繋がりを悪用するサイバー攻撃:アイランドホッピング攻撃とは?
セキュリティを高めたい
先生、「アイランドホッピング攻撃」って、どんな攻撃なんですか? セキュリティの本で読んだんですけど、よく分からなくて…
情報セキュリティ専門家
なるほど。「アイランドホッピング攻撃」は、軍事作戦の「飛び石作戦」に似ているんだよ。小さな島を次々に攻めていくように、最終的な目標にたどり着くまで、関係する組織を順番に攻撃していくんだ。
セキュリティを高めたい
小さな島を攻めていく…? 例えば、どんな感じですか?
情報セキュリティ専門家
例えば、A社のシステムを攻撃したいとします。でも、A社はセキュリティが強い。そこで、A社と取引のある、セキュリティの弱いB社を先に攻撃する。そして、B社を経由してA社のシステムに侵入するんだ。これが「アイランドホッピング攻撃」だよ。
アイランドホッピング攻撃とは。
「情報セキュリティの専門用語で『渡り鳥攻撃』と呼ばれるものがあります。これは、軍事作戦で使われる、小さな島々を次々に攻めていく作戦方法になぞらえた攻撃方法です。最近よく耳にする『渡り鳥攻撃』は、つながりのある会社や協力関係にある会社の中でも特に弱いところを最初に攻撃し、最終的な目的の会社に侵入する、いわゆる『サプライチェーン攻撃』と同じような意味合いで使われています。
組織の関係性を狙う攻撃
今日のビジネスの世界では、企業は多くの外部組織と複雑につながり合って活動しています。例えば、部品や材料を供給してくれる会社、製品やサービスを販売してくれる会社、共同で事業を行う会社など、様々な関係があります。このようなつながりは、企業が効率的に活動し、新しいものを生み出すために役立ちますが、同時に、サイバー犯罪者にとっても新たな侵入経路となってしまう可能性があります。「アイランドホッピング攻撃」と呼ばれる巧妙なサイバー攻撃は、このような企業間のつながりを悪用したものです。
アイランドホッピング攻撃では、サイバー犯罪者はまず、標的とする企業と関係を持つ組織、例えば規模が小さく、セキュリティ対策が手薄な取引先企業などを探し出し、そこを足がかりに侵入を試みます。そして、その組織のシステムに侵入した後、最終的な標的である企業のシステムにアクセスするまで、組織内ネットワークをまるで島伝いに渡り歩くように、段階的に侵入を進めていきます。
この攻撃は、標的となる企業への直接攻撃と比べて、発見が遅れる可能性が高く、大きな被害につながる恐れがあります。なぜなら、一見すると無関係に見える組織からの侵入となるため、セキュリティ対策システムでも検知が難しい場合があるからです。また、攻撃者は時間をかけて入念に準備を進め、気付かれないように少しずつ情報を盗み出すため、被害に気付いたときにはすでに深刻な状況になっていることも少なくありません。
攻撃手法 | 概要 | 特徴 | 対策 |
---|---|---|---|
アイランドホッピング攻撃 | 標的企業と関係を持つ組織を足がかりに、段階的に侵入していく攻撃 | – 標的企業への直接攻撃と比べて発見が遅れる可能性が高い – 時間をかけて入念に準備を進めるため、被害に気付いたときにはすでに深刻な状況になっていることも少なくない |
– 企業間取引におけるセキュリティ対策の強化 – セキュリティ監査の実施 – 従業員へのセキュリティ意識向上トレーニング |
飛び石作戦と同様に
「飛び石作戦」という言葉を耳にしたことはありますか?第二次世界大戦中の太平洋戦争で、アメリカ軍が用いた軍事戦略です。日本軍の強固に守られた島を避け、比較的防御の弱い島々を占領しながら徐々に勢力を広げ、最終的な勝利を掴み取ったのです。
サイバー空間における「アイランドホッピング攻撃」も、この戦術とよく似ています。攻撃者は、最終的な標的とする組織に真正面から侵入するのではなく、まずは、その組織と関係を持つセキュリティ対策の甘い組織を攻撃します。そして、その組織のシステムに侵入し、足がかりを築くのです。次に、そこで得た情報を悪用したり、システムを乗っ取ったりしながら、次の段階へと攻撃を進めていきます。
まるで石を伝って川を渡るように、攻撃者は複数の組織を踏み台にして、最終的な標的へと近づいていくのです。そして、その過程で機密情報を入手したり、システムに破壊工作を行ったりするなど、甚大な被害をもたらす可能性があります。
用語 | 概要 | 特徴 |
---|---|---|
飛び石作戦(軍事) | 第二次世界大戦中のアメリカ軍の戦略 | – 強固な防衛線を避けて、弱い地点を攻撃 – 占領した拠点を足掛かりに勢力拡大 |
アイランドホッピング攻撃(サイバー) | 軍事戦略の「飛び石作戦」になぞらえたサイバー攻撃 | – 最終的な標的と関連する、セキュリティの弱い組織を攻撃 – 侵入した組織のシステムを足掛かりに、段階的に攻撃を進める – 最終的な標的に到達するまで、複数の組織を経由する |
関連組織を踏み台にする
昨今、巧妙化するサイバー攻撃において、関連組織を踏み台にするという手法が目立つようになっています。これは、セキュリティ対策が強固な組織を直接攻撃するのではなく、その組織とつながりのある企業などを狙う高度な攻撃です。
具体的には、攻撃者はまず、標的となる組織と取引のある関連会社、パートナー企業、さらには顧客など、セキュリティ対策が比較的甘い組織を綿密に調査します。そして、それらの組織の従業員などに対し、一見すると本物と見分けがつかないような巧妙な偽のメール(いわゆるフィッシングメール)を送信したり、システムの脆弱性を突いたりして、侵入を試みます。
もし関連組織のシステムへの侵入に成功すると、攻撃者はそれを足がかりとして、最終的な標的である組織のネットワークに侵入する道を探します。関連組織との間でやり取りされるメールやデータなどを盗み見たり、システムに潜伏して機会を伺ったりしながら、段階的に攻撃を進めていくのです。
このように、関連組織を踏み台にする攻撃は、直接攻撃よりも成功率が高くなる可能性があり、また、発覚しにくいという点でも攻撃者にとって都合が良い手法と言えます。そのため、企業は自社のセキュリティ対策だけでなく、取引先などのセキュリティ対策にも気を配り、連携を強化していくことが重要です。
攻撃手法 | 概要 | 対策 |
---|---|---|
関連組織を踏み台にする攻撃 | セキュリティの強固な組織を直接攻撃するのではなく、取引のある関連会社、パートナー企業、顧客など、セキュリティ対策が比較的甘い組織を標的にして攻撃を仕掛ける。 | 自社のセキュリティ対策だけでなく、取引先などのセキュリティ対策にも気を配り、連携を強化する。 |
発見の遅延と被害の拡大
– 発見の遅延と被害の拡大
巧妙化するサイバー攻撃の一つに、「飛び石攻撃」と呼ばれる手法があります。これは、最終的な標的となる組織に直接侵入するのではなく、関係する取引先や子会社などを経由して攻撃を仕掛ける高度な手法です。
従来型の攻撃とは異なり、飛び石攻撃は標的組織のセキュリティ網をかいくぐるため、発見が極めて困難です。なぜなら、攻撃者はまず、標的組織とつながりのある組織に侵入し、その組織のシステムを足がかりとして、段階的に標的組織へと近づいていくからです。
この段階的な侵入経路をたどるため、攻撃者は時間をかけて入念な準備を行います。そして、標的組織のセキュリティ対策をかいくぐる最適な経路を見つけてから攻撃を開始するため、標的組織のシステム上では、不審な動きとして検知されにくいのです。
さらに、被害が顕在化するまで時間がかかることも、飛び石攻撃の特徴です。攻撃者は時間をかけて段階的に侵入を進めるため、被害が表面化しにくく、その間に機密情報へのアクセスやシステムへの潜伏を許してしまう可能性があります。発見が遅れるほど、攻撃者は組織の深部に侵入し、より機密性の高い情報にアクセスできてしまうため、結果として被害は甚大なものになりかねません。
飛び石攻撃の特徴 | 詳細 |
---|---|
攻撃経路 | 標的組織と関係する取引先や子会社などを経由して、段階的に標的組織に侵入する。 |
発見の困難さ | 段階的な侵入経路をたどるため、標的組織のシステム上では不審な動きとして検知されにくい。 |
被害の顕在化 | 攻撃者は時間をかけて段階的に侵入を進めるため、被害が表面化しにくく、発見が遅れるほど被害は甚大になる。 |
多層的なセキュリティ対策
– 多層的なセキュリティ対策昨今、組織を狙ったサイバー攻撃はますます巧妙化しており、その手口も多岐にわたっています。特に、取引先や関連会社など、つながりの弱い部分を突いて攻撃を仕掛けてくる「アイランドホッピング攻撃」の増加が深刻化しています。このような攻撃から組織を守るためには、従来のセキュリティ対策に加えて、サプライチェーン全体を巻き込んだ多層的なセキュリティ対策が不可欠です。具体的には、まずは関係組織との連携強化が挙げられます。セキュリティに関する情報共有や共同訓練の実施、セキュリティポリシーの統一化などを通じて、サプライチェーン全体で足並みを揃えた対策を進めることが重要です。また、組織内部のセキュリティ対策も強化する必要があります。特に、従業員一人ひとりのセキュリティ意識向上が重要です。なぜなら、いくら強固なセキュリティシステムを構築しても、それを扱う従業員に適切な知識や意識がなければ、セキュリティ事故のリスクは高まってしまうからです。そのため、フィッシングメールや不正なソフトウェアへの対策といった基本的な内容を含むセキュリティ意識向上トレーニングを定期的に実施し、従業員が常に最新の脅威と対策方法を認識できるようにする必要があります。このように、多層的なセキュリティ対策は、組織全体のセキュリティレベル向上に不可欠です。関係組織と連携し、組織内部のセキュリティ対策も強化することで、より強固なセキュリティ体制を構築し、サイバー攻撃から組織の重要な情報資産を守りましょう。
対策 | 詳細 |
---|---|
サプライチェーン全体を巻き込んだ多層的なセキュリティ対策 | 従来のセキュリティ対策に加えて、サプライチェーン全体でセキュリティレベルを引き上げる対策が必要。 |
関係組織との連携強化 | – セキュリティに関する情報共有 – 共同訓練の実施 – セキュリティポリシーの統一化 |
組織内部のセキュリティ対策強化 | – 従業員一人ひとりのセキュリティ意識向上 – 定期的なセキュリティ意識向上トレーニングの実施 |