皆さんは、踏み台攻撃をご存じでしょうか。
踏み台攻撃は、他人のコンピュータを乗っ取り、サイバー攻撃や迷惑メールを仕掛ける行為です。
踏み台攻撃の仕組みと手口、具体的な被害と、どんなことに気を付ければ踏み台攻撃を防ぐことができるのか、対策についてご説明します。
標的型攻撃メールを見破るために、全編解説付きで標的型攻撃メールの事例・サンプルをまとめた資料を無料で配布しています。ご活用ください。
踏み台攻撃とは
踏み台攻撃は、攻撃者が特定のコンピュータを乗っ取って、攻撃に使用することを言います。
この踏み台攻撃により、情報漏洩・サイバー攻撃・迷惑メールを仕掛けることができるので、大きな被害につながることがあります。
乗っ取られたコンピュータは、攻撃者に操られて攻撃に加担してしまうため、「踏み台」と表現されるのです。
攻撃者からすると、他人のコンピュータのIPアドレスを使って攻撃を仕掛けると、「足がつかない」ことになるため、踏み台を作ることは、攻撃を仕掛ける前提として使われる仕掛けになります。
踏み台攻撃のセキュリティリスクとは
踏み台攻撃は、コンピュータの脆弱性をついて攻撃者が乗っ取りを仕掛けます。
踏み台攻撃のためにコンピュータを乗っ取られると、コンピュータ機器、あるいはネットワークを大量のトラフィックで止めてしまうDDoS攻撃や標的型攻撃など、様々なサイバー攻撃に結果的に加担してしまうことになります。乗っ取られたほうも本来は被害者ですが、その二次被害のほうが深刻です。
サイバー攻撃に加担してしまうと、攻撃者だと疑われることになるのと同時に、脆弱性を作っている方も責任があるものと見られてしまいます。そのため、企業のコンピュータが踏み台にされていることが発覚すると、社会的な信用失墜につながります。
情報セキュリティ体制を取引の開始の際にアンケート等で調査されることが多い昨今では、踏み台にされた企業もその後のビジネスにマイナスの影響が出かねません。
踏み台攻撃の事例
踏み台攻撃には2つのパターンがあります。
言い換えると、コンピュータの乗っ取りの手口に2つの方法があります。
パスワードの窃取
踏み台攻撃のパターンの一つは、踏み台にするコンピュータからのパスワードの窃取です。
IDやパスワードは、もしも簡単な組み合わせのIDやパスワードを使用していると、ツールなどで簡単に特定されてしまいます。
大量の文字列や記号を組み合わせて、IDやパスワードを作り出し、総当たりの攻撃を加えていくわけです。管理者パスワードにヒットし、コンピュータにログインすれば、どのような動作でも可能になってしまいます。
そこからさらに他のコンピュータに侵入したり、あるいは他のコンピュータに攻撃を加えて業務を妨害したり、あるいは情報を窃取することが可能になっていきます。
マルウェア感染
踏み台攻撃のコンピュータの乗っ取りを行わせるマルウェアがあります。マルウェアは、通信による遠隔操作を行うことができますので、このマルウェアに感染してしまうと、リモート操作でコンピュータが悪用されてしまいます。
厄介なのは、コンピュータの利用者からすると、このマルウェア感染が分かりにくいことです。遠隔操作で知らないうちにバックグランドでコンピュータが動いているため、コンピュータの持ち主の自覚がなく攻撃を実施している場合が多くあります。
ところで、踏み台攻撃を仕掛けるためのマルウェアには下記のような感染経路があります。
- メールに添付されたマルウェアを開くことで感染
- いわゆる「標的型攻撃」によって踏み台にされる場合です
- Webサイトへのアクセスで感染
- 悪意のあるWebサイトを閲覧し、強制的にマルウェアをダウンロードさせられる場合で、Webサイトが経路になっています
- フリーソフトウェアからの感染
- マルウェアの仕掛けられているフリーソフトウェアが経路になり、感染するパターンです
- 脆弱性をついた感染
- もともとコンピュータの脆弱性があったために、感染する場合です
- マルウェア感染した端末から二次感染
- マルウェアに感染しているPCと社内LANを通じて接続されてしまったため感染・USB経由で、メモリ経由で感染・周辺機器からの感染などの場合があります。
不審なメールは開かない、不審な動きをするサイトにアクセスすること・不審なフリーソフトをダウンロードすることは控える、といったことは基本ではありますが、なかなか気が付きにくいように細工がされていることも多く見られ、攻撃者の上を行く対策が取りにくい場合もあります。
踏み台攻撃への対策
踏み台攻撃を100%防止することは難しいと考えられますが、有効な対策は存在します。
有効な対策をいくつも取ることにより、状況は攻撃者の思うとおりにはなりにくくなるのです。つまり、セキュリティ対策をいくつか重ねて、社会通念上「十分」と呼ばれるレベルにすると、踏み台攻撃のリスクは非常に小さくなります。
また、実際に攻撃にあってしまったとしても、考えられる手立てを十分尽くしたことを立証できれば、信用の失墜は最小限に済ませることが見込まれます。
具体的な踏み台攻撃対策は、主に次のようなものが有効とされています。これらを複数使うことが必要です。
複雑な組み合わせの強固なID・パスワードへの変更
文字列・大文字と小文字・記号・数字と要素を組み合わせてパスワードを作ること、またIDも同様の考え方で作成することが対策の一つになります。
IPAではパスワードを「できるだけ長く」、「複雑で」、「使い回さない」ものとすることを推奨していますが、長く、複雑かつ共通のパスワードを複数のサービスで利用しないことも対策になります。攻撃者がツールを使って作り出すID・パスワードが可能な限りヒットすることがないようにするためです。
しかし、複雑で長いパスワードは管理に手間取りがちで、利用している本人がパスワードを忘れるようなこともよく起こります。そこで、コアパスワードを使い、そこから本人にしかわからない方法でパスワードに変化を持たせ(変化を持たせる文字列等を識別子といいます)、複数のサービスで使う方法が考えられます。
パスワードと、識別子=コアパスワードにつけることにより、パスワードに変化を付けるものを別々に紙や電子ファイルで管理することも対策になります。片方ではパスワードが成立しないので、サービスが利用できないからです。
IPAのウェブサイトではtelebigasukiという文字列を複雑にして、コアパスワードを作り、サービスごとに識別子を異なるものにする方法が紹介されています。
定期的なセキュリティ対策ソフトのアップデート
セキュリティ対策ソフトウェアは、脆弱性対策が施されています。更新されていないソフトウェアは、脆弱性が生じる確率が大きくなります。
また、OS・アプリケーションソフトウェアも同様に、最新のものに保っておきましょう。推奨される周期ごとにアップデートをし、脆弱性対策を万全にしておくことにしましょう。
PC・サーバ、双方にこの対策は必要です。
UTMなどで不正な通信を遮断
攻撃者は、通信および遠隔操作により攻撃を加え、踏み台にされたサーバーやPCを操作してしまいます。そこで、余計な通信をファイアウォール機能で遮断することは定石として行われていることです。
ただ、必要な通信が残っていると、そこからの侵入も可能性があるので、通信検知を行うIDSや、通信の遮断を行うIPSで不正な通信を検知して遮断することも有効です。
最近はファイアウォール・IDS・IPSを一元的に管理できて、複数の手段で通信を監視・検知・遮断するUTMによる管理の有効性が高いとされています。
その他、上記の対策を基本として、次のような対策をとること、特に社内規定化し、実行しておくことが有効と考えられます。
- 不要になったアカウントの削除
- Webサーバーの実行ユーザーに管理者権限を付与しない
- リモート接続を許可された端末のみから実施できるように制限。また、複数回の個人認証を実施
- パスワード試行に一定回数失敗した場合はアカウントをロック
- 必要最低限のディレクトリをWebサーバーに公開
- 怪しいメールは開かない
- もし踏み台にされていることが発覚した場合は、攻撃が特定できるログや攻撃者からの通信のログを可能な限り保存する(90日分が目安となる)
まとめ
踏み台攻撃の手口・被害・予防法の現在の状況ついて、詳しくお伝えしました。
攻撃者は今後も日進月歩で攻撃を複雑化させて、対策の裏をかいてきます。その様子はよく言われる「いたちごっこ」といえます。
踏み台攻撃のリスクをコントロールするためには、手口と予防法の最新の動きを注視して、対策をいくつも取っていくことが重要です。
また、標的型攻撃の事例・サンプルをまとめた解説資料はこちら。