ブログ | CTO オフィス

進化するプロアクティブなサイバーセキュリティの必要性

アディティア・スード サムネイル
アディティア・スード
2022年2月28日公開

ウクライナで進行中の危機は、近隣の地理的地域をはるかに超えて影響を及ぼす国家間の紛争の新たな側面を露呈した。 グローバル企業として、私たちは、F5 ファミリーの多くの関係者を含め、現在も続く攻撃によって被害を受けたり、避難したり、その他の悪影響を受けたすべての人々に対して、多大な共感を抱いています。 ロシアとウクライナの紛争の非常に現実的で人間的な側面を見逃すことなく、最近の出来事を踏まえて、今後増える可能性のあるサイバー攻撃の種類に関するガイダンスを提供するよう、お客様から依頼も受けています。 したがって、以下の文章は、それらの質問に率直かつ敬意を持って、実践的な方法で答えることを目的としています。

国家間の紛争におけるサイバー攻撃の役割は、多くの組織が従来対処してきたものとは異なる規模の新たなサイバーセキュリティ上の懸念を引き起こしており、積極的なサイバーセキュリティ戦略を通じて高度な攻撃から防御することの重要性をさらに浮き彫りにしています。

インターネットの進化により、グローバルなビジネス運営は大きく変化しました。 デジタル変革は指数関数的に進行しており、テクノロジーの進歩とサイバー攻撃の高度化が同時に促進されています。 同時に、今日の組織は、金銭目的の従来の攻撃者だけでなく、より広範な目標を持つ国家や大義名分に基づく攻撃者にも対処しています。 もちろん、サイバー攻撃の高度化に伴い、対応する保護も定期的に進化させる必要があります。 今日の経済では、既知(および未知の)脆弱性を悪用する攻撃を開発している国家レベルの攻撃者に遭遇する可能性がはるかに高くなっています。

実際には、これは国家レベルの攻撃者が他国のインターネット(および重要なサービス)インフラストラクチャを継続的に標的とするエクスプロイトを開発することにつながります。 最も身近に思い浮かぶシナリオは国家間の地政学的紛争ですが、多くの同じ原則を従来の企業のセキュリティ慣行に広く適用する必要があります。特に、国家は不安定化の手段として政府と民間部門のインターネット リソースを組み合わせて攻撃することが多いためです。  したがって、標的型サイバー攻撃は、国家の統一性だけでなく、標的地域(またはその地域内)で関連するビジネス活動を展開しようとする人々にとっても重大な脅威となります。 これにより、あらゆる種類の組織にとって積極的かつ継続的なサイバーセキュリティの必要性が高まっています。

標的型サイバー攻撃

大まかに言えば、国家を敵視する勢力は、国家のインフラを深刻に弱体化させ、インターネット システムの機能を妨害するために標的型サイバー攻撃を仕掛け、それが金融および軍事インフラに影響を及ぼす可能性があります。 図 1 は、標的型攻撃(この場合はフィッシング) の実際の例を示しています。

標的型フィッシング攻撃の実際の図
図1: 標的型フィッシング攻撃の実態

標的型サイバー攻撃は、ステルス的な操作を実行するように設計された悪意のあるコードを使用して実行されます。  悪意のあるコードの例としては、エクスプロイト(脆弱性を悪用する)、ルートキット(カーネルとユーザー モードを改ざんして不正な操作を行う)、リモート管理ツールキット(侵害されたシステムの管理)、ワイパー(システムのマスター ブート レコードを破壊する)、ランサムウェア(機密データを暗号化して身代金を要求する)などがあります。 一般的にはサイバー攻撃と呼ばれていますが、これらの個々の戦術は「デジタル兵器」とみなすことができます。

インフラを標的とする国家レベルの攻撃者: デジタル兵器の増加

国家間の紛争では、敵対者がさまざまな攻撃を仕掛けてきますが、従来の物理的な脅威に加えて、デジタルの脅威も伴います。 今日の国家は、複数のサイバー攻撃を実行することに精通しており、その顕著な例を以下に説明します。

  • インターネット上のさまざまな地理的位置から分散型サービス拒否 (DoS) 攻撃を仕掛けて重要なインフラストラクチャや通信ポータルを停止させるのは、国家間の紛争の際によく考えられた運用戦略です。 たとえば、敵対者は、内部問題の処理に使用される軍事中心の Web サイトに影響を与えて、公式の通信を妨害しようと決意する可能性があります。 金融機関のウェブポータルも、一般的には銀行業務や金融業務に影響を与える目的で標的にされます。
  • ドライブバイダウンロード攻撃を介して高度な悪意のあるコードを配布し、データ破壊攻撃を誘発します。 悪意のあるコードは、侵害された Web ポータルでホストされているか、フィッシング メール (本質的に標的型) に添付されており、ソーシャル エンジニアリングを使用して、標的のユーザーに Web ポータルまたはフィッシング メールとのやり取りを強制し、標的のシステムに悪意のあるコードをインストールさせます。 悪意のあるコードがインストールされると、データを削除してシステムを使用不能にすることで、システム全体を消去する機能があります。
  • 時間的紛争中に知的財産 (IP) を盗むことも、国家間の敵対勢力の主な標的の 1 つです。 その理由は通常次のようになります。 国家のインフラがすでに侵害されている場合、後でさまざまな目的に使用できる IP を盗む機会がある可能性があります。

これに関連して、国家間の紛争で「デジタル兵器」として使用される可能性のある注目すべきサイバー攻撃の簡単な内訳を以下に示します。

サイバー攻撃の種類 悪意のあるコード名
(「デジタル兵器」)
特徴
分散型サービス拒否攻撃 (DDoS) 未知のボットネット サービス拒否: 金融機関や軍隊などのウェブポータルなどの重要なインフラストラクチャの可用性に影響を与えます。
マルウェアの配布 ウィスパーゲート データ破壊とシステム破壊: 侵入されたシステムのマスターブートレコード(MBR)を破壊し、機密ファイルを暗号化する
マルウェアの配布 密閉ワイパー データ破壊とシステム破壊: 侵入されたシステム上の機密ファイルを破壊し、消去する

表1: 国家間の紛争中に行われるサイバー攻撃で悪意のあるコードが使用される可能性

上記のデジタル兵器を使用することで、国家レベルの攻撃者は、政府や組織が所有するインフラに深刻な影響を及ぼす大規模な一連の攻撃を仕掛けることができます。 これは通常、国家が自由に通信する能力を混乱させ、インフラストラクチャ内のアクティブなシステムの整合性、可用性、機密性を回避することで金融システムや軍事システムを即座に混乱させるという、より大規模な戦略の一部です。

繰り返しになりますが、これは紛争中の国家に最も直接的に関係しているように思われるかもしれませんが、これらの攻撃で使用されるツールやエクスプロイトがより広範な脅威環境に浸透すると、より広範なリスクが生じます。 (この歴史的な例としては、2017 年のNotPetyaバグがあります。)

重要なインフラストラクチャの保護

積極的なサイバーセキュリティが、現在主流となっている必須のアプローチとなっています。 一般的に政府は、重要なインフラストラクチャ(軍事ウェブポータル、SCADAインフラストラクチャを含む金融機関のウェブサイトを含む)を継続的に監視し、サイバー攻撃から保護する責任を負っていますが、公共部門と民間部門のセキュリティの境界線は、はるかに微妙なものになっています。  全体像を見ると、ネットワーク インフラストラクチャと展開されたアプリケーションを保護することは、DDoS などのネットワーク攻撃やネットワーク経由で配布される悪意のあるコードを回避するために重要であり、可用性に影響を与えずにインフラストラクチャ リソースの整合性を維持します。  さらに重要なのは、重要なアプリケーションを HTTP 攻撃から保護することも必要だということです。 最も重要なのは、インターネット経由の通信が中断されないようにすることです。 そのためには、組織は、サイバー攻撃に対抗するためのセキュリティ メカニズムがインフラストラクチャに組み込まれていることを確認する必要があります。

プロアクティブなサイバーセキュリティを実現するための第一歩

デジタル変革の加速により、政府や組織は業務効率化を実現するために最新のアプリケーションを導入するようになりました。 ただし、これらのアプリケーションには、標的型または広範囲にわたる高度なサイバー攻撃に対する保護が必要です。 国家間の紛争時には、重要なアプリケーションが利用可能であることを保証することがさらに重要になります。 政府およびすべての組織は、次の重要な点に注意を払い続ける必要があります。

  • Web アプリケーションと API は、今日のデジタル環境で広く普及しています。 不正使用や攻撃から保護することは、積極的なセキュリティ体制を維持するために最も重要です。 Web アプリおよび API 保護 (WAAP)などのサービスとソリューションは、Web ベースの攻撃に対する保護を提供するだけでなく、ネイティブのセキュリティ機能も備えています。
  • 搾取と虐待だけが攻撃手段ではありません。 サービス拒否攻撃により、重要な資産へのアクセスが妨げられる可能性があります。 プロアクティブなサイバーセキュリティ戦略には、重要なアプリケーションの可用性を維持するために、アプリケーションベースの DoS 攻撃を回避する機能も含める必要があります。
  • 積極的に行動するには、攻撃の兆候を特定する能力も必要です。 ほとんどの組織では、すべてのアプリケーション、インフラストラクチャ、環境にわたる可視性が不完全なため、攻撃を早期に検出する能力が不足しています。 デジタル資産の健全性はデジタル信号によって決定され、プロアクティブなサイバーセキュリティの基本的な要素となります。 潜在的な攻撃を早期に検出できる可観測性戦略により、攻撃に迅速に対応して無力化できるようになります。

強力で堅牢なサイバーセキュリティ体制を構築するには、可用性、つまり、攻撃を受けた場合でも重要なアプリケーションを引き続き使用できることが必要です。 脅威(および軽減策)の進化が止まることはないという認識のもと、回復力と中断のない可用性を備えたセキュリティを実現することは、プロアクティブなサイバーセキュリティのベンチマークです。