あらゆるモノがハッキングされる、2014年最も危険な7つの攻撃手段とは2014年のサイバー攻撃動向、SANS専門家が予想

モバイルや無線などのプラットフォームは大きなリスクをもたらし、「あらゆるモノのハッキング」がエンタープライズ環境に投げ掛ける脅威も増大している。

2014年03月27日 08時00分 公開
[Kathleen Richards,TechTarget]

 米サンフランシスコで2014年2月25日(米国時間)に開かれた「RSA Conference 2014」において、情報セキュリティ教育の専門機関、米SANS Institute(以下、SANS)のメンバーが情報セキュリティ専門家を前に、危険な攻撃の手口に関する2014年の見通しについてプレゼンを行い、攻撃を防ぐための戦略を紹介した。

1.モバイルや無線が攻撃手段に使用される

 モバイルや無線などのプラットフォームが攻撃に使われるようになり、こうしたプラットフォームがもたらすリスクはマルウェアにとどまらなくなった。SANSによると、Bluetoothを使った無線式のスキミングは過去1年で急増。侵入テストのカリキュラムを率いるSNASインストラクターのエド・スコウディス氏は、「これはほんの表面をかすっているにすぎない」と話す。Bluetoothは周波数ホッピング方式を取っていることやセキュリティツールが欠如しているために、無線スキミングは検出が難しい。

2.RFIDスキミングにも注意

 さらに、ホテルや小売店のようにRFIDカード(非接触ICカード)などの識別(ID)情報を使う環境でのRFIDスキミングも要注意だ。「攻撃者はわれわれと同じ理由でモバイルを使う」とスコウディス氏。基本的な対策として、端末のスイッチを切ることや、機内モードでの利用が挙げられる。独自仕様のハードウェアを使っている端末であっても、自分は安全だと思うのは間違いだと同氏は言い、ハードウェアのリバースエンジニアリングはそれほど難しくないと指摘した。

3.音を使ったRSA鍵の抽出

 セキュアなネットワークやエアギャップ(インターネットに接続しないネットワーク)を使ってシステムを孤立させる方法も通用しなくなりつつあると同氏は言う。最近の事例として、2013年に報告された低帯域幅の音響分析、つまり音を使ったRSA鍵の抽出や、同年秋のbadBIOS(コンピュータのBIOSに感染するマルウェア)の事例(真偽はともかく)のようなサイドチャネル攻撃を引き合いに出した。エアギャップはUSBデバイスやパーベイシブな無線、DNS解決を使って橋渡しすることもできる。エアギャップのみに頼ったセキュリティモデルは他の方策、つまり深層防御が必要だ。「エアギャップはよく言っても低レイテンシの接続のようなものだ」とスコウディス氏は話す。

4.IoTによってあらゆるものがハッキングされる

 IoT(モノのインターネット)については頻繁に誇大な騒ぎが起きるものの、「あらゆるモノのハッキング」がエンタープライズ環境に投げ掛ける脅威は増大している。サーモスタット、暖房・換気・空調(HVAC)などあらゆる装置が、HTTPSではなくHTTPのWebインタフェースを搭載し、カスタムのプロトコルを持っている。そうした機器の基盤となっている組み込みシステムのリバースエンジニアリングに加え、Webカメラ上で組み込みLinuxのroot権限を攻撃者に乗っ取られた事例も過去1年で膨大な件数が報告された。

 いずれは「列車、航空機、自動車」もハッキングされるようになるかもしれないとスコウディス氏は言う。複数のハッカーカンファレンスにおいて、コンピュータで物理的に制御されている乗り物をリモートからハッキングできる可能性についてのデモが行われた。具体的には、「Hack In The Box 2013」で航空機へのハッキング、「Def Con 2013」ではPythonコードを挿入する方法で自動車へ、「Def Con 2012」ではスペインの鉄道システムへのハッキングが実演されている。

 電力網、医療福祉環境、病院、兵器システムなど危険性がよく知られている分野に加え、企業のITセキュリティプロフェッショナルは、インターネットに接続された全ての機器のセキュリティを守る必要がある。ではどこから始めればいいのか。スコウディス氏は、そうした機器の洗い出しと一覧の作成、(できる部分での)分割、可能な限り厳格なパッチ適用システムの実装を挙げ、「いずれHVACシステムに毎月パッチを当てなければならない状況になるだろう」と予想する。こうした機器のセキュリティ対策のためには自動化が必要になり、ベンダーに対しては設計段階でのセキュリティテストや、脆弱性情報の開示、出荷した製品に対する迅速なパッチの提供が求められるようになる。

5.ビットコインのセキュリティ問題

 セキュリティ問題を引き起こしているもう1つの分野にビットコインがある。特にその仕組みをよく知らないユーザーには問題だ。ユーザーがビットコインと引き換えに分散型トランザクションレジスタを運用するビットコインマイニングでは、「ユーザーのCPUパワーを現金に換える直接的な手段が犯罪者に提供される」と解説するのは、SANS傘下の米SANS Internet Storm Centerの最高技術責任者(CTO)兼調査責任者のヨハネス・ウルリッチ氏。「米マサチューセッツ工科大学(MIT)は先週、大学のスーパーコンピュータをビットコインマイニング運用に転換させていた学生を退学させた」という。ビットコインの盗難(最近の事例ではAndroidウォレットやQRコードも絡む)や、「ビットコインマイニングソフトウェアが他のソフトウェアのアドオンとしてインストールされる」ビットコインマイニングマルウェアも報告されている。

6.POS端末へ感染するマルウェアDexter

 POS端末マルウェアや、Windows搭載システムに感染するマルウェアDexterなどのセキュリティ問題は、依然として小売業者を混乱に陥れている。ウルリッチ氏によれば、データは通常、暗号化されたりネットワークに到達したりする以前に傍受される。「感染させられているのは標的のみにとどまらない。大企業は情報セキュリティに投資しているが、ここで真の問題となるのは家族経営の事業所やガソリンスタンド、小売店などだ」(同氏)。POSシステムの半数以上は何らかの形態のWindows XPで稼働している。インターネット接続には使わない専用のPOSシステムに加えて、小売業者は読み取り装置の暗号化も必要だ。

7.大企業や銀行へは標的型メールから

 非ハイテクの攻撃手段も驚くほど成功率が高い。現在はソーシャルメディアを探して大企業や銀行の決済口座や決済システムと取引のある個人を見つけ出す行為が問題になっている。攻撃者は標的型メール(フィッシング)を送り付けてWebメールのアカウントを乗っ取り、決済関連のトラフィックにアクセスする。防御手段にはメール送信者の認証技術DomainKeysやSender Policy Framework(SPF)の利用、DMARC(ドメインベースのメッセージ認証、報告および適合)などがある。

 セキュリティプロフェッショナルは、自分のシステムが不正侵入されたと想定して、それが実世界でどのような意味を持つかを考える必要があると、SANS Instituteの産業制御システムプログラム担当ディレクター、マイク・アサンテ氏は助言する。攻撃者は使い古された手口を使い、数台のワークステーションに侵入してドライブの配置図やネットワーク共有、社内ディレクトリサービスを参照することにより、産業制御システムにアクセスする。そして適切なログイン情報を使ってディレクトリサービスを設定し、自分を追跡されにくくする。「ファイルシステムは特定の拡張子や特有の文字列を探すことで掘り起こせる」とアサンテ氏。攻撃者に管理コントロールやデータ取得ネットワークにアクセスされる事態を防ぐため、価値が高く信頼性も高いコントロール資産と会社のActive Directoryサービス(アサンテ氏は「王国への鍵」と表現する)は別のドメインに置き、ビジネスネットワークと関連付けてはならない。同氏によれば、産業制御システムのための新しいアーキテクチャも開発が進んでいるという。

 SANS Instituteの研究ディレクター、アラン・パーラー氏は、制御システムのエンジニアとITセキュリティ部門の連携が最大級の課題だと指摘する。米Shell Oilはこのほど、この問題に対応する制度を発足させた。この制度はアサンテ氏の支援で導入されたもので、双方の教育を必須とし、制御システムのエンジニアとITセキュリティ担当者を含む関係者全員に、制御システムの情報セキュリティ認定資格「Global Industrial Cyber Security Professional(GICSP)」の取得を義務付けている。

 RSAのセッション「最も危険な7種類の攻撃手段と次の展開」は初日に行われ、翌日も繰り返された。

Copyright © ITmedia, Inc. All Rights Reserved.

鬯ョ�ォ�ス�エ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ー鬯ッ�ィ�ス�セ�ス�ス�ス�ケ�ス�ス邵コ�、�つ€鬯ゥ蟷「�ス�「髫エ蜿門セ暦ソス�ス�ス�ク髯キ�エ�ス�・�ス�ス�ス�。鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�、鬯ゥ蟷「�ス�「髫エ荳サ�ス隶捺サゑスソ�ス�ス�ス�ス�ス�ス�ス鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�シ鬯ゥ蟷「�ス�「髫エ荵暦ソス�ス�ス�ス�サ�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ス

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を変革、人手に頼ったSOCモデルから脱却する方法とは?

従来のSOCは、AIや機械学習を用いた高度な攻撃に対処できなくなりつつあり、可視性とコンテキストの欠如や検証の複雑化など、さまざまな課題が山積している。この状況を改善するには、人手に頼ったSOCモデルから脱却する必要がある。

技術文書・技術解説 株式会社インターネットイニシアティブ

“次世代SD-WAN”とは何なのか? 「SASE」との関係は

比較的新しい製品分野である「SD-WAN」にも、早くも変化が起こり始めている。SD-WANは今後、どう進化するのか。「SASE」といった関連技術との関係性を踏まえながら、“次世代SD-WAN”の方向性を探る。

製品資料 ServiceNow Japan合同会社

脅威はランサムウェアだけではない、重大なセキュリティインシデントをどう防ぐ

ランサムウェア以外にもさまざまなサイバー攻撃が企業を襲い続けているが、重大なセキュリティインシデントへの対策を適切に行えている企業は今も少ない。その理由や、状況を改善するための4つのステップを詳しく解説する。

製品資料 株式会社AGEST

経営上のリスクに備える、脆弱性診断の目的や実践方法

サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。

製品資料 東京エレクトロン デバイス株式会社

高度なエンドポイントセキュリティを実現、EDRの課題を解消するアプローチとは

昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。

アイティメディアからのお知らせ

驛「譎冗函�趣スヲ驛「謨鳴€驛「譎「�ス�シ驛「�ァ�ス�ウ驛「譎「�ス�ウ驛「譎「�ソ�ス�趣スヲ驛「譎「�ソ�スPR

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/07/15 UPDATE

  1. 繝上ャ繧ュ繝ウ繧ー螟ァ莨壹〒VMware縺ョ閼�シア諤ァ縺碁愆蜻医€€ESXi縺ァ縺ッ窶懷�縺ョ萓オ螳ウ蝣ア蜻岩€昴b
  2. 縲悟「�阜蝙矩亟蠕。縲阪′繧ゅ≧髯千阜縺ェ逅�罰縲€縺ェ縺懊ぞ繝ュ繝医Λ繧ケ繝医↓蝓コ縺・縺�◆蟇セ遲悶′蠢�ヲ√↑縺ョ縺�
  3. 繧「繝励Μ縺ィAPI縺ョ菫晁ュキ縺後€係AF縺�縺代€阪〒縺ッ蜊ア髯コ縺ェ逅�罰縺ィ窶懈ュ」縺励>窶晞亟蠕。遲�
  4. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  5. 繧サ繧ュ繝・繝ェ繝�ぅ繝��繝ォ窶應ケア遶銀€昴′逕溘s縺�騾�ェャ縲御スソ縺医�菴ソ縺�⊇縺ゥ閼�シア縺�縺」縺溘€�
  6. 縺ェ縺應サ翫�莨∵・ュ縺ォ縺ッ縲後ぞ繝ュ繝医Λ繧ケ繝医€阪′蠢�ヲ√↑縺ョ縺九€€蝓コ譛ャ縺九i蠕ケ蠎戊ァ」隱ャ
  7. 窶懊←繧後′蜊ア髯コ縺銀€昴〒縺ッ縺ェ縺上€郡aaS縺昴�繧ゅ�縺瑚�蜻ス逧�€阪€€驥題檮CISO縺瑚。晄茶縺ョ荳€螢ー
  8. 縲係indows Hello縲阪↓繧医k窶懆┳繝代せ繝ッ繝シ繝俄€昴�繧ゅ≧蟶ク隴假シ溘€€縺昴�隱崎ィシ讖溯�縺ィ縺ッ
  9. 縲窟PI謾サ謦�€阪→縺ッ菴輔°�溘€€諠��ア貍上∴縺�r蠑輔″襍キ縺薙☆5縺、縺ョ謇句哨
  10. 繝代せ繝ッ繝シ繝峨→莨シ縺ヲ縺�k縺代←螳牙�諤ァ縺悟、ァ驕輔>�溘€€縲後ヱ繧ケ繧ュ繝シ縲阪€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪→縺ッ

あらゆるモノがハッキングされる、2014年最も危険な7つの攻撃手段とは:2014年のサイバー攻撃動向、SANS専門家が予想 - TechTargetジャパン セキュリティ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

TechTarget驛「�ァ�ス�ク驛「譎「�ス�」驛「譏懶スサ�」�趣スヲ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

鬯ゥ蟷「�ス�「髫エ蜿門セ暦ソス�ス�ス�ク髯キ�エ�ス�・�ス�ス�ス�。鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�、鬯ゥ蟷「�ス�「髫エ荳サ�ス隶捺サゑスソ�ス�ス�ス�ス�ス�ス�ス鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�シ鬯ゥ蟷「�ス�「髫エ荵暦ソス�ス�ス�ス�サ�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ス鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�ゥ鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�ウ鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ュ鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�ウ鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ー

2025/07/16 UPDATE

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...