近年、標的型攻撃はやり取り型や水飲み場型の出現、使われるマルウェアの高機能化などますます多様化しており、被害が後を絶ちません。原因の1つには、ウイルス対策ソフト等の入口対策を突破して侵入を果たした攻撃が情報システム内部で密かに活動しているのを検知できず、情報流出等の実害が発覚するまで攻撃に気付かないままでいることが挙げられます。
本サービスでは、お客様ネットワークのセキュリティ対策が、標的型攻撃に対してどの程度対応(検出や遮断)できるのかを、擬似的なマルウェアや攻撃を用いて診断いたします。診断の結果を総合評価し、改善策とともにご報告させていただきます。診断の内容は、事前ヒアリングによりお客様のネットワーク環境に実害を与えない内容を選定、実施いたします。
※下表はIPAが発行する 『高度標的型攻撃』対策に向けたシステム設計ガイドにおいて定義されている「初期潜入以降の攻撃シナリオごとの想定脅威と攻撃手口、攻撃が成功する背景をまとめたもの」になります。このシナリオに沿って弊社が定義する擬似攻撃の一例を表しております。
| No. | 主なプロセス | 概要 | 疑似攻撃の一例 |
|---|---|---|---|
| 1 | 攻撃立案 | Webサイト、プレスリリースなどのオープンな情報から標的とする企業の情報を収集します | 本調査対象外 |
| 2 | 攻撃準備 | 偵察結果を基に、標的とする企業オリジナルの攻撃コード(エクスプロイト)とマルウェア(実行ファイル)を作成します | 本調査対象外 |
| 3 | 初期潜入 | 添付ファイル付きメール(Email)、URLリンク付メールからドライブバイダウンロード(Web)、USBで武器を配送します | 【パターン 1】 本調査では、不正URLを紙面でお伝えします ※標的型メールを受信したという想定です |
| マルウエア設置サイトに誘導します | 【パターン 2】不正URLに接続いただき、不正ファイルのダウンロードを実施いただきます ※不正ファイルをダウンロード・実行したという想定です | ||
| 4 | 基盤構築 | ・バックドア開設 ・ネットワーク環境の調査・探索 |
① バックドアの開設が可能かを確認します ② 感染端末の情報を収集します |
| 5 | 内部侵入・調査 | ・端末間での侵害拡大 ・サーバへの侵入 |
① ポートスキャンなどによりローカルネットワークを調査します ② 共有フォルダに不正ファイルをアップロードします |
| 6 | 目的遂行 | ・データの外部送信 ・データの破壊 ・業務妨害 | ① 取得情報をC&C サーバへアップロードします |
サ
|
ビ
ス
対
象
範
囲
引用:IPA 『高度標的型攻撃』対策に向けたシステム設計ガイド
※下表はIPAが発行する 『高度標的型攻撃』対策に向けたシステム設計ガイドにおいて定義されている「初期潜入以降の攻撃シナリオごとの想定脅威と攻撃手口、攻撃が成功する背景をまとめたもの」になります。このシナリオに沿って弊社が定義する擬似攻撃の一例を表しております。
(事前調査終了後)標的型メールがお客様に到達した時点から、擬似攻撃を開始します。
| 種別 | No. | 主なプロセス | 疑似攻撃の一例 |
|---|---|---|---|
| 攻撃ターン | 1 | 攻撃立案 | 本調査対象外 |
| 2 | 攻撃準備 | 本調査対象外 | |
| 3 | 初期潜入 | マルウェア配布の URLが記載された標的型メールを受信したというシチュエーションで本調査を行います | |
|
・マルウェア配布サイトに接続されると C&C サーバへ接続を行うマルウェアがダウンロードされます ・マルウェアを実行すると C&C サーバへ接続が行われます |
|||
| 4 | 基盤構築 | ・バックドアの開設が行われます | |
| 5 |
内部侵入・調査 * 内部侵入後の作業は事前にお客様との確認の上、実施します |
・C&Cサーバから感染端末の情報を収集します ・C&Cサーバからの命令によって、感染端末から他の端末に対して、ポートスキャンなどによりローカルネットワークを調査します ・共有フォルダなどがある場合、サーバ内のファイルを感染端末内にダウンロードしますまたサーバ内に不正ファイルをアップロードします |
|
| 6 | 目的遂行 | 感染端末内の情報を C&C サーバへアップロードします | |
| 攻撃ターン | 7 | 通信系路上の 機器のログ調査 |
通信経路上の機器のログを確認します |
| 報告会 | 8 | 報告会 | 攻撃ターンNo.3~6 攻撃の流れが通信系路上のログで検出されているか、また当該ログ内容を踏まえどのような対策が必要であるかの「セキュリティリスク評価報告書」をご提示・ご納品させていただきます |
詳細は次項参照
| No. | 攻撃シミュレーション例(基本形) |
|---|---|
| 1 | カレントディレクトリ確認 |
| 2 | ディレクトリ移動(Desktop) |
| 3 | テスト用フォルダ作成 |
| 4 | ディレクトリ移動 |
| 5 | システム情報取得 |
| 6 | IPアドレス取得 |
| 7 | プロセス情報取得 |
| 8 | カレントディレクトリ取得 |
| 9 | 同一ネットワークの情報取得 |
| No. | 攻撃シミュレーション例(基本形) |
|---|---|
| 10 | 共有ファイルサーバの情報探索 |
| 11 | ファイルサーバからテストファイルをテスト端末のデスクトップにダウンロード |
| 12 | テストファイルをC&Cサーバにアップロード (テスト端末からC&Cサーバへ) |
| 13 | C&Cサーバからテスト端末にファイルをアップロード (C&Cからテスト端末へ) |
| 14 | C&Cサーバからアップロードされたファイルをファイルサーバにコピー |
| 15 | 特定端末へのポートスキャン |
| 16 | スクリーンショット取得 |
| 17 | キーストローク保存 |
※下記アイコンの各システムやセキュリティ機器群は一例であり、お客様環境に沿ったログの検出ポイントを確認させていただきます
スケジュールとお客様及び弊社のタスクを以下に示します。
※事前のお客様環境ヒアリングから総合評価の報告書ご納品まで約1.5ヶ月を予定しております
※お客様環境やログの受領状況により全体のスケジュール感や追加費用を頂戴することがございます
本サービスでは、「セキュリティリスク評価報告書」をご納品します。
「セキュリティリスク評価報告書」の目次内容
「2-2. 疑似攻撃実施内容と結果」のイメージ
画面キャプチャーによる情報の取得
C&Cサーバからの実施命令により、調査用コンピュータの画面情報を取得することが可能であった。
【攻撃者の利用目的】
・機密情報の入手
・感染コンピュータを完全に掌握するための情報収集
コンピュータの一覧情報の取得
C&Cサーバからの実施命令により、他のコンピュータの一覧情報を取得することが可能であった。
【攻撃者の利用目的】
・他のコンピュータへの攻撃を仕掛けるための情報収集
