JNSAメールマガジン 第70号 2015.9.18☆★☆
(株式会社ディアイティ ネットワークセキュリティ事業部 中林 聖裕)
標的型攻撃による被害は、依然として多発しています。標的型攻撃を受けると、漏洩した情報の面、コストの面において、多大な影響を被ります。標的型攻撃を受けた場合、すぐに発見できればいいのですが、なかなか発見することができないのが実状です。セキュリティ調査会社のMandiant社の調査によると、標的型攻撃を受けた組織の「94%」が第三者の報告によって、初めて標的型攻撃を受けたいたことがわかったそうです。標的型攻撃が発見されにくい理由としては、攻撃が巧妙化している、最新のウイルス対策ソフトで検知されないことを確認してから、ウイルスを送りつけるなど、セキュリティ対策をかいくぐる手法を利用しているからです。最新のウイルス対策ソフトを持っている攻撃者の割合は、「100%」との報告もあります。このような状況の中では、標的型攻撃の対策は、「標的型攻撃から防御する」という考えから、「標的型攻撃を受けても情報を漏らさない」という考えに転換することが重要です。
標的型攻撃で狙われる情報は何でしょうか? もちろん、最終的な目標は、個人情報、機密情報など、組織にとって重要な情報です。それでは、最終目標を達成するために、攻撃者が入手したい情報は何でしょうか? その一つは、「特権ID」情報です。特権ID情報さえ入手できれば、攻撃者は、ネットワークやサーバを自由に調査でき、しかも、正当なユーザになりすますことができるため、発見を遅らせることもできます。標的型攻撃を受けた場合、「100%」、認証情報が盗まれていると、同Mandiant社は報告しています。
このように、「標的型攻撃を受けても情報を漏らさない」ための重要な対策の一つとして、「特権ID管理」があります。「特権ID管理」の重要な点について、お話しします。
特権IDとは、様々な定義があると思いますが、ここでは、以下のように定義します。
「Windowsの”Administrator”や、UNIXの”root”等のシステムの環境設定、システムの起動・停止、アプリケーションのインストール等のシステム管理権限を有するIDのこと」
それでは、この特権IDが「どこに」、「どれだけ存在するか」、把握できていますか? 特権IDは、すべてのサーバ、ネットワーク デバイス、アプリケーション、制御装置(SCADA)などに存在し、一般的には従業員の3倍の特権IDが存在するという報告もあります。このように、組織には多くの特権IDが存在し、特権IDの悪用が組織に多大な影響を及ぼすにもかかわらず、適切に管理されていないケースが見受けられます。
特権IDのありがちな利用状況をいくつか挙げます。
特権ID管理が適切におこなわれていない場合、攻撃を受けやすく、また、利用状況が不明であるため、インシデント発生時の追跡が困難になります。
以前から重要とされる項目もありますが、以下に、特権IDのセキュリティ リスクを軽減する上で必要と思われる項目を挙げました。
先にも述べましたが、標的型攻撃ではほとんどの場合、認証情報が盗まれています。特権IDで、直接、サーバにログインしているケースでは認証情報の盗難は、致命的なインシデントになります。そのため、サーバにログインする際は、少ない権限の一般ユーザIDでログインし、必要に応じて、特権を利用することがリスクを軽減する方法になります。Linux/Unixでは、一般ユーザでログイン後、’su’コマンドや’sudo’コマンドで、また、Windowsでは、runasコマンドで一時的に特権を利用します。ユーザごとに、アクセスできるサーバを制限することも重要です。
脆弱なパスワードや長期間同一パスワードを利用している場合は、パスワードが推測され、なりすましの危険性があります。また、複数のユーザでパスワードを共有している場合は、誰が特権IDを利用しているか不明になる恐れがあります。いずれの場合も、標的型攻撃など、セキュリティ事故が発生した時に、特権IDの利用者を識別できないため、調査や原因の特定が遅れ、被害を拡大させる危険性があります。以下に、利用者を識別するための対策例を記述します。
すでに、共有の特権IDを利用しており、ユーザごとに一意のIDを割り当てることが難しい場合は、特権ID管理ソリューションなど、共有の特権IDを利用している環境においても利用者識別ができるシステムを利用することをお勧めします。
さらに、詳細な調査や迅速な調査をおこなうために、「特権IDを利用した際の操作(コマンド)記録」を取得することを推奨します。操作記録の取得には、専用のソリューションや特権ID管理ソリューションでおこなえ、取得方法は画面を動画で取得する方法やキーストロークを取得するものなどがあります。
以上が、特権IDに対する必要最低限の管理項目になります。これ以外にも考慮すべき項目を挙げておきます。
ここに挙げた管理項目を今までに聞いたことがある方もおられると思いますが、特権IDに関して、対策が適切におこなわれていないケースが多々見受けられます。特権IDの認証情報は、その権限の大きさから、標的型攻撃の攻撃者が最も入手したい情報であり、高セキュリティで保護されたサーバや情報へアクセスするために必要な情報です。特権IDを適切に管理し、保護することは、万が一、標的型攻撃を受け、ネットワークに侵入された場合でも情報を守ることができます。
特権IDの管理について、もう一度、見直してみられてはいかがでしょうか?