HOME情報セキュリティ情報セキュリティ対策脆弱性対策標的型攻撃に関する調査結果

本文を印刷する

情報セキュリティ

標的型攻撃に関する調査結果

掲載日 2011年3月30日
独立行政法人 情報処理推進機構
セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、脆弱性を利用した新たなる脅威の実態把握と対策促進のための調査レポートとして「脆弱性を狙った脅威の分析と対策について Vol.5」を2011年3月30日(水)から、IPAのウェブサイトで公開しました。

概要

 近年、ソフトウェアの脆弱性を利用し、特定の組織や個人を狙って情報窃取等を行う攻撃が報告されています。IPAでは2010年12月に、システムへの潜入等の「共通攻撃手法」と、情報窃取等の目標に応じた「個別攻撃手法」を組み合わせた「新しいタイプの攻撃」についてまとめたレポート(*1)を公開する等、これらの攻撃に対する情報提供を行っています。
 この度、IPAセキュリティセンターでは、2010年7月頃から発生している、社会インフラをターゲットとしたStuxnet(スタックスネット)という攻撃について解析を行い、攻撃の特徴と対策をまとめた「脆弱性を狙った脅威の分析と対策について Vol.5」を公開しました。 図1にStuxnetの攻撃の流れを示します。今回IPAでは、「ファイル(攻撃基地の設計図)」の部分を中心に解析を行いました。

図1:Stuxnetの攻撃の流れとファイルが持っている機能例
図1:Stuxnetの攻撃の流れとファイルが持っている機能例

 Stuxnetのファイルを解析した結果、以下のことが明らかになりました。

  • Stuxnetは5つのファイルから構成されており、ファイルには外部の攻撃サーバと通信を行うためのネットワーク設定、システム内部への侵入・攻撃、隠ぺい工作等の機能がある。
  • 外部の攻撃サーバとの通信の際は、業務上で利用されることの多い80番ポートを利用するように設定する。これにより、業務上行う通信と、攻撃サーバと行う通信との区別がつきにくくなる。
 80番ポートは、業務上で利用する関係からポートを閉じることが難しく、ポートが開いている以上、マルウェアの行う通信を防ぐことは困難です。そのため、攻撃者との通信を遮断するため、以下のようなネットワークレベルでの多層的な防御を行い、攻撃の最終目標まで到達する前にネットワークを介した動きを封じるための施策を施しておくことが重要になります。 これらの対策の詳細については、IPAテクニカルウォッチ を御参照下さい。
  • プロキシの認証情報のチェック
  • HTTP、SSL、通信のヘッダーチェック
  • スイッチ等でのVLAN(Virtual Local Area Network)ネットワーク分離設計
  • 最重要部のインターネット直接接続の分離設計

 IPAでは今後も、新しいタイプの攻撃について調査・分析を実施し、攻撃に対する知識の普及、対策の促進のため、「脆弱性を狙った新たなる脅威の分析と対策について」として定期的に情報を発信していきます。
 「脆弱性を狙った脅威の分析と対策について Vol.5」(全8ページ)は、次のURLよりダウンロードの上、ご参照ください。

報告書のダウンロード

脚注

(*1)「IPA テクニカルウォッチ:『新しいタイプの攻撃』に関するレポート」

本件に関するお問い合わせ先

IPA セキュリティセンター 小林/長谷川/相馬

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。