近年、ニュースなどでランサムウェアのウイルス被害報告を目にします。
自分の会社は大丈夫?今管理しているシステムは大丈夫?と気になるかもしれません。
この記事では、
- セキュリティの考え方を知りたい
- どんな攻撃があるのか知りたい
こんな方に読んでもらいたいです。
攻撃のパターン
セキュリティ対策と聞いてどんな事を思い浮かべるでしょうか、
ウイルス対策ソフトやファイアウォールなどがあるかもしれませんが、それがどんな攻撃に対する対策なのか理解しておけばより正しい対策を施すことができるようになります。
大きく分けると攻撃パターンは3つあります。
- ウイルス感染
- 脆弱性攻撃/不正アクセス
- サービス停止攻撃
ここからはそれぞれの攻撃パターンについて説明していきます。
ウイルス感染
ウイルスの目的は、データを外部へ流出させたり、データを暗号化する事でシステムの利用をできなくします。
さらに暗号化解除を条件に金銭を要求します。
この金銭要求型のウイルスをランサムウェアと呼びます。
ウイルスの感染経路は、メールの添付ファイルで送られてきたり、フリーソフトに組み込まれていて知らないうちに感染している場合があります。
それ以外にも、脆弱性攻撃や不正アクセス成功後にウイルスを送り込み感染させるパターンもあり総合的な防御策が求められます。
脆弱性攻撃/不正アクセス
脆弱性攻撃もウイルス感染とほぼ同じで、データの流出、データの暗号化、ウイルス感染を目的に行われます。
脆弱性攻撃の経路としては、インターネットからインターネットへ公開しているサーバに対して行われたり、攻撃者が設置したフリーWifiに接続したパソコンやスマホに対して行われます。
具体的な攻撃手法
- クロスサイトスクリプティング(悪意のあるWebサイトに誘導してスクリプトを実行して情報を取得する)
- SQLインジェクション(SQL文を指定する事でデータベースから情報を取得する)
サービス停止攻撃
サービス停止攻撃は、インターネットへ公開しているサーバに対して処理しきれないほどのアクセスを行いサーバをダウンさせ営業を妨害することを目的にしています。
攻撃の経路は、多数のパソコンやサーバなどからインターネットへ公開しているサーバに対して行われます。
具体的な攻撃手法
- UDP Flood/Ping Flood(大容量のデータを送りサーバの帯域をひっ迫させる)
- SYN Flood(アクセス要求だけを大量に送りサーバの処理をひっ迫させる)
- Connection Flood(コネクションを大量に開始させサーバの処理をひっ迫させる)
- HTTP GET Flood(HTTPリクエストを大量に送りサーバの処理をひっ迫させる)
- F5攻撃(Webページの更新をF5キーで繰り返し行う事でサーバの処理をひっ迫させる)
ここにあげた手法は一般的に公開されているものです。
最後のF5攻撃は攻撃の知識が無くてもできる物ですが、インターネット上のサーバでは行わないでください。
実際に逮捕された例もあります。
>>F5アタックとは?F5攻撃・連打は犯罪?その対策方法など解説
セキュリティ対策
セキュリティ対策についてみていきます。
- ウイルス対策ソフト
- ファイアウォール(アクセス制御)
- IDS/IPS
- WAF
ウイルス対策ソフト
サーバやパソコンにインストールして使います。
ウイルス対策ソフトではウイルスのファイルがどんなパターンなのかを学習しています。
常時ファイルの保存を監視していてウイルスを発見すると自動で隔離してくれます。
また、ファイアウォール/IDS/IPSの機能を含んだ製品もありかなり高機能なのでセキュリティ対策の第一歩として導入しましょう。
ファイアウォール(アクセス制御)
ファイアウォールはIPアドレスとポート番号の情報を元にパケットを通過させるかブロックさせるかを選択します。
ファイアウォール機能自体はWindowsOSであればWindowsファイアウォールであったり、Linuxならiptablesなどで標準で搭載されています。
ネットワークではアプライアンスと呼ばれるファイアウォール専用のサーバのことをファイアウォールと呼びます。
このファイアウォールでは、主な利用目的であるWebアクセスを許可してリモート接続はブロックするなどの制御を行う事で管理者が意図しない接続ができないようにします。
IDS/IPS
IDS/IPSではパケットの種類やその数からDoS攻撃やSYN Flood攻撃などを判別して自動でブロックします。
ファイアウォールはIPアドレスとポートの情報で許可してしまうのに対して、IDS/IPSはパケットの種類や数を見るのでサービス停止攻撃の対策になります。
WAF
WAFではアプリーケーションの通信内容からSQLインジェクション攻撃などを判別して自動でブロックします。
IDS/IPSではアプリケーションの内容までは見れずスルーしてしまうのに対して、WAFは通信内容を見るので脆弱性攻撃の対策になります。
これらのセキュリティ対策の導入箇所は3つあります。
- クライアントにインストールするサーバ動作型
- 専用機で動作するアプライアンス型
- インターネット上で動作するクラウド型
一般的にはウイルス対策はクライアントにインストールする1番で、
ファイアウォール、IDS/IPS、WAFは環境に合わせて2番か3番を採用しているケースが多いです。
次の図は、攻撃パターン毎のセキュリティ対策をまとめたものです。
| ウイルス対策ソフト | ファイアウォール | IDS/IPS | WAF | |
| ウイルス感染 | ○ | – | – | – |
| 脆弱性/不正アクセス | – | △ | ○ | ○ |
| サービス停止攻撃 | △ | △ | ○ | – |
△は設定や機能によっては一部防げる
ここまで4つの対策を分けて書きましたが、UTM(統合脅威管理)と呼ばれる製品が存在します。
UTMを使う事で全ての対策を一度に実装できますが、複数の機能を利用すればそれだけUTMの負荷が増えます。
その場合はリソース内に収まるように機能を分ける必要があります。
セキュリティを怠るとどうなる?
今すぐに利用の影響はでないかもしれませんが・・
- 攻撃を受けていても気づかない
- メール、写真、取引情報などが流出・閲覧される
- ウイルスの処理によって動作が遅くなる
- データ消去・暗号化によって使えなくなる
実際に影響はなくても、攻撃を受けていても気づかないというのはかなり気持ち悪いです。
また、気持ち悪いだけならいいですが、最悪の場合パソコンやシステムが使えないという事態に陥る可能性もあります。
表面的な影響もそうですが、セキュリティ事故が公になると会社の信用を失うことになります。
できる所からセキュリティ対策を進めていきましょう。
まとめ
今回は攻撃パターン毎のセキュリティ対策製品を紹介しました。
セキュリティの導入は費用が掛かり利便性を犠牲にする事でもありますが、リスクを天秤にかけて必要な対策を講じるようにしましょう。
セキュリティ機能のある家庭用Wi-Fiルーターについてまとめた記事を書きました。
セキュリティ対策の参考ページ
