セールスセンターサイト

セールスセンター2024.01.22

知っておきたい「サイバー攻撃が起きる理由」と「MITRE ATT&CK」の関係。防御への活⽤⽅法も

知っておきたい「サイバー攻撃が起きる理由」と「MITRE ATT&CK」の関係。防御への活⽤⽅法も

シマンテックでは、製品を利⽤中・利⽤をご検討中のお客様向けに、役⽴つ情報を提供するオンラインセミナーを定期的に⾏っています。

今回は、昨年⾏われた「シマンテックよくある疑問をスッキリ解消セミナー」から、近年のサイバーセキュリティのキーワード「MITRE(マイター)」について、SB C&Sでセキュリティ製品の技術担当をされている宇都宮さんから解説いただきます。

この記事を読むのにかかる時間:約10分

安心と安全を提供する Symantec

お役立ち資料を
ダウンロード

目次

  1. 本⽇のテーマ
  2. よくある疑問①:サイバー攻撃ってなんで起きるの?
  3. よくある疑問②:MITREって何?
  4. よくある疑問③:MITREの情報を使って防御はできないの?
  5. 本⽇のまとめ

本⽇のテーマ

石塚石塚

昨シーズンはシマンテック製品に関する疑問を中⼼にお答えしてきた本セミナーですが、今シーズンでは範囲を広げまして、セキュリティ全般も扱っていければと思います。

さて、本⽇のテーマはこちらです。

画像

安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード

よくある疑問①:サイバー攻撃ってなんで起きるの?

宇都宮宇都宮

では、サイバー攻撃が起きる理由について私からご説明をさせていただきます。まず、現代は「情報に価値がある」ようになっています。たとえば個⼈情報はマーケティングや製品開発に活⽤できますし、ホームページやSNSでの情報発信は企業の信頼につながっています。昨今はDXにより、情報資産の活⽤促進が叫ばれている状況です。

画像 クリックで拡大

宇都宮宇都宮

サイバー攻撃が⽣じる理由は、主に以下のように考えられます。

理由①:「情報を侵害して、価値を搾取したい」から(⾦銭⽬的)

画像 クリックで拡大

宇都宮宇都宮

個⼈情報や特許情報、⼝座情報などを得るなど、利益、⾦銭の獲得が⼤きな⽬的になっていることが多いです。

理由②:社会的・政治的主張のため

宇都宮宇都宮

世界情勢などもあると思いますが、社会的主張、政治的主張のためにサイバー攻撃を利⽤することもあります。ハッカーグループにより、政府のウェブサイトが落ちてしまったという話を⽿にすることも多いのではないでしょうか。

岸野岸野

そういえば、JAXAに対してサイバー攻撃があったってニュースもありましたね。

宇都宮宇都宮

JAXAくらいだと、⾦銭なのか政治的なものなのか、またちょっと判断がつきにくいところで、どちらも考えられますね。事件が起こると、報道などを通して多くの⼈に主張が届くので、それを⽬的として⾏われるサイバー攻撃ということです。

理由③:興味・関⼼

宇都宮宇都宮

あとは、映画なんかで⾒るような、パソコンにすごく詳しい少年が興味本位でシステムに侵⼊しちゃったようなケースですね。ただ、最近はあまり⼤きな理由、動機にはなっていません。

ビジネス化するサイバー攻撃

宇都宮宇都宮

さて、今のサイバー攻撃というのは急速にビジネス化が進んでいます。

画像

石塚石塚

「ターゲティング」「キャンペーン」など、私がマーケティングをしながら⽿にする単語は、サイバー攻撃に関してもよく⾒かけますね。何か関係あるのでしょうか?

宇都宮宇都宮

はい、サイバー攻撃でもターゲティングをしますし、攻撃を広げるための活動をキャンペーンと呼びます。上の図はマルウェア付きのメールをばらまく攻撃のイメージ図です。キャンペーンを通して引っかけた⼈から搾取を実際に⾏うのが刈り取りで、こうしたステップを踏んでいるのがビジネス化と⾔われる最たるところかと思います。

石塚石塚

なるほど。

宇都宮宇都宮

そして、次の図は標的度別に攻撃の種類を分類した図です。

画像 クリックで拡大

宇都宮宇都宮

マス/コンシューマー向けの攻撃なら、個⼈携帯にメールやSMSなどに「カード使い過ぎですよ」や「荷物が届きました」というメッセージを送ります。でも、メッセージ内のURLをタップしても何も起こらなくて、クリックした事実だけが収集されることもあります。それで「この⼈は押しちゃう⼈だ」と捕捉するわけです。

岸野岸野

なるほど。うまい。⾯⽩いですね。

宇都宮宇都宮

また、次に有名なのが脆弱性攻撃です。ファイアウォールなどを狙った攻撃も多いので注意するようによく⾔われますよね。ファイアウォール製品は有名な製品に偏りやすいので、⼤きなメーカーほど狙われやすいです。少し前に、SSL-VPNの脆弱性をついた攻撃が話題になりました。

岸野岸野

ありましたね。結構⼤きな話題になっていました。

宇都宮宇都宮

特定の企業を狙う場合は、スピアフィッシングやソーシャルエンジニアリングといった⼿法を使います。

石塚石塚

「スピアフィッシング」は普通のフィッシングとは何か違うのでしょうか?

宇都宮宇都宮

フィッシングは⿂を釣るために釣り針を垂らして待つイメージで、スピアフィッシングは銛を持って突きに⾏くイメージです。つまり、標的が明確になっている攻撃です。

岸野岸野

「ソーシャルエンジニアリング」というのは?

宇都宮宇都宮

これは、⼈vs⼈で実際に攻撃をすることです。例えば、電話でそれらしいことを⾔って⼆段階認証のためのコードを聞き出すような、⼈の⼿でできる攻撃ですね。

岸野岸野

ある意味、⼿抜きですね(笑)。

宇都宮宇都宮

しかし、特定の企業から⼤きなものを窃取しようとした場合、こういう⼿⼝のほうが効率的なこともあります。

岸野岸野

確かに。うまくいかない可能性が⾼いけど、⼀発当たると⼤きいということですか。

宇都宮宇都宮

はい。こうした標的選定から侵⼊までをもう少し詳しく⾒ていくと、標的収集の後は情報収集を⾏います。情報収集ではダークウェブ(※)なども使われます。

※ダークウェブ:⼀般的なブラウザではアクセスできないインターネット上のページ

画像 クリックで拡大

宇都宮宇都宮

ダークウェブでは、攻撃に使うボットネットが売られていることもあります。つまり、潜⼊済みで後は攻撃するだけですという状態です。また、企業で使われているメールアドレスや機器のIPアドレス⼀覧なども販売されています。これもビジネス的ですよね。こうしたダークウェブへはTorやDuckDuckGoなどの利⽤者を追跡できないブラウザでしかアクセスできません。

岸野岸野

誰かわからないようにしつつ、標的を調べることができるのですね。

宇都宮宇都宮

それで得た情報や⼿段を使い、実際にデリバリー(配布)をして引っかかった⼈に侵⼊を⾏います。実際に侵⼊が始まると、次の図のように「横展開」「探索」が⾏われます。つまり、他にも感染させることができる対象や、⻑期的に潜伏できるところを探しながら、最終的に「破壊」「窃取」「悪⽤」「潜伏」などのインパクトを与えます。

画像 クリックで拡大

宇都宮宇都宮

最終的にランサムウェアやリソースハイジャックなどの攻撃になりますが、またボットネットを作って(仕⼊れて)売る場合もあります。ランサムウェアも暗号化だけでなく情報を収集しておいて⼆重脅迫を⾏ったり、マルウェアに感染したマシンを暗号通貨のマイニングに使ったり、⽅法はさまざまです。

岸野岸野

企業のサーバーとかスペック⾼そうだし、電気代などもかかりませんし、マイニングもスムーズにできそうですね。

宇都宮宇都宮

そういうことですね。さて、昔は単体のランサムウェアではLockBitやBlackCatのように作者が固有名詞で出ることはありませんでした。しかし、作者が同じ攻撃が多くなれば、攻撃経路の多くが共通してくるわけですね。それなら、攻撃の流れを体系化することで防御ができそうだと思いませんか?

岸野岸野

そうですね。ある程度似ている攻撃であれば、体系化できれば守りやすそうですね。

宇都宮宇都宮

はい、そこで出てきたのが、この後にお話をするMITRE(マイター)です。

安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード

よくある疑問②:MITREって何?

宇都宮宇都宮

はい、それでMITREについてですが、正式にはMITRE Corporationと⾔いまして、⽶国の安全保障を広くサポートしている⾮営利組織です。

画像 クリックで拡大

石塚石塚

サイバーセキュリティの他にも、いろいろな注⼒分野があるのですね。

宇都宮宇都宮

そうですね、サイバーセキュリティのイメージが⼤きいかと思うのですが、航空宇宙分野や健康医療とか、政府のイノベーションなどもやっていたりします。

岸野岸野

確かいろいろな分野で論⽂を発表したり研究したりしていますよね。特にセキュリティ関係者にとっては気になる組織ではないかと思います。

宇都宮宇都宮

そうですね。CVEの番号なんかも出していますしね。脆弱性番号を発⾏していて、シマンテックも脆弱性の情報提供や連携をしています。

岸野岸野

シマンテック、ちゃんと貢献していますね。

宇都宮宇都宮

はい。で、そのMITREが体系化してくれたのがこのMITRE ATT&CK(マイターアタック)というフレームワークで、⾒たことがあるという⽅も多いと思います。

画像 クリックで拡大

宇都宮宇都宮

こちらは、上のところで先ほど「侵⼊」と呼んでいたところを戦術(Tactics)と呼んでいて、下に関連する⼿法(Techniques)という形でまとめられています。この⼿法については、どんな攻撃者グループが主に利⽤しているとか、どんなソフトが悪⽤されているとか、どんなログが残っているか、どんな緩和策があるか、等の情報もまとめられています。

岸野岸野

⾯⽩そうですね。そういえば、EDR製品やいろんなセキュリティ製品がこのMITRE ATT&CKと連携して情報出していると思うのですが、これを⾒れば攻撃に使われているソフトや緩和策なども⾒えてくるってことですね。

宇都宮宇都宮

その通りです。EDR製品を使っていると「T1105」のような番号がログの横に出ることがあるかと思います。これがMITREのTechniquesのIDになっていまして、リンクをクリックすると該当のページを参照できます。もちろん、シマンテックのEDRもそのようになっています。

石塚石塚

なるほど。ありがとうございます。

宇都宮宇都宮

これはオマケになりますが、MITREにはMITRE ENGENUITY(マイターエンジェニュイティー)という⼦会社があり、ここでATT&CK Evaluationsというサービスを提供しています。これは実際の攻撃者の攻撃を再現して⾏う評価テストで、いろいろな企業の製品が参加しており、シマンテック製品もこのテストに参加しております。

画像 クリックで拡大

安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード

よくある疑問③:MITREの情報を使って防御はできないの?

石塚石塚

ここまでMITREについてのご説明ありがとうございました。それで、このMITREの情報を使って、セキュリティをもっと強固にできるのでしょうか?

宇都宮宇都宮

そうですね。先ほどのTechnique IDの情報を使えば、防御に実際に役⽴てることが可能です。ここからは、シマンテック製品でのケースについてお伝えしていきます。

岸野岸野

ぜひお願いします。

宇都宮宇都宮

シマンテックではSymantec Endpoint Security(以下SES)という製品がありまして、SESにはEnterprise(以下SESE)とComplete(以下SESC)というエディションがございます。SESEは、エンドポイント保護やクラウド管理、モバイルの共有などの機能を持つ、エンドポイントの保護プラットフォームです。SESCは、SESEの機能にプラスしてシマンテック独⾃の防御策であるAdaptive Protection機能と、さらにEDR、脅威ハンティングなどがバンドルされている上位版です。

画像 クリックで拡大

宇都宮宇都宮

この中のAdaptive ProtectionがMITRE ATT&CKと関連する機能でして、エンドポイントの動きを90⽇間監視することで、業務で利⽤してない脆弱性を遮断し、お客様の状況に合わせて最適なポリシーを提案できます。

画像 クリックで拡大

宇都宮宇都宮

この機能の裏の仕組みとしては、お客様の環境からログを取得して、お客様環境で⽣じたイベントを監視・学習してヒートマップ化を⾏っています。そして、⼀個⼀個のマスがMITRE ATT&CKで定義されている⼿法になっております。

画像 クリックで拡大

岸野岸野

なるほど。では、そこでMITRE ATT&CKのフレームワークをうまく活⽤して守るための防御機能を提供していると。

宇都宮宇都宮

はい。「T1059」などの表⽰が出ますので、こうした振る舞いが社内でどれだけ起こっているかを確認できます。⻘い丸なら、まだ社内ではまだ普及していないけど、悪⽤されて裏⼝になる可能性があるから、もう閉じておきませんかと推奨対応を提案してくれます。このように情報を利⽤して改善策につなげることも可能です。

石塚石塚

では、SESEではサイバー攻撃は防御できないのでしょうか?

宇都宮宇都宮

SESEもエンドポイント保護プラットフォームですので、多層防御がしっかり⾏われています。基本的なマルウェアの検知などいろいろな保護機能がありますが、特にご紹介したいのがIPS機能です。

画像 クリックで拡大

宇都宮宇都宮

図は攻撃の流れをアイコンで表⽰したものですが、⼀定の攻撃段階から、端末がC2サーバーと呼ばれる外部のサーバーと通信を⾏うようになります。この通信の到達前に停⽌できれば、これ以上の攻撃は進まないことになりますよね。そのためには、外部から来る通信のパケット⾃体を監視することが⼤事です。これにより、攻撃の着弾前に検出して⽌められるのがシマンテックのネットワーク型IPSです。

画像 クリックで拡大

岸野岸野

ネットワーク型ということは、他の種類のIPSもあるのでしょうか?

宇都宮宇都宮

はい。たとえばホスト型IPSがあります。実際に攻撃をされて、通信を受け取った後にPC内のレジストリを変更されたとか、システムファイルに何を追加されたとか、そういった攻撃を起因として検知する種類のものをホスト型IPSと⾔います。

岸野岸野

では、ホスト型だと少しやられながら検知する、ということですね。それなら絶対ネットワーク型のIPSのほうがいいですね。

宇都宮宇都宮

同感です。ネットワーク型のIPSなら着弾前に⽌めるため、インシデントとしてもカウントされないのもいいところですね。

岸野岸野

EDRだと、結構アラート疲れもありますから、アラートにも上がらないのはいいですね。シマンテックだと、IPSでも守ってくれるし、SESCならAdaptive Protectionでも守ってくれるし、というところですね。

宇都宮宇都宮

はい。この2製品については、攻撃を⽌めるというところと、攻撃される可能性を低くするという観点でお選びいただけるとよいかと思います。

画像 クリックで拡大

安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード

本⽇のまとめ

  • サイバー攻撃が⽣じる理由は、「情報の侵害による価値の搾取」「社会的・政治的主張」「興味・関⼼」など
  • 近年は特に、サイバー攻撃のビジネス化が進んでいる
  • MITREとは、安全保障を⽀援する⽶国の⾮営利組織
  • MITRE ATT&CKはサイバー攻撃者の戦術(Tactics)と⼿法(Techniques)を体系化したフレームワークで、攻撃に関連した情報がまとめられている
  • シマンテックのSESCに実装されているAdaptive Protectionでは、MITRE ATT&CKフレームワークを利⽤して攻撃される可能性を下げることが可能
  • SESE、SESCに実装されているネットワーク型IPSはC2サーバーとの通信を検知して着弾前に遮断することが可能
須賀田 淳
記事監修
須賀田 淳
マーケティング
ICT商材のマーケティング歴20年。広告代理店で著名な外資系ITベンダーの支援を行った後、NTTDグループで自動車業界向けソフトウェアの拡販とユーザーコミュニティの育成を担当する。2020年からSBGに参画し、LINEを経てセキュリティ製品のマーケティングを行う。インタビューでの情報収集を好む。