攻撃ベクトルとは?

攻撃ベクトルとは、攻撃者が機密データを侵害したり、組織を侵害したりする手段のことです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 攻撃ベクトルの定義
  • 主な攻撃ベクトルを挙げる
  • 攻撃ベクトルと攻撃対象領域の対比

記事のリンクをコピーする

攻撃ベクトルとは?

攻撃ベクトル(脅威ベクトル)とは、攻撃者がネットワークやシステムに侵入するための方法です。一般的な攻撃ベクトルとしては、ソーシャルエンジニアリング攻撃、資格情報の盗難、脆弱性の悪用、内部脅威に対する不十分な防御などがあります。情報セキュリティの重要なポイントは、可能な限り攻撃ベクトルを遮断することです。

ある美術館に飾られている貴重な絵画の警備を、警備会社が任されたとします。美術館には、正面玄関、裏口、エレベーター、窓など、泥棒の侵入経路がいくつもあります。また、美術館のスタッフを装って侵入することも可能です。これらの方法はすべて攻撃ベクトルであり、警備会社は、すべてのドアに警備員を配置し、窓に鍵をかけ、美術館のスタッフを定期的に審査して身元を確認することによって、これらの方法を排除しようとすることができます。

同様に、デジタルシステムにも、攻撃者が侵入口として利用できる領域があります。現代のコンピューティングシステムとアプリケーション環境は非常に複雑であるため、すべての攻撃ベクトルを遮断することは、通常は不可能です。しかし、強力なセキュリティ対策と安全対策によって、ほとんどの攻撃ベクトルを排除することができ、攻撃者が攻撃ベクトルを見つけて利用することをはるかに困難にすることができます。

一般的な攻撃ベクトルの種類は?

フィッシング:フィッシングとは、攻撃者がネットワークへの侵入に使用するためにユーザーのパスワードなどのデータを盗む手法です。攻撃者は、被害者をだましてデータを開示させることで、このデータへのアクセス権を取得します。フィッシングは依然として最もよく使用される攻撃ベクトルの一つです。例えば、ランサムウェアの多くは、被害者の組織に対してまずはフィッシングの工作を仕掛けます。

メールの添付ファイル:最も一般的な攻撃ベクトルの1つであるメールの添付ファイルは、ユーザーがファイルを開いた後に実行される悪意のあるコードが含まれている可能性があります。近年では、Ryuk攻撃を含む、複数の主要なランサムウェア攻撃がこの脅威ベクトルを使用しています。

アカウントの乗っ取り:攻撃者は、正規ユーザのアカウントを乗っ取るために様々な手法を使用します。攻撃者はフィッシング攻撃、ブルートフォース攻撃を使用したり、アンダーグラウンドマーケットで購入することで、ユーザーの資格情報(ユーザー名とパスワード)を盗むことができます。また、攻撃者は、セッションクッキーを傍受し、それを使用してWebアプリケーションに対してユーザーを偽装しようとします。

暗号化の欠如:暗号化されていないデータは、それにアクセスできる人なら誰でも見ることができます。オンパス攻撃のようにネットワーク間の転送中に傍受されることもあれば、ネットワーク経路上の仲介業者によって誤って閲覧されてしまうこともあります。

インサイダーの脅威:インサイダーの脅威とは、既知の信頼済みのユーザーが機密データにアクセスして流出させたり、攻撃者に同じ権限を与えてしまうことです。このような事態は、ユーザー側の意図で発生する場合もあれば、偶発的に発生する場合もあります。外部の攻撃者は、内部関係者に直接接触して、アクセス権を提供するよう依頼したり、買収したり、騙したり、脅したりして、内部関係者との脅威関係を築こうとすることがあります。時には、悪意のある内部関係者が、組織に対する不満やその他の理由から、自らの意思で行動することもあります。

脆弱性の悪用:脆弱性とは、ソフトウェアやハードウェアに存在する欠陥のことです。これは、鍵が正しく機能しないようなものだと考えてください。鍵が壊れている場所を知っている泥棒であれば、安全な建物に入ることができてしまいます。攻撃者が脆弱性を利用してシステムに侵入することに成功した場合、これを脆弱性「エクスプロイト」と呼びます。ソフトウェアやハードウェアのベンダーが提供するアップデートを適用することで、ほとんどの脆弱性を修正することができます。しかし、一部の脆弱性は、「ゼロデイ」脆弱性、つまり、修正方法が知られていない未知の脆弱性です。

ブラウザベースの攻撃:インターネットブラウザは、Webページを表示するために、リモートサーバーから受け取ったコードを読み込んで実行します。攻撃者は、Webサイトに悪意のあるコードを挿入したり、ユーザーを偽のWebサイトに誘導して、ブラウザーを騙してコードを実行させ、マルウェアをダウンロードさせたり、ユーザーのデバイスを侵害することができます。クラウドコンピューティングを使用している場合、従業員はインターネットブラウザーのみを通じてデータやアプリケーションにアクセスすることが多いため、この脅威ベクトルは特に考慮する必要があります。

アプリケーションの侵害:攻撃者は、ユーザアカウントを直接狙うのではなく、信頼できるサードパーティアプリケーションをマルウェアに感染させようとする場合もあります。または、悪意のある偽のアプリケーションを作成し、ユーザが無意識のうちにダウンロードやインストールさせられてしまう可能性もあります(モバイル端末に対する一般的な攻撃ベクトルです)。

ポートの開放: ポートは、デバイスへの仮想的な出入り口です。ポートを使用することで、コンピューターやサーバーがネットワークトラフィックを特定のアプリケーションやプロセスに関連付けることができます。使用していないポートは閉じておく必要があります。攻撃者は、開放されているポートに特別に細工したメッセージを送信して、システムを侵害しようとします。これは、自動車泥棒がドアを開けようとすることで鍵が開いているかどうかを確認するのと同じことです。

組織が攻撃ベクトルを保護する方法は?

攻撃ベクトルを完全に排除する方法はありません。しかし、これらのアプローチを実施することで、内部および外部両方からの攻撃を阻止することができます。

  • 優れたセキュリティ対策: 多くの攻撃は、ユーザーがフィッシング攻撃に引っかかったり、悪意のあるメールの添付ファイルを開いたり、権限のない人物にアクセス権を与えるなど、ユーザーによる誤った行動によって成功します。このような誤った行動を回避するためにユーザーを訓練することは、いくつかの主流である攻撃ベクトルを排除するために大いに役立ちます。
  • 暗号化:転送中のデータを暗号化することで、データが仲介業者にさらされることを防ぐことができます。
  • ブラウザの分離:この技術は、信頼されていないコードを読み込んで実行するプロセスを、組織のセキュリティで保護されたネットワークの外部に移動させるものです。ブラウザーの分離は、少なくともブラウザー上ではゼロデイ攻撃の脅威を排除することができます。
  • 脆弱性へのパッチ適用:多くの攻撃は、組織が脆弱性へのパッチを適用していないために発生します。脆弱性にパッチを当て、ソフトウェアやハード��ェアを定期的に更新することで、脆弱性が悪用される確率を大幅に減らすことができます。
  • セキュアアクセスサービスエッジ(SASE):クラウドへの依存が企業のコンピューティングモデルを変えるにつれ、多くの組織がネットワークとセキュリティのモデルも変える必要があると感じています。セキュアアクセスサービスエッジ(SASE)は、ネットワークとセキュリティを統合する方法の1つです。SASEには、上記のような攻撃ベクトルを遮断するためのさまざまなセキュリティ対策が含まれています。SASEついて、詳しくはこちらをご覧ください

攻撃対象領域とは?

攻撃対象領域とは、攻撃者が利用できるすべての攻撃ベクトルを組み合わせたものです。組織が持つ攻撃ベクトルが多ければ多いほど、攻撃対象領域は大きくなります。逆に、組織は可能な限り攻撃ベクトルを排除することで、攻撃対象領域を減らすことができます。

攻撃者を、サッカーの攻撃側の選手、攻撃対象領域はゴールのようなものだと考えてください。ゴールキーパーがいなければ、ゴール前はプレーヤーにとってボールを蹴り抜けるためのかなり広いスペースになるでしょう。しかし、ゴールキーパーが戦略的な場所に居ることで攻撃側のエリアを狭め、ゴールキーパーのチームメイトも同じように守ることができます。

同様に、すべての組織には、外部の攻撃者が狙う「��ール」、すなわち攻撃対象領域とその背後にある機密データがあります。しかし、セキュリティ製品やセキュリティ対策によって、ゴールキーパーとディフェンダーのように、攻撃者がこれらの攻撃ベクトルが利用されないようにしています。

Cloudflareがどのように攻撃ベクトルを排除しているかについては、CloudflareのSASEプラットフォーム、Cloudflare Oneをご覧ください。