攻撃の流れには「型」がある

サイバー攻撃の加害者である攻撃者にはいろいろなタイプがいます。近年増加している、金銭目的の攻撃者であったり、国家の支援を受けた攻撃者、なかには個人の楽しみのためにハッキング行為をしている愉快犯もいます。(最近ではずいぶん減ってきましたが)

そのため、攻撃者によってサイバー攻撃の方法はさまざまですが、一般的な攻撃においては一定の「型」があります。そのような攻撃方法を知り、攻撃者心理を把握することは防御側にとって非常に重要です。今回はこの型について解説します。

この型については、いろいろな研究がされていて、いくつか有名なものもありますが、それらをかみ砕いて分かり易くしたものをご紹介します。

このフローは、「①事前準備」、「②攻撃」、「③後始末」の順番で行われることが多くなっています。次にこれらの各手順の詳細を見ていきましょう。

①事前準備

このフェーズでの大きな目的は、情報をひたすらに収集することです。最終的な攻撃を行う段階で試行錯誤を行うことは、攻撃先にさまざまな痕跡を残します。そのため、攻撃者にとっては好ましいことではありません。そのため、事前にどのような組織に対して、どのような攻撃が実現可能か?といった内容を集めるのです。優れた攻撃者ほどこのフェーズに時間をかける傾向があります。

また、特に攻撃者のターゲットが決まっている場合(産業スパイが、とある企業の機密情報を何としてでも奪いたい場合など)にもこのフェーズが重視されます。徹底的な調査をした上で、最も確実性の高い方法を使って効果的な攻撃を仕掛けてくることが想定されます。

ここで使われるのは公開情報です。そのためOSINTの技術が活用されます。

この行動はあくまでも誰でもアクセス可能な情報を利用しているだけなので、たいていの場合は法に触れることはありません。そのため、攻撃者もここに十分な時間をかけてくることになります。

続いて、このフェーズで行われるのは「スキャニング」です。スキャニングはポートスキャンのようなテクニックを用いて、攻撃対象のシステムに実際にアクセスをして、利用しているサーバーやアプリケーションの種類や利用状況を特定したり、時には使用しているアプリケーションのバージョンを特定します。これにより、攻撃方法を定めることができるようになります。

この行為は、攻撃を受ける側でも検知することができますが、一般的にこういったスキャニング行為は日常茶飯事的に行われており、特定のスキャンに注意を払うことがなかなか難しいという実状があります。

そして、事前準備の最終段階として、「列挙」を行います。これはOSINTにより収集した情報やスキャニングで手に入れた情報を整理する段階です。利用しているアプリケーションのバージョンが特定できれば、そこにある脆弱性を調査するなどし、攻撃計画を練ることになります。

このフェーズは必要な情報を得られるまで繰り返し行われることが多く、ここで充分な情報が得られない場合は攻撃者は攻撃を断念する場合もあるでしょう。不必要な公開情報を抑えたり、スキャニングの初期段階で検知して対処を行うことは、サイバー攻撃を受けるリスクを低減するために有効です。

②攻撃

充分な情報を集めた攻撃者は、次に実際の攻撃段階に移ります。

いきなり高度な権限を持つアカウントを奪うことは困難であるため、まずは一般ユーザーでのアクセスを試みます。これが「アクセス権の取得」段階です。具体的には脆弱性を突いた攻撃を行ったり、パスワードを推測したり、時にはログインが可能かどうか、総当たり攻撃などを仕掛けてくることがあります。

そして、首尾よくアカウントを奪取することに成功した場合は、より高度な権限の取得を求めて、「権限昇格」の段階に移行します。一般ユーザーの権限内で調査できる範囲で内部的な情報を収集し、これを目指すことになります。

実際の攻撃フェーズで行うことはシンプルです。ここに手数をかけてしまうと、証拠を残すことに直結しますので、ここでの試行錯誤は最小限となるようにウドいてくるのが定石です。

③後始末

最後は、後始末のフェーズです。ここでは前段の攻撃段階で高度な権限を取得できたかどうかで攻撃者の行動が大きく変わります。

まず行うことは、「アクセスの維持」です。毎回脆弱性を突いた攻撃を行うことは簡単ではありませんし、検知されるリスクも高くなります。また、脆弱性自体にパッチを充てるなど、対処されてしまいうとその侵入口は使えなくなりますので、裏口を用意することに攻撃者は尽力します。これがバックドアの作成です。

そしてここまで行動したら、最終段階である痕跡の消去を行います。攻撃者がシステムに侵入すると、多かれ少なかれ痕跡が残ります。例えばログです。一般的にログを消去するためには管理者権限が必要になりますが、それを得ている場合は、消去を行います。

また、先ほど用意したバックドアが容易に見つかることが無いように隠ぺいすることもこの段階で行うことが多いです。

まとめ

このように、一般的な外部からの不正アクセスには一定の型があります。事前準備→攻撃→後始末、といったようにフロー化された手順を踏みますので、この一連の流れのどこかで攻撃を断ち切ることが防御側としては必要になります。

なお、必ずしも不正アクセスがこのフローに乗っ取って行われるわけではありません。例えばDDoS攻撃のような場合は、証拠の削除を必要としませんので、後始末のフェーズはほぼ不要となります。

しかし、防御側にとってこういった攻撃者の手法を知っておくことは非常に役に立ちます。基本としておさえておくようにしてください。

インシデント 一般