近年、テレワークの普及などで企業のIT資産は増加してきています。これに伴い、サイバー攻撃を受ける可能性のある領域「アタックサーフェス」も拡大してきています。アタックサーフェスは「攻撃対象領域」とも呼ばれ、その把握と管理はセキュリティ対策では欠かせません。この記事では、アタックサーフェスとは何かについて、具体例や分類に触れながら詳しく解説します。また、アタックベクター(Attack Vector)との違いや、アタックサーフェスを管理する際のポイントについても、紹介します。
アタックサーフェスとは
アタックサーフェス=「攻撃対象領域」
情報セキュリティにおけるアタックサーフェス(Attack Surface)とは、「サイバー攻撃に悪用されかねない領域」のことであり、「攻撃対象領域」などと邦訳されます(attack=「攻撃」、surface=「物体などの表面」)。
攻撃者を「泥棒」に例えると分かりやすいかもしれません。泥棒が入ろうとする「家」のアタックサーフェスは、「正面玄関、裏口、窓、庭の木やテーブル」などに例えられます。これらの場所に防犯対策の不備があれば、泥棒に侵入を許してしまいますね。
企業の情報セキュリティに置き換えて考えると、クラウドサービス、オープンポートから、ルーターや社員のモバイル機器、USBポートまで、さまざまなものがアタックサーフェスに該当します。そして当然ながら、これらのセキュリティに不備があれば、不正アクセスやデータの抜き取り、ランサムウェアなどのインシデントを招くことになります。このようにアタックサーフェスは、サイバー攻撃の標的となり得るあらゆるものを含んだ広範な概念です。
アタックサーフェスの具体例
アタックサーフェスの2種類〜デジタルとフィジカル
アタックサーフェスは一般的に、デジタルなものとフィジカル(=物理的なもの)に分類されます。
デジタル・アタックサーフェス
デジタル・アタックサーフェスには、攻撃者がインターネットを通じて悪用できるものが含まれます。以下、主なタイプ別に具体例を示します。
表:デジタル・アタックサーフェスのタイプ、具体例
タイプ
具体例(+ 悪用の例)
設定ミス
・ネットワークポート、ワイヤレスアクセスポイント、ファイアウォール、プロトコルなどの設定ミス
・誤って公開されたクラウドサービス、データベース
→ポートスキャンツール(例:Nmap、Shodan)を使えば、インターネット接続された機器やその詳細情報を調査することが可能です脆弱性(バグ)
ソフトウェア、OS、ファームウェアの脆弱性
脆弱なパスワード
・簡単に推測されるパスワード(「1234」「生年月日」など)
・文字の数や種類が少ないパスワード
→辞書攻撃や、ブルートフォース(総当たり)攻撃で簡単に破られますインターネット上の資産
・Webサイトの脆弱性(SQLインジェクション、クロスサイトスクリプティング)
・WordPressプラグインの脆弱性古い資産
・テスト用のサイトが閉鎖されず放置されているケース
・退職済み職員が利用していたクラウドのアカウント不正な資産
・シャドーIT(従業員が会社の許可なく使用しているため、管理が行き届いていないアプリケーションや機器)
・フィッシングドメイン、SNSの偽アカウント
フィジカル・アタックサーフェス
アタックサーフェスのうち、インターネットを使わず、物理的な手段で悪用できる領域です。以下、具体例です。
表:フィジカル・アタックサーフェスの具体例
従業員
委託先業者・従業員/委託先を装ってオフィスに侵入する
・不満や悪意を持つ内部者から情報を得るデバイス
・不適切な処分・紛失・盗難
・マルウェアを仕込んだUSBなどを内部者に使用させる(ベイティング)書類
パスワードが書かれた付箋など、重要情報を含む書類の不適切な処分・紛失・盗難
アタックベクター(Attack Vector)との違い
アタックサーフェスと似た言葉に、アタックベクター(Attack Vector)があります。アタックベクターは「攻撃者が使う手段」を指します(vectorには「道筋」「感染症の媒介生物」という意味があり、そこから「手段」の意で用いられるようになったと、筆者は推察しています)。
アタックベクター=攻撃者が使う手段には、攻撃者が使うテクニック(例:フィッシング、ブルートフォース)やツール(例:マルウェア、エクスプロイトコード)のほか、守る側が保有する悪用可能な資産=アタックサーフェスも含まれます。よって、アタックサーフェスは「アタックベクターのうち、守る側に属するものすべて」と言い換えられます。
アタックサーフェスを管理するには
ここまで、アタックサーフェスの具体例を見てきました。これらをすべて把握することは難しいでしょう。特に、テレワークの普及でクラウドやVPNの利用が増える中、パスワードの漏洩に不安を抱いたり、私用デバイスの扱いに悩む方は多いかと思います。このほか、セキュリティ不備のある海外拠点の資産や、従業員の退社や合併といった事業環境の変化に伴う資産の増減も、アタックサーフェス管理を難しくする要因となっています。では、どのように管理していけば良いのでしょうか?
4つのステップ
まず、アタックサーフェス管理は、以下の4つのステップで構成されます。
1 発見・識別
発見の方法には、攻撃者が使うようなOSINTツール(Nmap、Shodan、Censysなど)を用いた方法も挙げられますが、アタックサーフェス管理専用のASMと呼ばれるツールも存在します(後述)。また、発見した場合、誤検知かどうかを識別することが重要です。
2 目録作成
資産の目録を作成します。ここでは、単に作成するのではなく、分類・ラベル付けすることが重要です(技術的特徴、事業における重要性などに応じて)。というのも、アタックサーフェスのタイプは上述の通りさまざまで、担当部署ごとに優先的に把握したい資産が異なるはずだからです(例:ネットワーク担当であればDNSレコード、マーケティング担当であればソーシャルメディアのアカウント)。
3 優先度付けと管理
目録が出来れば、優先度を決めて対応していきます。アタックサーフェスを減らす方法には以下のようなものが挙げられます。
対処の例
・知られていなかった資産を、新しく管理下に置く(例:資産目録に入れる、利用基準を定めるなど)
・脆弱なパスワードを強化する
・脆弱性にパッチを適用する
・使用されなくなったアプリケーションや機器を停止する
・古い機器を適切に処分する
・フィッシング詐欺に関する教育や啓発をユーザーに提供する
・ソフトウェアのダウンロードやリムーバブルメディアに関する制限やポリシーを更新する
・オフィスの入口に生体認証を導入する(フィジカル・アタックサーフェスの場合)
・多要素認証を導入する
・ゼロトラストを導入する(後述)
4 継続的に監視
事業環境の変化などでアタックサーフェスは常に変化するため、一度で終わりではなく、1〜4のサイクルを回すことが重要になります。
近年では、上記の4工程すべてに対応したAttack Surface Management(ASM)と呼ばれる専用ツールが登場したことで、対策側も管理がしやすくなってきています。
管理のポイント
優先順位をつけて対処:インテリジェンスの活用
特に大きな組織では、運用する資産が膨大すぎて、すべてを把握し守ることは現実的ではないかもしれません。よって、攻撃された場合に被害の大きいものや重要度の高いものに、優先的に対処していくことが重要です。たとえば、データベースであれば機密データが入っているもの、脆弱性であればエクスプロイトコードが出回っているものや、ランサムウェアグループに使用されているものは、一般的に優先度が高いといえそうです。優先順位をつけるには、攻撃者がいま何を狙っているかといった、相手の動向・トレンドに常に目を見張っておく必要があります。その情報の収集と見極めには、脅威インテリジェンスが役に立つでしょう。
関連記事:
ランサムウェアに感染したら?被害を抑える対策とは?…この記事では、脆弱性が「ランサムウェアに悪用される可能性」をスコア化するツールについて言及しています。
アタックサーフェス管理に役立つツール
マキナレコードでは、アタックサーフェス管理ツールのほか、アタックサーフェス管理に役立つ各種インテリジェンスツールやサービスを提供しています。
アタックサーフェス管理ツール
Recorded Future(Attack Surface Intelligence)
Recorded Futureのアタックサーフェス・インテリジェンス(ASI)機能は、アタックサーフェスの絶え間ない変化を捉え、脆弱なアセットにリスクスコアを付与して対処の優先順位を示します。
*Recorded Futureの詳細はマキナレコード企業サイトでも紹介しております。
各種インテリジェンスツールやサービス
Flashpoint
ダークウェブやチャットをはじめとする不法コミュニティを、常時モニタリングするツールです。漏洩した認証情報、フィッシングドメイン、なりすましアカウント、攻撃者らが議論する脆弱性、インサイダーの募集・宣伝などのモニタリングに利用できます。
Silobreaker
オープンウェブの情報やトレンドをモニタリングするOSINTツールです。脆弱性情報を常時モニタリングするほか、メールアドレス、IPレンジ、ドメインなどの「アセットモニタリング」の機能を備えています。
Anomali
上記のような脅威インテリジェンスツールなど、さまざまなソースからの情報を1か所に集約します。また、集約した情報を自社のセキュリティシステム(SIEMやFWなど)と連携させて、脅威への自動対応を行うことも可能です。詳しい機能と活用事例については、関連記事(Anomaliにできること 活用事例)でご紹介しています。
サービス
マネージドサービス
お客様に代わりマキナレコード社の実績のあるアナリストが監視/通知/運用を行うサービスです(対象サービス:Flashpoint、Silobreakerなど)。
対象となるお客様例
・セキュリティ運用業務の人的リソースが不足している
・自社に対する脅威情報/漏洩認証情報の監視ができていない
・レポートの作成に時間がかかっている
・検知はできているが、分析や関連情報の収集まではできていない
サービス内容
・同業界での脅威情報の提供
・月次/週次レポートによる報告
・リアルタイムでの脅威情報の提供
・実績のあるアナリストによる詳細分析情報/関連情報の収集
インテリジェンストレーニング
“Cyber Intelligence Fundamental Training”
目的
「インテリジェンス」が業務になった場合の具体的なイメージを理解する(インテリジェンスサイクルの理解)
・チーム構成の人員要件を確認する
・自分の組織に必要な、収集するべき情報、分析するためのツールの確認
対象
・セキュリティ・リスク管理の担当者
・C職を含む意思決定者
特色
・Laith Alkhouri氏による監修(Flashpoint創業者、対テロリストインテリジェンス専門家)
・米国CISAによるNICE Frameworkへのアダプト
・ハンズオントレーニングを含む2日間のトレーニング
学習する項目
・インテリジェンスサイクルの理解
・脅威の定義
・データソースの特徴
・要件定義の仕方
・情報収集とは
・分析ツール、各種フォーマット
コンサルティング(インテリジェンスの導入支援)
インテリジェンスを始めるための支援を、マキナレコードのコンサルタント及びアナリストが実施いたします。
対象となるお客様例
・インテリジェンスが重要なことはわかっているが、何から始めたらいいのかわからない
・情報が散在しており、活用しきれていない
・どういった情報があつめられ、どのように活用すればいいかがわからない
サービス内容例
・要件定義の策定支援
・インテリジェンスを始めるにあたっての基礎トレーニング
・必要なツールの選定
・インテリジェンスを活用するためのレポーティング手法
・他サービスとのインテグレーション
・運用支援
Writer
2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。