侵害システムを踏み台にする「ピボッティング」攻撃から身を守るには
セキュリティを知りたい
先生、「ピボッティング」って、セキュリティの本で見たんですけど、何ですか?
セキュリティ研究家
「ピボッティング」は、ハッカーが悪用する技術の一つだね。たとえば、銀行のシステムを攻撃するとき、銀行のシステムに直接侵入するんじゃなくて、まずは銀行と繋がりのある小さな会社のパソコンを乗っ取る。そして、そのパソコンを踏み台にして銀行のシステムに侵入するんだ。これが「ピボッティング」だよ。
セキュリティを知りたい
なるほど。間接的に攻撃するんですね。なんだかスパイ映画みたいですね!
セキュリティ研究家
そうだね。だから、セキュリティ対策は、自社のシステムだけでなく、取引先の会社にも気を配ることが大切なんだよ。
ピボッティングとは。
安全性を高めるための知識として、『別経路侵入』について説明します。別経路侵入とは、攻撃者が、すでに不正に侵入したコンピューターを中継地点のように使い、本来はアクセスできないはずの別のネットワークに侵入する技術のことです。攻撃者のコンピューターから直接アクセスできないネットワークにも、侵入済みのコンピューターを踏み台にすることで、アクセスが可能になります。この別経路侵入は、『Metasploitフレームワーク』の『Meterpreterペイロード』といったツールを使って実行されることがあります。
ピボッティングとは
– ピボッティングとは
-# ピボッティングとは
ピボッティングとは、悪意のある攻撃者が、既に不正に侵入したシステムを足場にして、さらに重要な情報やシステムにアクセスしようとする攻撃手法です。
例えるならば、建物に侵入しようとする泥棒が、まず周囲に設置された監視カメラをハッキングし、その映像を改ざんすることでセキュリティシステム全体を無効化してしまうようなものです。
ピボッティング攻撃では、攻撃者はまず、セキュリティ対策が不十分なシステムや機器を探し出し、そこを突破口にします。そして、その侵害したシステムを「橋渡し役」のように利用し、組織内のネットワークをまるで自分の庭のように動き回りながら、機密情報が保管されている重要なシステムや機密情報そのものにアクセスしようと試みます。
さらに悪質なことに、攻撃者は侵害したシステムの管理者権限などを不正に利用するため、本来であれば気付くはずの不審な活動も、正規の操作のように見せかけて隠蔽し、発覚を遅らせる可能性があります。
| 用語 | 説明 |
|---|---|
| ピボッティング | 攻撃者が既に侵害したシステムを足場にして、より重要な情報やシステムにアクセスしようとする攻撃手法 |
| 攻撃の手順 | 1. セキュリティ対策が不十分なシステムや機器を探し出し、突破口にする 2. 侵害したシステムを「橋渡し役」に、組織内のネットワークを動き回る 3. 機密情報が保管されている重要なシステムや機密情報そのものにアクセスする |
| 特徴 | 侵害したシステムの管理者権限などを不正に利用し、不審な活動を隠蔽するため、発覚が遅れる可能性がある |
ピボッティングが使われる理由
– ピボッティングが使われる理由
今日の企業や組織では、顧客情報や企業秘密といった重要な情報を守るために、厳重なセキュリティ対策が欠かせません。社外からの不正アクセスを防ぐために、インターネットと社内ネットワークの間に頑丈な壁となるファイアウォールを設置したり、怪しいアクセスをいち早く感知する侵入検知システムを導入したりするのが一般的です。さらに、特に機密性の高いデータは、限られた人しかアクセスできない特別なネットワークに保管することで、情報漏えいのリスクを最小限に抑えています。
しかし、攻撃者はこのような強固な防御をかいくぐるため、あの手この手を用いてきます。そこで登場するのが「ピボッティング」と呼ばれる巧妙な手法です。ピボッティングとは、既に侵入に成功したシステムを踏み台にして、本来は直接アクセスできない場所に侵入することを指します。
例えば、攻撃者が標的の企業内のパソコン1台をマルウェアに感染させたとします。このパソコンは社内ネットワークに接続されているため、攻撃者はこれを足がかりとして、ファイアウォールによって守られた内部のサーバーや、アクセス制限された重要なデータが保管されているネットワークへの侵入を試みます。このように、ピボッティングは攻撃者が段階的に深く侵入していくことを可能にするため、攻撃の成功率を高める上で非常に有効な手段となっているのです。
| セキュリティ対策 | 攻撃者の手法 |
|---|---|
| ファイアウォールによる社内ネットワークの分離 | ピボッティング: – 侵入済みのシステムを踏み台にする – ファイアウォール内部のサーバーへの侵入 – アクセス制限されたデータへのアクセス |
| 侵入検知システムによる不審なアクセスの検知 | |
| 機密データの分離保管 |
ピボッティング攻撃の脅威
– ピボッティング攻撃の脅威
-# 企業を狙う巧妙な攻撃
ピボッティング攻撃とは、標的のシステムに侵入した後、そのシステムを足がかりにして他のシステムへと攻撃を広げていく、非常に巧妙なサイバー攻撃です。企業や組織にとって、ひとたび攻撃を許してしまうと甚大な被害に繋がる可能性があります。
攻撃者はまず、脆弱性を持つシステムや端末を狙って侵入を試みます。そして、侵入に成功すると、そのシステムを「橋頭堡」として、内部ネットワーク上の他のシステムへのアクセスを試みます。
内部ネットワークは外部からの攻撃に比べてセキュリティが手薄になりがちなため、攻撃者は比較的容易に他のシステムにアクセスできてしまう可能性があります。
ピボッティング攻撃によって、機密情報が盗み出されたり、システムが破壊されたりするだけでなく、攻撃者が侵入したシステムを隠れ蓑にして長期間にわたって潜伏し、更なる攻撃や情報収集を行うことも考えられます。
このような脅威からシステムを守るためには、侵入を防ぐための多層防御のセキュリティ対策はもちろんのこと、内部ネットワークのセキュリティ強化にも力を入れる必要があります。具体的には、ファイアウォールの導入、侵入検知システムによる監視、アクセス制御の強化などが有効です。
ピボッティング攻撃は、その巧妙さゆえに、完全に防ぐことは難しい攻撃です。しかし、日頃からセキュリティ対策を講じておくことで、被害を最小限に抑えることが可能になります。
| 攻撃手法 | 特徴 | 対策 |
|---|---|---|
| ピボッティング攻撃 |
|
|
具体的なピボッティング攻撃の例
– 具体的なピボッティング攻撃の例
ある企業で、従業員がフィッシングメールを開封してしまい、添付されていたファイルを実行したために、その従業員のパソコンがマルウェアに感染してしまったとしましょう。この場合、攻撃者にとって、感染したパソコンは企業のネットワークに侵入するための足がかりとなります。
企業のネットワーク内部には、顧客情報や財務データといった重要な情報が保管されたサーバーが存在するとします。攻撃者は、まず感染したパソコンを踏み台にして、社内ネットワークに接続されている機器やその脆弱性を調査します。
例えば、攻撃者は感染したパソコンから、社内ネットワーク内の他のパソコンやサーバーに対して、自動的にポートスキャンを実行するようなツールを実行することが考えられます。このポートスキャンによって、攻撃者はネットワークに接続されている機器の種類や、それらの機器が外部に公開しているサービス、そして使用されているソフトウェアとそのバージョンなどを特定します。
もし、攻撃者が特定した情報の中に、脆弱性を持つ古いバージョンのソフトウェアが動作しているサーバーが見つかったとします。そうすれば、攻撃者はその脆弱性を突く攻撃ツールを使ってサーバーに侵入を試みます。そして、サーバーへの侵入に成功すると、攻撃者は目的の顧客情報や財務データなどを盗み出したり、システム全体を破壊したりする可能性があります。
このように、ピボッティング攻撃は、一見するとセキュリティ対策が施されているように見える組織内部にも侵入し、機密情報や重要なシステムを危険にさらす可能性のある、非常に巧妙な攻撃手法です。
| 攻撃段階 | 説明 |
|---|---|
| 侵入経路の確立 | 従業員がフィッシングメールを開封し、添付ファイルを実行した結果、マルウェアに感染。攻撃者はこの感染したパソコンを足がかりとして企業ネットワークへの侵入を試みる。 |
| 偵察 | 攻撃者は感染したパソコンから社内ネットワークに接続されている機器や脆弱性を調査する。例えば、ポートスキャンを実行して、機器の種類、公開サービス、ソフトウェアのバージョンなどを特定する。 |
| 脆弱性の悪用と侵入 | 偵察によって脆弱性を持つ古いバージョンのソフトウェアが動作しているサーバーが見つかった場合、攻撃者はその脆弱性を突く攻撃ツールを使ってサーバーに侵入を試みる。 |
| 攻撃の実行 | サーバーへの侵入に成功すると、攻撃者は目的の顧客情報や財務データなどを盗み出したり、システム全体を破壊したりする。 |
ピボッティング攻撃から身を守る方法
– 具体的なピボッティング攻撃の例
ある企業で、従業員がフィッシングメールを開封してしまい、添付されていたファイルを実行したために、その従業員のパソコンがマルウェアに感染してしまったとしましょう。この場合、攻撃者にとって、感染したパソコンは企業のネットワークに侵入するための足がかりとなります。
企業のネットワーク内部には、顧客情報や財務データといった重要な情報が保管されたサーバーが存在するとします。攻撃者は、まず感染したパソコンを踏み台にして、社内ネットワークに接続されている機器やその脆弱性を調査します。
例えば、攻撃者は感染したパソコンから、社内ネットワーク内の他のパソコンやサーバーに対して、自動的にポートスキャンを実行するようなツールを実行することが考えられます。このポートスキャンによって、攻撃者はネットワークに接続されている機器の種類や、それらの機器が外部に公開しているサービス、そして使用されているソフトウェアとそのバージョンなどを特定します。
もし、攻撃者が特定した情報の中に、脆弱性を持つ古いバージョンのソフトウェアが動作しているサーバーが見つかったとします。そうすれば、攻撃者はその脆弱性を突く攻撃ツールを使ってサーバーに侵入を試みます。そして、サーバーへの侵入に成功すると、攻撃者は目的の顧客情報や財務データなどを盗み出したり、システム全体を破壊したりする可能性があります。
このように、ピボッティング攻撃は、一見するとセキュリティ対策が施されているように見える組織内部にも侵入し、機密情報や重要なシステムを危険にさらす可能性のある、非常に巧妙な攻撃手法です。
| 攻撃段階 | 説明 |
|---|---|
| 侵入経路の確立 | 従業員がフィッシングメールを開封し、添付ファイルを実行した結果、マルウェアに感染。攻撃者はこの感染したパソコンを足がかりとして企業ネットワークへの侵入を試みる。 |
| 偵察 | 攻撃者は感染したパソコンから社内ネットワークに接続されている機器や脆弱性を調査する。例えば、ポートスキャンを実行して、機器の種類、公開サービス、ソフトウェアのバージョンなどを特定する。 |
| 脆弱性の悪用と侵入 | 偵察によって脆弱性を持つ古いバージョンのソフトウェアが動作しているサーバーが見つかった場合、攻撃者はその脆弱性を突く攻撃ツールを使ってサーバーに侵入を試みる。 |
| 攻撃の実行 | サーバーへの侵入に成功すると、攻撃者は目的の顧客情報や財務データなどを盗み出したり、システム全体を破壊したりする。 |