2022年6月~7月にかけて実施された攻撃調査のレポート(引用文献は最下段に)を読み込んで日本語化したものになります。
攻撃で利用されたもの(攻撃のきっかけ)はなんだったのか、どうすると防げたのか、どうすると自分が影響されていないか調査できるのか、という3つの観点で整理してみます。
攻撃で利用されたもの(攻撃のきっかけ)
外側(インターネット側)に露出していたサーバの攻撃可能な既知(公知)の脆弱性が攻撃のきっかけとして利用されました。脆弱性とは、コンピュータシステム上で攻撃者が利用可能な「抜け穴」です。この「抜け穴」のうちでよく知られているLog4shellというものが利用されたそうです。
「抜け穴」を使って内部に侵入したのち、この「抜け穴」はそのうち塞がれてしまうかもしれません。毎月第二火曜日(日本時間だと第二水曜日)に出る、Windows Updateをイメージしてください。マイクロソフトは毎月、「抜け穴」を見つけて直しています。
「抜け穴」をせっかく見つけて内部に侵入できたので、継続的に入り込めるように、いくつか工夫を行いまいした。
- アンチウィルスソフトウェアの無効化(Cドライブをチェックしないように設定)
- Windowsの機能で定期実行されるプログラムの設定(おそらくこの設定で、「抜け穴」が塞がれても継続的にアクセスできるようにセット)
どうすると防げたのか
いろいろと観点が考えられます。一番最初のきっかけを与えないようにするには、「抜け穴」がないか探す、というプロセスを組織内に作ることが必要です。
「抜け穴」は毎月のようにみつかっています。そのため、全部の「抜け穴」に目を凝らすことはとても難しいです。そのため、優先度をつける必要があります。特に外側(インターネット側)と直接接する環境については、どんなソフトウェアがあるのか、リストをつくり、そのソフトウェアの「抜け穴」で新しいものがないか情報が自動的に手元に届き、共有される仕組み(プロセス)を作る必要があります。
また、「抜け穴」はほぼ間違いないくみつかりますので、見つかった場合その後の対応のプロセス(つまり「抜け穴」をふさぐこと)が必要になります。どうやって「抜け穴」をふさぐのか、事前にプロセスを整備しておく必要があります。
毎月(四半期に一回でもいいかもしれません)、新しい「抜け穴」がないかを確認して、レポートするというプロセスがあると、確実に組織的に対応ができます。
どうすると自分が影響されていないか調査できるのか
「抜け穴」の対応については記載しましたので、「抜け穴」が利用された先でどのように気づくのかという観点について簡単に記載します。一番下の参考リンクをたどっていただき、Table 1 の一番右の枠を見ていただくと、「観点」の記載があります。どちらかというとこの領域は専門家向けなので、平易な日本語で表現しても、かなり長くなります。より深く知りたい方はぜひ、リンクで原著の表現をご確認いただければと思います。ご参考になれば幸いです。
コメント