サイバー攻撃におけるデータ抽出の手口
セキュリティを高めたい
「情報セキュリティ」でよく聞く「抽出」って、どういう意味ですか?データを抜き出すこと、くらいにしか理解できていなくて…。
情報セキュリティ専門家
良い質問だね!「抽出」は、まさに君が言うように、情報を抜き出すことを指すんだ。ただし、セキュリティの文脈では、許可なくこっそり重要な情報を持ち出すことを指す場合が多い。イメージとしては、泥棒が宝物を盗み出す感じかな。
セキュリティを高めたい
なるほど!こっそり持ち出す、というのがポイントなんですね。でも、どうやってこっそり持ち出すんですか?
情報セキュリティ専門家
色々な方法があるんだけど、例えば、情報を小さな断片に分けて少しずつ送ったり、普通の通信に紛れ込ませたりするんだ。他にも、一見無害そうなファイルに情報を隠して送るなんて方法もあるよ。
抽出とは。
「情報セキュリティの分野で使われる『抽出』という言葉について説明します。『抽出』とは、サイバー攻撃者が使う攻撃方法の一つで、情報を盗み出すことを指します。攻撃者の行動パターンをまとめた『MITRE ATT&CK』では、『抽出』は『情報を盗もうとする行為』と定義されています。攻撃者は、侵入した機器やネットワークの中から情報を集めると、その情報をこっそりと隠したり、小さく圧縮したりして、見つからないように外部のサーバーに送ります。この時、攻撃者はデータを送るための特別な道具を使ったり、悪意のある外部サーバーと通信したりするため、証拠が残ってしまいます。『抽出』の方法としては、情報を小分けにして小さくすることで見つかりにくくする方法や、普段行われている作業の中にこっそり混ぜてしまうことで怪しい行動を隠す方法、特別なプログラムを使ってコードの保管場所に送る方法など、様々なものがあります。
データ抽出とは
– データを盗み出す攻撃
企業が扱う情報の中でも、特に重要な顧客情報や企業秘密といった機密情報は、サイバー攻撃の対象になりやすく、その多くは最終的に攻撃者による情報の窃取を目的としています。こうした攻撃の最終段階で行われるのが「データ抽出」です。
データ抽出とは、攻撃者が標的のシステムやネットワークに侵入した後、不正に入手した機密データなどを外部のサーバーへ送信して持ち出す行為を指します。
攻撃の手口は様々ですが、例えば、
* 標的のシステムに不正なプログラムを仕掛けて、パスワードやクレジットカード番号などの重要な情報を盗み出す
* 組織内部のネットワークに侵入し、顧客情報や財務データなどの機密ファイルを盗み出す
などが挙げられます。
データ抽出は、攻撃者にとっては攻撃の成功を意味し、防御側にとっては大きな損失に繋がります。情報漏洩は、企業の信用を失墜させ、顧客離れや訴訟に発展する可能性もあります。また、盗まれた情報が悪用され、二次被害、三次被害に繋がる可能性も否定できません。
そのため、データ抽出を防ぐための対策は、企業にとって非常に重要です。
フェーズ | 攻撃者の行動 | 目的 | 企業への影響 |
---|---|---|---|
攻撃準備段階 | 標的のシステムに不正なプログラムを仕掛ける 組織内部のネットワークに侵入 |
機密データへのアクセス権を得る | – |
データ抽出(攻撃成功) | パスワードやクレジットカード番号などの重要な情報を盗み出す 顧客情報や財務データなどの機密ファイルを盗み出す |
機密データを外部のサーバーへ送信して持ち出す |
|
攻撃者の戦術
– 攻撃者の戦術機密データの窃取攻撃者は、標的のシステムに侵入した後、その目的を達成するため、様々な手段を用いて行動します。その中でも、「データ抽出」は、攻撃者にとって重要な目的の一つと言えるでしょう。MITRE ATT&CKフレームワークでは、この「データ抽出」を「データを窃取しようとすること」と定義しています。侵入に成功した攻撃者は、まず、システム内を探索し、金銭的価値のある情報や、機密性の高い情報を探し出します。顧客情報や企業秘密、個人情報など、その内容は多岐にわたります。そして、発見したデータを外部のサーバーに送信しようと試みます。しかし、攻撃者は、その行動を隠蔽しなければなりません。なぜなら、不正なデータ送信を検知するセキュリティシステムが存在するからです。そこで、攻撃者は検知システムを回避するために、巧妙な戦術を駆使します。例えば、データを暗号化したり、ファイルを分割して送信したりすることで、セキュリティシステムの監視をすり抜けようとします。また、正規の通信に偽装してデータを送信するケースも少なくありません。このように、攻撃者は目的を達成するために、絶えず新たな戦術を開発し、セキュリティ対策を回避しようと試みています。そのため、防御側もまた、最新の攻撃手法を理解し、適切な対策を講じる必要があります。
攻撃者の目的 | 攻撃者の行動 | 対策 |
---|---|---|
機密データの窃取 |
|
最新の攻撃手法を理解し、適切な対策を講じる |
データ隠蔽の手法
データ隠蔽は、悪意のある人物が重要な情報を不正に持ち出そうとする際に用いる巧妙な技術です。一見すると無害に見えるファイルや通信の中に、秘密のデータが隠蔽されます。セキュリティ対策をすり抜けるために、攻撃者は様々な隠蔽の手口を駆使します。
例えば、データを暗号化することで、その内容は暗号鍵を持つ者以外には解読できない状態になります。これは、機密情報が漏洩した場合でも、内容を秘匿することを目的としています。
また、データを圧縮することで、ファイルサイズを小さくし、ネットワークの監視システムによる検知を難しくします。圧縮されたデータは、一見すると通常のデータと区別がつきにくいため、セキュリティ対策をかいくぐってしまう可能性があります。
このように、データ隠蔽の手法は日々進化しており、セキュリティ対策もいたちごっこになっています。重要な情報を守るためには、最新の脅威情報や対策技術に関する知識を常に最新の状態に保つことが重要です。
データ隠蔽の手口 | 説明 | 目的 |
---|---|---|
暗号化 | データを暗号鍵で暗号化し、解読不能にする。 | 機密情報漏洩時の秘匿 |
圧縮 | データを圧縮しファイルサイズを小さくする。 | ネットワーク監視システムによる検知回避 |
巧妙化する転送手段
– 巧妙化する転送手段
不正に取得した情報を外部へ持ち出すためには、データを転送する手段が必要となります。攻撃者は、従来型のデータ転送ツールを用いるだけでなく、正規のソフトウェアの脆弱性を突いたり、近年ではクラウドサービスを悪用したりと、手口を巧妙化させています。
かつては、攻撃者自身が作成した不正プログラムや、セキュリティ対策が施されていないファイル転送サービスなどを利用するのが一般的でした。しかし、近年ではセキュリティ対策ソフトの検知を回避するため、正規のソフトウェアの脆弱性を突いてデータを転送するケースが増加しています。
また、攻撃者の痕跡を隠蔽するために、クラウドストレージサービスやコードレポジトリを悪用するケースも増加傾向にあります。クラウドストレージサービスでは、大容量のデータを容易にアップロードできるため、不正に取得した情報を一時的に保管する場所として悪用されます。コードレポジトリは、本来ソフトウェア開発者がソースコードを共有するために利用するサービスですが、攻撃者はこの仕組みに悪意のあるコードを紛れ込ませ、外部からアクセスできるようにすることで、データを転送します。
このように、データ転送手段は日々巧妙化しており、従来型のセキュリティ対策だけでは検知が困難になりつつあります。そのため、最新の攻撃手法を把握し、多層的なセキュリティ対策を講じることが重要となります。
転送手段 | 特徴 | 対策 |
---|---|---|
従来型 | 不正プログラムやセキュリティ対策が施されていないファイル転送サービス |
|
正規ソフトウェアの脆弱性悪用 | セキュリティ対策ソフトの検知を回避するため、正規のソフトウェアの脆弱性を突いてデータ転送 |
|
クラウドストレージサービス悪用 | 大容量データを容易にアップロードできるため、不正取得情報を一時的に保管 |
|
コードレポジトリ悪用 | 悪意のあるコードを紛れ込ませ、外部からアクセスできるようにしてデータ転送 |
|
具体的な抽出テクニック
攻撃者は、機密情報を不正に持ち出す際、その痕跡を隠すために様々な巧妙な手口を用います。
例えば、大量のデータを一度に送信するとネットワークトラフィックに異常が生じるため、攻撃者はデータを小さな断片に分割して転送することがあります。
また、正規のシステム運用で行われるスケジュールタスクにデータ送信を紛れ込ませることで、セキュリティ対策ソフトの監視をすり抜けるケースも確認されています。
さらに近年では、開発者がソースコードを共有するために利用するGitHubのようなコードレポジトリを悪用し、APIを介して機密データをアップロードするといった、より巧妙な攻撃も観測されています。
このように、攻撃者は常に新たな手口を開発し、セキュリティ対策をくぐり抜けようと試みています。そのため、セキュリティ対策側も常に最新の情報を収集し、対策を強化していく必要があります。
攻撃手法 | 詳細 |
---|---|
データ分割転送 | 大量のデータを一度に送信するとネットワークトラフィックに異常が生じるため、データを小さな断片に分割して転送する。 |
スケジュールタスク悪用 | 正規のシステム運用で行われるスケジュールタスクにデータ送信を紛れ込ませることで、セキュリティ対策ソフトの監視をすり抜ける。 |
コードレポジトリ悪用 | GitHubのようなコードレポジトリを悪用し、APIを介して機密データをアップロードする。 |
対策の重要性
昨今、企業が保有する顧客情報や企業秘密といった重要なデータが、不正な手段によって外部に持ち出されるデータ抽出が大きな問題となっています。このような情報漏洩は、企業にとって、金銭的な損失だけでなく、長年かけて築き上げてきた顧客や取引先からの信頼を失墜させることにも繋がりかねません。 一度失った信頼を取り戻すことは非常に困難であり、企業の存続に関わる重大な危機に陥る可能性も孕んでいます。
こうした脅威から企業を守るためには、堅牢なセキュリティ対策を構築することが不可欠です。具体的には、外部からの不正アクセスを遮断するファイアウォールの設置や、怪しい活動をいち早く検知する侵入検知システムの導入など、システム面でのセキュリティ強化が挙げられます。
しかしながら、セキュリティ対策はシステム面だけに留どまらず、従業員一人ひとりのセキュリティ意識の向上が極めて重要です。そのため、定期的なセキュリティ意識向上トレーニングを実施し、パスワードの適切な管理や、不審なメールへの対応など、基本的な知識や注意点を周知徹底する必要があります。
このように、データ抽出という脅威から企業を守るためには、システム面と人材面の双方からアプローチする多層的な対策を講じることが重要です。
対策項目 | 具体的な対策内容 |
---|---|
システム面 | – ファイアウォールの設置 – 侵入検知システムの導入 |
人材面 | – 定期的なセキュリティ意識向上トレーニングの実施 – パスワードの適切な管理 – 不審なメールへの対応 |