Hitachi
お問い合わせお問い合わせ
一般財団法人保安通信協会 保安通信部長 羽室英太郎氏
情報システムのどの部分がサイバー攻撃で狙われるのでしょうか? 第2回でも触れた「EMOTET」などのマルウェアの攻撃手口やスパイ行為について、解説していただきます。

「第1回:なぜ、DX推進にセキュリティが必要なのか?」はこちら>
「第2回:サイバー攻撃の情勢」はこちら>
「第3回:企業へのサイバー攻撃――手法の変化と“搦手”の防御」はこちら>

攻撃の目的

画像1: DX推進のためのサイバーセキュリティ
【第4回】システムの何が狙われるのか?

第1回で、個人情報をはじめとするデータの保護がDXの前提、というお話をしました。狙われるのはデータだけでなく、システムやその利用者も攻撃対象となります。個人情報や企業秘密などのデータを奪取しようとする攻撃だけでなく、データの消去や改ざん、システムの破壊により業務やサービスの提供を妨害することを意図した攻撃もあります。

画像2: DX推進のためのサイバーセキュリティ
【第4回】システムの何が狙われるのか?

第3回で触れましたIoTデバイスだけでなく、ネットワークに常時接続されているPCなどの端末も、OSなどの脆弱性を突いた攻撃により「ボット化」されます。マルウェアに感染したPCは、ほかのPCへの攻撃の踏み台として利用されたり、マルウェアの頒布や感染拡大に利用されたりします。知らない間に感染拡大活動を展開するため、場合によっては、PCの動きが鈍く(重く)なったりすることもあります。

PCなどのセキュリティ対策が十分ではない場合、サイトのサーバ機器などがマルウェアに感染すると、サイト利用者のPCも感染するリスクがあります。逆にPCからサーバにマルウェアが感染する可能性もあります。

「不審」なメールから「不信」感が広がる

第2回で紹介しました「EMOTET(エモテット)」は、主としてメールにより感染拡大を図るマルウェアですが、今でも依然として被害が発生しています。メールアドレスなどのデータを盗み、EMOTET自身の感染拡大を図るだけでなく、ほかのマルウェアを頒布するためにも悪用されます。

画像3: DX推進のためのサイバーセキュリティ
【第4回】システムの何が狙われるのか?

社内のPCがEMOTETに感染した場合、そのPC内のアドレス帳に登録されている取引先や知人・友人宛に、タイトルに「RE:(返信)」や「FW:(転送)」を付した「それらしい」メールを送り付けます。受け取った側は、本人からの返信(転送)と勘違いして、添付されたファイルを開いてマルウェアに感染する、という手法で感染が拡大するものです。

EMOTETにより送信されるメールには、大した要件でもないのに添付ファイルやショートカットリンク(.lnk)が貼り付けられています。あとになって、この時点で「ちょっと怪しい」と感じたのだからメールは開かなければ良かった、と後悔する人も多いようです。

これはセキュリティソフトによりマルウェアが検出されないようにするためのもので、添付ファイルのほとんどは、パスワード付きのZIPファイルや、不正なマクロが含まれているWordやExcel文書などです。もしZIPファイルを解凍したときに、「.docm」や「.xlsm」といったMicrosoft Office 2007以降の、マクロ付ファイルの拡張子の文書ファイルが出現した場合には(もちろん、拡張子が見えるように設定しておくことが必要ですが)、文書を開くとマルウェアに感染する危険性が高いので、開かずに削除することが必要です。ただ、文書ファイルの拡張子が「.doc」や「.xls」(Microsoft Office 2003以前)の場合はマクロの有無にかかわらず拡張子が同じなので、かえって怪しい(そもそもこれらのソフトはサポート切れだから)と思わなければなりません。

システム内に潜伏するマルウェア

画像4: DX推進のためのサイバーセキュリティ
【第4回】システムの何が狙われるのか?

EMOTETのようなメールを送り付けて感染させるマルウェアの場合は、利用者をフィッシングサイトへ誘導して、その偽ECサイトなどで入力させた個人情報などを奪取する、ということが多いのですが、このような行為を行うためには、まずセキュリティソフトに捕えられないようにする必要があります。

画像5: DX推進のためのサイバーセキュリティ
【第4回】システムの何が狙われるのか?

このためマルウェアの活動は、OSの正規の活動の中に紛れ込んでいることが多いのです。例えばWindows OSでは、サービスを起動するために、サービスホスト(svchost.exe)によりWindowsの内部プログラムやDLL(Dynamic Link Library)と呼ばれる部品化されたプログラムを呼び出します。このサービスホストを偽者に置き換えることができれば、外部の指令サーバに接続し、さまざまな指令を待ち受けたり別のマルウェアのダウンロードを行ったりすることが可能となります。

正規のDLLを不正なDLLに置き換えること(DLLハイジャック)ができれば、システム管理者の権限を奪取して永続的に検出を免れることができるようになります。この不正DLLを稼働させる攻撃は「DLLサイドローディング」と呼ばれ、“スパイ活動”を行うAPT攻撃(※)グループにも用いられ、その手法も複雑化が進んでいます。

※ Advanced Persistent Threat:高度標的型攻撃。継続的にターゲットを分析して攻撃を行う手法。

今やハードディスクやSSDのファイルのサイズなどを監視していればマルウェアが検出できる、という時代ではありません。外部サイトから不正なDLLをダウンロードしてメモリ上で展開するような攻撃手法に対しては、定義ファイルとの参照によりマルウェアを検知する方式では対応できません。

画像6: DX推進のためのサイバーセキュリティ
【第4回】システムの何が狙われるのか?

また、センサーなどのIoT機器や制御システムなどの基本ソフトウェア、ファームウェアも感染対象となるため、つねに最新のバージョンに保持することが重要です。

「第5回:異常事態にどう備え、どう対処するか?」はこちら>

画像7: DX推進のためのサイバーセキュリティ
【第4回】システムの何が狙われるのか?

羽室英太郎(はむろ えいたろう)

一般財団法人保安通信協会 保安通信部長(元警察庁技術審議官、元奈良県警察本部長)
1958年、京都府生まれ。1983年、警察庁入庁。管区警察局や茨城・石川県警などでも勤務、旧通産省安全保障貿易管理室(戦略物資輸出審査官)、警察大学校警察通信研究センター教授などを経験。1996年に発足した警察庁コンピュータ(ハイテク)犯罪捜査支援プロジェクトや警察庁技術対策課でサイバー犯罪に関する電磁的記録解析や捜査支援などを担当。警察庁サイバーテロ対策技術室長、情報管理課長、情報技術解析課長などを歴任し、2010年12月からは政府の「情報保全に関する検討委員会」における情報保全システムに関する有識者会議の委員も務めた。2019年より現職。著書に『ハイテク犯罪捜査の基礎知識』(立花書房,2000年)、『サイバー犯罪・サイバーテロの攻撃手法と対策』(同,2007年)、『デジタル・フォレンジック概論』(共著:東京法令,2015年)、『サイバーセキュリティ入門:図解×Q&A【第2版】』(慶應義塾大学出版会,2022年)ほか。

画像8: DX推進のためのサイバーセキュリティ
【第4回】システムの何が狙われるのか?

『サイバーセキュリティ入門:図解×Q&A』【第2版】

著:羽室英太郎
発行:慶應義塾大学出版会(2022年)

This article is a sponsored article by
''.