攻撃ベクトル - 定義と例

Attack vector definition

プログラマーは攻撃ベクトルを使い、PCや組織に不正アクセスを試み、システムの脆弱性を突こうとします。システムの弱点を狙い、情報流出や資格情報の窃盗を引き起こす攻撃が、様々な攻撃ベクトルを通じて実行されます。これには、ウイルスやマルウェアの拡散、偽のメールやウェブリンクの送信、ポップアップウィンドウの表示、ユーザーや管理者を騙すメッセージ送信などが含まれます。

‍

How do cybercriminals use attack vectors?

1. Passive Attack

タイプミスドメインの登録、フィッシング、その他のソーシャルエンジニアリングに基づく攻撃は、受動的な攻撃ベクトルの例です。これらは、システム資産を消耗することなく情報を盗むことを狙います。

2. Active Attack

マルウェア、未修正の脆弱性の悪用、なりすましメール、マン・イン・ザ・ミドル、ドメイン乗っ取り、ランサムウェアなどは、システムを改変したり動作を妨げたりする能動的な攻撃ベクトルの例です。

Attack vector vs attack surface - What's the difference?

サイバーセキュリティに対する攻撃は、攻撃ベクトルを利用して開始されます。例えば、マルウェアやフィッシング攻撃を用いて利用者の資格情報を入手し、企業情報や資産に不正アクセスするケースがあります。ソーシャルエンジニアリングの利用も一般的な手法です。

攻撃対象面とは、攻撃者がサイバー攻撃を仕掛けたり情報を収集したり、システムにアクセスするために狙える組織の公開部分を指します。弱いパスワードや古いソフトウェアなどの脆弱性により、機器や人員もその一部となります。

‍

Types of Attack Vectors

以下は攻撃ベクトルの例です:

• Phishing

フィッシングの目的は、信頼できるパートナーや組織を装い、メール、電話、またはメッセージを通して、相手から機密情報や資格情報、個人情報を引き出すことです。社内へネットワークセキュリティの重要性を伝え、なりすましメールやタイプミスを狙ったドメイン登録を防ぐことで、フィッシングのリスクが低減されます。

• Insider Threats

従業員の不満は、機密情報の漏洩や、見逃せない弱点を明らかにする原因となることがあります。

• Malware

ランサムウェア、スパイウェア、トロイの木馬、ウイルスなどは、マルウェアの一例です。マルウェアはサイバー犯罪者が企業のシステムや機器に侵入し、情報を奪取したりシステムを損なったりするために用いる攻撃ベクトルです。

• Compromised Credentials

一度の情報流出が、弱いパスワードやパスワードの使い回しによってさらなる被害を招く可能性があります。パスワードマネージャーやシングルサインオンの導入、社員への教育、そして安全なパスワードの作成方法を指導することが重要です。

• DDoS attacks

サーバー、データセンター、サイトなどの企業資産を狙うDDoS攻撃は、ITシステムの利用可能性を低下させる可能性があります。大量のリクエストで資産を圧迫することで、利用者がシステムにアクセスできなくなります。CDNやプロキシが有効な対策例です。

• Incorrectly configured devices

S3のアクセス権設定や、Google Cloud Platform、Microsoft Azure、AWSなどのクラウドサービスの設定ミス、またはデフォルトの資格情報の使用は、情報流出や脆弱性の原因となります。設定ミスを防ぐため、可能な限り設定管理を自動化してください。

• Trust relationship

企業は外部のシステムやサービスプロバイダー、クラウドベンダー、パートナーにセキュリティを委ねることが多いです。こうした外部組織のシステムが攻撃されると、取引先の機密情報まで危険に晒される可能性があります。大手クレジットカード企業のシステム侵入や、医療機関からの患者情報の窃盗などが事例です。

• Bad or missing encryption

マン・イン・ザ・ミドル攻撃は、SSL証明書やDNSSECなどの通常の暗号化手法を用いることで防ぐことができます。暗号化がない場合、情報流出時に機密データや資格情報が露出する恐れがあります。

• Weak passwords and credentials

一度の情報流出が、弱いパスワードやパスワードの使い回しによってさらなる被害を招く可能性があります。パスワードマネージャーやシングルサインオンの導入、社員への研修、安全なパスワードの作成方法の指導が求められます。

• Man-in-the-Middle Attacks

オープンWi‑Fi環境では、マン・イン・ザ・ミドル攻撃や、別の宛先に向かうトラフィックの傍受が行われる可能性があります。

• SQL Injections

サーバーに通常は取得できない情報を引き出すため、悪意あるSQLを用いるSQLインジェクションが行われます。データベースに利用者の資格情報、個人情報、クレジットカード番号などが含まれる場合、深刻なリスク（PII漏洩）が生じます。

• Cross-Site Scripting (XSS)

XSS攻撃では、悪意あるコードがサイトに注入されますが、攻撃の目的はサイトそのものではなく、その利用者です。攻撃者はブログのコメント欄に悪意あるJavaScriptのリンクを仕込むなど、クロスサイト攻撃の手段としてコメント機能を悪用することがよくあります。

• Brute Force

ブルートフォース攻撃は試行錯誤に依存しており、攻撃者は成功するまで何度も侵入を試みる可能性があります。脆弱な暗号化やパスワードの悪用、フィッシングやマルウェア付きメールリンクの送信などがその手段として用いられます。ブルートフォース攻撃に対しては、適切な対策が望まれます。

• Session Hijacking

多くのサービスは、再ログインの手間を省くためにセッションキーやクッキーを発行します。攻撃者がこれを乗っ取ると、機密情報にアクセスされる恐れがあります。

‍

How to protect devices from vector attacks

攻撃者は、企業のIT資産にアクセスするために様々な手法を用います。IT部門の責任は、進化し続ける脅威に対抗する最適な方法、ツール、手法を見つけ出し、試すことにあります。以下に効果的な防御策を紹介します。

ポリシーとして、ユーザー名とパスワードが規定の長さや強度を満たし、同一のログイン情報が複数のアプリやシステムで使われていないことを確認してください。さらに、システムアクセスに二要素認証（2FA）や、パスワードと個別のPINなどを導入して安全性を高めると良いでしょう。

ログおよびセキュリティモニタリング用のソフトを導入してください。これは、未確認または不正なユーザーやソースからの疑わしいアクセスを検出した際に、ネットワーク、システム、ワークステーション、エッジデバイスへのアクセスを監視・識別し、警告や隔離を行います。

IT資産の脆弱性は定期的にチェックしてください。少なくとも四半期ごとに脆弱性スキャンを行い、年一回は外部のITセキュリティレビューを実施し、その結果に基づいてセキュリティポリシーやシステム、対策を速やかに更新することが求められます。

ITセキュリティの優先度を高く保ってください。CIOやCSOがセキュリティ対策に着手する前に、CEOや取締役会の承認を得る必要があります。経営幹部が、セキュリティ対策の必要性や、対策を怠った場合の企業への影響を理解できるよう、定期的な報告や研修を実施することが重要です。

社員に対しては、十分なITセキュリティポリシーや手法の研修を新入社員全員に実施し、既存の社員に対しても定期的なアップデート研修を行ってください。最新のセキュリティ手法やポリシーは、特にIT部門にしっかりと伝える必要があります。

また、人事部（HR）と連携し、数年に一度、外部のセキュリティ評価機関によるソーシャルエンジニアリングの脆弱性評価を実施すると良いでしょう。不審な従業員の動きがあれば、IT部門は速やかにHRに通知し、面談、アクセス制限、教育、もしくは退職措置などの適切な対応を促すことが求められます。

すべてのアップデートは速やかに適用してください。IT部門は、公開された機器、ファームウェア、ソフトウェアの更新を迅速に実施する必要があります。現場で利用される機器については、ポップアップメッセージなどでセキュリティ改修を促し、自動更新を実現することが望まれます。

BYOD（私的デバイス持込）戦略を採用している企業は、管理が行き届いたクライアント環境を利用してください。すべての企業情報を安全なクラウドやその他のシステムに保管し、従業員が自宅や自身のデバイスから、限られたユーザーのみがアクセスできる仮想プライベートネットワーク（VPN）経由で接続するほうが賢明です。これにより、機密情報が端末に残るのを防ぎます。

モバイルデバイス利用時には、強固なデータ暗号化を実施してください。コンピューター、携帯電話、センサー、その他のエッジデバイスに機密情報を保存する際は、必ず暗号化を行いましょう。例えば、Advanced Encryption Standard（AES）などの強力な暗号化手法を採用することができます。米国政府も、AESを192ビットや256ビットの鍵で利用しています。

運用中のシステム、Webブラウザ、セキュリティソフト、ネットワークハブ、センサー、携帯電話、スイッチなどのエッジデバイスについては、セキュリティ設定を十分に確認し、適切な設定を行ってください。システムやソフト、IoTデバイスは初期設定でセキュリティが低い場合が多く、そのまま放置されがちです。定期的な確認と、必要に応じた設定の見直しが求められます。

また、物理的な安全対策も重要です。サイバー攻撃の主要なターゲットはITシステムですが、サーバー農場、複数の部門や遠隔オフィスに設置されたサーバー、医療機器、現場センサー、さらにはオフィスの実際のファイルサーバーなども狙われることがあります。

What does Wallarm offer for protection?

API security platform

WallarmのAPI保護、次世代WAF、自動インシデント対応、そしてAPIディスカバリーの機能は、Webサイト、マイクロサービス、APIの継続的なセキュリティを自動化します。

WAF

REST、SOAP、WebSocket、GraphQL、gRPCなどのAPIプロトコルに対して完全な保護を実現する、企業向けのCloud Web Application and API Protection（WAAP）を活用してください。DNS設定を一度変更するだけで、Wallarm Cloud WAFはサーバーレスサービス、API、アプリを手軽に守ります。

Gotestwaf

各種Webアプリケーションファイアウォール（WAF）の回避策と検出ロジックを評価するための、オープンソースのGoプロジェクトです。