、当然、より多くのデータを収集して、より多くのシステムを感染させることができます。攻撃者が1年の間検知されず、Microsoft Active DirectoryやOutlook Webアプリケーションなどのシステムへのアクセスに十分な時間を与えられたケースも目にしました。このアクセスが可能になったことで、攻撃者は全従業員のログイン資格情報を収集し、環境内で持続性を保持しました。
敵の視点で考える
より複雑なハッキングオペレーションと闘うために、セキュリティチームはハッカーの視点で考える必要があります。ハッカーは企業を騙そうと躍起になっています。セキュリティインシデントは、たとえ小さなものでも、潜在的脅威として扱わなければなりません。企業はIT環境を積極的に監視し、あらゆる行動の変化を探す必要があります。1つでもインシデントを見つければ、キャンペーン全体を暴くことができます。
Lior Div(リオ・ディヴ)は、Cybereason Inc.のCEOであり、共同創立者です。フォレンジック、ハッキング、リバースエンジニアリング、および暗号化を専門とするイスラエル軍の優秀なサイバーセキュリティユニットのリーダーでもあります。
