オルタナティブ・ブログ > IT雑貨屋、日々のつづり >

IT業界につとめる「雑貨屋(なんでも屋)」が、業界の事、情報セキュリティの事、趣味や日々雑感を綴っていきます。お暇な方はおつきあい下さい。

【情セキ.004】不正や攻撃の仕組み

»

 佐藤@IT雑貨屋です。
 組織の情報資産というのは、漏洩や破損などによって組織の経営に大きな影響を及ぼします。この情報資産に対して人が不正を行ったり(漏洩や意図的な破損や削除)するには、そこに不正のメカニズムというのがあります。

◆不正のメカニズム
 アメリカの経済学者のD.R.クレッシーが提唱する「不正のトライアングル理論」では、人が不正行為を実行するに至るまでに、三つの不正リスク(不正リスクの3要素)というのが存在すると言います。
 ①機会
  不正行為を行える機会がある事で、例えばシステム管理者1人に権限が集中しているのでチェックが行き届かない状況などがあります。
 ②動機
  不正行為を行う動機の事で、例えば借金があるとか、給料が低く生活がままならないといった経済的な動機などがあります。
 ➂正当化
  不正行為を行う事に対する良心の呵責を乗り越える理由の事で、例えば不正な収入が無ければ生きていけない。データを漏洩してもけして身元がばれないという事などが挙げられます。

 不正行為とは犯罪行為にもつながりますが、この不正を予防させるための考え方として、イギリスで提唱されている状況的犯罪予防論というのがあり、そこでは5つの観点から犯罪予防の手法を整理しています。
 ①物理的にやりにくい状況を作る
 ②やると見つかる状況を作る
 ➂やっても割り合わない状況を作る
 ④その気にさせない状況を作る
 ⑤言い訳を許さない状況を作る。
 これら手法全てを情報資産への対策で盛り込むのは難しいとは思いますが、対策を検討する際に予防という観点から、盛り込んでも良い観点にも思えます。

◆不正行為を行う攻撃者の種類
 実際に情報資産への攻撃を行ってくる人には様々な人達がいます。その中でも代表的な攻撃者の種類について挙げてみます。
 ①スクリプトキディ
  インターネット上に公開されているクラッキングツール(ネットワークを不正利用する為のツール)を利用して、攻撃をしてくる攻撃者をこの様に呼びます。
 ②ボットハーダー
  ボット(遠隔制御で動作すうプログラム)の統制者として、インターネット等を介して攻撃してくる攻撃者をこの様に呼びます。
 ➂内部関係者
  従業員や派遣、また業務委託などで組織内部に入り込み、そこで情報資産への攻撃や漏洩などを行う攻撃者をこの様に呼びます。
 ④愉快犯
  不正行為そのものを行う事で、喜びを得る攻撃者をこの様に呼びます。
 ⑤詐欺犯
  フィッシング詐欺や偽サイトを構築し、それによってアカウント情報を盗む等の攻撃者をこの様に呼びます。
 ⑥故意犯
  不正行為を故意に行う攻撃者をこの様に呼びます。また故意ではありませんが、手順や注意事項を怠り、結果として不正行為を行ってしまった攻撃者は過失犯と呼びます。

 情報資産に不正攻撃を仕掛けてくる攻撃者には、様々なバリエーションがあるのがこれで判ると思いますが、リスクアセスメントの際には、こういった攻撃者がいる事も念頭に入れて行うべきでしょう。

◆不正攻撃の動機
 不正行為のトライアングル理論の「動機」に該当する事の代表的なものに、以下の事があります。
 ①金銭奪取
  これは金銭を得る動機としての攻撃で、主に個人情報や商品情報なと、金銭に繋がる情報を得るというのがこれに当たります。
 ②ハクティビズム
  これはハッカーの思想の事で、政治的・社会的な思想に基づく動機がこれに当たります。近年ではAnonymousの動機がこれに該当するわけです。
 ③サイバーテロリズム
  これはネットワークを対象として行うテロリズムです。人に危害を加え、社会に混乱や打撃を与える事の動機がこれに該当します。
 不正攻撃の動機には思想的な事や経済的な事がありますが、これらを未然に察知する事は、一般的には大変困難な事でもあります。しかしこういった顕在化しない動機という事についても、リスクアセスメントの時には、片隅に意識をしながら進める必要があるのかもしれませんね。

◆ホワイトハッカー
 不正や攻撃とは少し色合いが異なる事ですが、予備知識として書いておきます。ハッカーとはIT関連に深い造詣を持ち、その知識をもとに技術的な課題を解決する人の事を呼びます。以前は攻撃者をハッカーと呼びましたが、最近では攻撃をもくてきとして不正アクセスを行う人をクラッカーと呼ぶそうです。ハッカーのうち、その技術を社会的に用いる人をホワイトハッカーと呼び、育成が急務と呼ばれています。

◆攻撃の分析モデル
 サイバー攻撃について分析した代表モデルにサイバーキルチェーンのモデルがあります。これは攻撃に至る段階を7つに分類し、その概要をまとめたものです。
 ①偵察
  ・インターネット等から組織や人物を調査し、大正組織に関する情報を取得する。
 ②武器化
  ・エクスプロイド(OSやソフトウェアの脆弱性を付いて不正な動きをするプログラムの事)やマルウェアを作成する。
 ➂デリバリ
  ・なりすましメール(マルウェア添付/偽装サイトへの誘導)を送付し、ユーザーにクリックをさせ誘導する。
 ④エクスプロイド
  ・ユーザーにメール添付のマルウェアを実行させる。
  ・ユーザーをマルウェア設置サイトに誘導し、脆弱性を使用したエクスプロイドコードを実行させる。
 ⑤インストール
  ・エクスプロイドの成功により標的の端末がマルウェアに感染する。
 ⑥C&C
  ・マルウェアとC&C(遠隔制御サーバ)と通信をさせて、感染した端末を遠隔制御し、追加のマルウェアやツールなどをダウンロードさせる事で、感染拡大を引き起こす。もしくは内部情報を探索する。
 ⑦目的の実行
  ・探索した内部情報を加工(圧縮や暗号化)した後、情報を組織外に持ち出す。
 このサイバーキルチェーンの①~⑦の何れかを断ち切る事で、情報資産の漏洩などによる被害の発生を未然に防ぐ事が出来ます。このサイバーキルチェーンを分析したフレームワークとして、MITRE社が開発したATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)というものがありますのでご参考まで。

 以上が不正や攻撃の仕組みについての現状概況ですが、こういた事は年々変化していくものなので、常に新しい情報を確認し、情報資産への対策に反映すべきでしょう。

 次は情報セキュリティの制度的な事について、まとめたいと思います。

Comment(0)