HOMEIPAについて新着情報IPAテクニカルウォッチ 「攻撃者に狙われる設計・運用上の弱点についてのレポート」の公開

本文を印刷する

IPAについて

IPAテクニカルウォッチ 「攻撃者に狙われる設計・運用上の弱点についてのレポート」の公開

~利便性向上のためのシステム設計等が標的型攻撃の糸口に悪用されている実態を確認~

2014年3月28日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、標的型攻撃においてシステム内部潜入後に悪用される設計・運用上の弱点について、運用現場の実情と対策の考え方をまとめ、「攻撃者に狙われる設計・運用上の弱点についてのレポート」として2014年3月28日からIPAのウェブサイトで公開しました。
URL:http://www.ipa.go.jp/security/technicalwatch/20140328.html

 近年、インターネットを介して組織の機密情報を盗み取る、標的型攻撃が相次いでいます。政府機関から民間企業に至るまで幅広く狙われており、国益や企業経営を揺るがしかねない重大な懸念事項となっています。
 IPAでは、これまで標的型攻撃の対策として、パソコンの脆弱性対策やウイルス対策等の「入口対策」、システム内部侵入後に侵害範囲を拡大させないための「内部対策」、情報を外部に送出させない「出口対策」をバランス良く実施することを啓発してきましたが、標的型攻撃における攻撃手法の洗出しと対策の案出を図るため、2013年4月より実際に攻撃にあった機関に対してヒアリング調査をおこないました。
 この調査の結果、攻撃にあった機関では、利便性や運用上の効率を考慮した情報システムの設計策が取られており、これを逆手に取られ攻撃に悪用されてしまっているという実態が確認できました。このため、一度、内部に侵入されてしまうと、脆弱性対策やウイルス対策ソフトでの効果は期待できず、しかも利便を指向したシステムの設計・運用上の設定が悪用されるため、諜報範囲の拡大を招いてしまったといえ、システムの設計によっては、従来の対策では十分ではないことが分かりました。
 今回のレポートでは、攻撃に対して結果的に意外な弱点となっているシステム設計例を10点挙げ、攻撃に悪用されてしまいがちな設定や運用(背景)と対策の考え方をまとめています。
 また、レポートでは、標的型攻撃の一連のシナリオに合わせて、個々の攻撃から防御する為の対応機器を一覧にして示しています(別紙参照)。注目すべき事項は、攻撃の初期段階は、セキュリティ製品で防御可能なのに対し、攻撃の後段では、運用者がネットワーク設計や業務機器の設定で、防御するのが有効であるという点です。
 IPAが主催したセミナーで行ったアンケート (*1)では参加者の約半数が、利便性のため業務端末をシステム・サーバ運用の端末として兼用していることがうかがえました。この兼用は、システム内部への侵入口となり、潜入されると、業務サーバーへの不正アクセスを誘発することを意味します。

 標的型攻撃は「2014年版 情報セキュリティ10大脅威(*2)」においても、1位に選出されるなど、最も注意を払うべき攻撃です。
 IPAでは、本レポートを契機に、企業・組織のシステム管理者が、入口対策、および出口対策に次ぐ第三の対策として、運用を考慮した内部対策を標的型攻撃への対策として活用することを期待しています。

脚注

(*1)2014年2月に実施したIPA主催セミナー「脆弱性対策の効果的な進め方」からのアンケート結果。

(*2)2013年において社会的影響が大きかった情報セキュリティの脅威について、情報セキュリティ専門家や研究者117名の投票により順位付けして、それぞれの脅威について解説した資料。

レポートのダウンロード

テクニカルウォッチ概要のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 大森/岡下

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7591までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。