【セキュリティ担当の方向け】サイバー攻撃の流れとセキュリティ対策について
はじめに
今回この記事では、サイバー攻撃の際に使われるコマンドを例として実際の流れを説明していこうと思います。サイバー攻撃時に使われるコマンドを知ることで、必要のないエンドポイントにはコマンド使用の許可を与えないといった対策をとることもできます。
基本的にサイバー攻撃は、事前調査→情報収集→攻撃の順番で進んでいきます。今回はその流れをコマンド例も使いながらわかりやすく説明していきます。
また、今回紹介するコマンドは、ネットワーク管理者の許可なしに行うと、セキュリティ上の問題や法的な問題を引き起こす可能性があるため、注意が必要です。
【事前調査】ポートスキャン
まずはポートスキャンについてです。
攻撃者はまず、ポートスキャンを社内ネットワーク全体に対して行い、脆弱性のあるパソコンを狙っていきます。
ここで攻撃者が最も注目して確認するのが『ポート』です。
例えば、22番ポート(SSH接続に使われるポート)や3389番ポート(Windowsのリモートデスクトップに使われるポート)といった端末を直接操作できるポートが空いていた場合、攻撃者はその端末をターゲットにします。
ターゲットを決めたら、その端末に入るためにはどうするかを考えるフェーズに入ります。
サイバー攻撃の初動は以上のような流れで進んでいくのですが、ポートを制御するかどうかがいかに重要かがわかると思います。
では、実際にポートスキャンに使われるコマンドを例に出してみます。
ポートスキャンできるコマンドは複数ありますが、今回は1つだけを例に挙げます。
今回はnmapを使っていきます。nmap(Network Mapper)は、ネットワークのスキャンやセキュリティ監査を行うためのオープンソースのツールです。
nmap -sT 192.168.1.1/24まず最初に以上のようなコマンドを実行します。今回はオプションで-sTを付けることにより、TCP接続を確立してポートをスキャンしています。TCP接続だと返答が返ってくるので、情報が掴みやすいです。
※IPの下に/24があるとネットワーク全体スキャンになります。
すると、このような感じで空いてるポートと、ネットワーク上に存在するIPアドレスが一覧で出てきます。ここで53番ポート(DNSの待ち受けポート)が空いていると、このIPはDNSサーバだな。とか22番空いているからこのPCをターゲットにしよう。とかがわかるわけです。
ここで皆さん勘づいていると思いますが、ポートを普段から制御をかけて閉じておけばこの時点で攻撃者はあきらめる可能性が高くなります。わざわざ攻撃者も守備が固いところを攻めようとは思いません。
また、今回はnmapコマンドを使いましたが、他にもtelenet、nc、Zenmap等のコマンドがありますが今回は割愛させていただきます。
【情報収集】IPアドレスのスキャンやドメインの調査に使われるコマンド
nmap等を使ってネットワークの中を調査していくと、ネットワークの構造がどうなっているかがわかってきます。DNSサーバが判明すると、DNSクエリを使ってドメイン名やIPアドレスに関連する情報を取得することが出来ます。その際に使われるのがdigコマンドやnlookupコマンドになります。
dig @DNSサーバのIP -x 調査したいIP上記のコマンドは逆引きDNSを使って調査したいIPの情報を調べるコマンドです。情報の中にはドメイン名等も含まれます。
このようなコマンドでどんどん攻撃者のもとに情報が積み上げられていき、侵入される可能性が増えていきます。
【攻撃】最終的にどのような手段で攻撃されるのか
最終的にハッキングされてウイルスに感染されるのがサイバー攻撃の落ちですが、ハッキングは実際どのようにされるのかイメージが尽きずらいと思います。実際にハッキングされる例を今回は二つ上げます。
1.パスワードを盗まれる
一つ目はシンプルにエンドポイントやサーバのパスワードを盗まれてしまい、突破されるというものです。ブルートフォース攻撃や辞書攻撃、フィッシングなどでパスワードを盗まれてしまう場合もあります。
パスワードを盗まれてしまい、sshのポートが空いている状態になってしまっていた場合にはそこから侵入されてしまいます。
2.狙い撃ちされる(メールの流出などにより)
パスワードが盗まれていなくても、メールがハッキング等によりメールが盗まれてしまった場合や普段からリテラシーの低さを感じさせる行為(個人SNSに会社の情報を上げたり)をしていると狙い撃ちされる危険性もあります。
攻撃者はセキュリティの弱いところに攻撃を仕掛けようとします。メールが流出した場合、普段から情シスの人にセキュリティで注意を受けていたり、普段からリテラシーの欠けたことをしているのがばれてしまうと、『この人はリテラシーが低いからフィッシングメールとか送ればクリックしてくれるのでは?』と攻撃者から目をつけられてしまいます。
そのようなことを起こさないためにも、社員教育は非常に大事なものになってきます。
有効的な対策はあるのか
色々考えましたが、ブログ主は大きく2つの対策があると考えました。
他にもたくさん対策はあると思いますが、今回は2つだけ抜粋します。
社員教育
1つ目は社員教育になります。サイバー攻撃の要因のほとんどは人的要因だと言われています。(セキュリティ意識の欠如・弱いパスワードの仕様・内部の脅威。教育と訓練の不足等)
これらの原因を防ぐためにも、普段から社員教育を徹底しセキュリティの意識や知識を高めることが重要です。
通信を最小限に抑える(不要なポートを閉じる)
最初のポートスキャンでお分かりいただいた方もかなり多いと思いますが、まず攻撃者は開いているポートを探って侵入方法の方針を決めていきます。
脆弱性のあるポートが空いているか、閉じられているかで攻撃を受ける可能性は大幅に変わります。
サイバー攻撃で一番大切なのはポートといっても過言ではありません。
ただ、ポートをすべて制御するのはかなりの手間と工数がかかって現実的ではないですし、
もちろん、ネットワークの知識も必要になります。
無作為に閉じてしまうと、業務に支障が起きてしまう可能性もあります
※ポートは全部で131072個
『Xshield』のご案内
最後にセキュリティ製品のご紹介をさせていただきます。
先ほど、ポートすべてを制御するのはかなりの手間と工数がかかって現実的ではないと言いましたが、それを実現できるのがXshieldになります。
Xshieldは、企業向けの高度なサイバーセキュリティソリューションを提供するプラットフォームです。この技術は、マイクロセグメンテーションと呼ばれる方法を用い、ネットワーク内部のアプリケーションやデータを細分化し、異なるセグメント間のアクセスを厳格に制御します。これにより、ゼロトラストセキュリティの原則を実現し、信頼できない環境からの潜在的な攻撃や侵害を未然に防ぎます。
エンドポイントに小さなファイアウォールを設けてポートを防ぎます。ですので、人が対処して攻撃を抑え込む必要はございません。
Xshieldを使用してポートを事前に塞いでおけば、ポートスキャンの時点で攻撃者も攻撃をあきらめます。万が一ウイルスに感染しても、そこから広がることもありません。
以下のURLから詳細情報も見れますので、いつでもお気軽にお問い合わせください。
https://de-denkosha.co.jp/product/cyber-sec/colortokens/
セキュリティ特化のブログも運営しています!
電巧社ではセキュリティ特化のブログも運営しています。
こちらも合わせてご覧ください。
マガジンもあります!