攻撃ベクトルの定義

攻撃ベクトルとは、サイバー犯罪者が被害者のネットワークを侵害したりネットワークに侵入したりするために使用する方法または方法の組み合わせです。

一般的に、攻撃者は、攻撃を実行するために日常的に使用する多くの攻撃ベクトルを開発します。時間が経過し、繰り返し使用されることで、これらの攻撃ベクトルはサイバー犯罪者や組織的なサイバー犯罪 (eCrime) グループの仮想の「名刺」となります。これにより、脅威インテリジェンスアナリスト、サイバーセキュリティサービスプロバイダー、法務執行機関、政府機関はアイデンティティをさまざまな攻撃者に割り当てることが可能になります。

攻撃者の攻撃ベクトルを認識して追跡することで、組織は既存または今後の標的型攻撃に対する防御を強化できます。さらに、攻撃の背後にいる人物を把握すると（一部はシグネチャ攻撃ベクトルの使用により特定される）、組織は攻撃者の能力を把握し、将来、ビジネスとそのアセットを保護するための対策を講じることができます。

攻撃ベクトル、攻撃対象領域、脅威ベクトル、脅威アクター

攻撃対象領域とは

攻撃対象領域は、組織の環境で発生しうるすべてのセキュリティリスクのエクスポージャーの総体です。言い換えると、攻撃対象領域とは、すべてのハードウェア、ソフトウェア、ネットワークコンポーネント、人に存在するあらゆる潜在的な脆弱性（既知および未知）と制御が集まったものです。

攻撃対象領域は次の3つの基本的な種類に分類できます。

1. デジタル攻撃対象領域：組織のネットワークとソフトウェア環境全体に及びます。アプリケーション、コード、ポート、その他エントリポイントとイグジットポイントを含みます。
2. 物理的攻撃対象領域：デスクトップシステム、ノートパソコン、モバイルデバイス、サーバー、アクセスゲート、通信インフラストラクチャ、電気フィードなど、組織のすべてのインフラストラクチャ。
3. ソーシャルエンジニアリング攻撃対象領域：人間の心を悪用する攻撃で、多くの場合、フィッシング、プリテキスティング（スミッシング）、ビッシング（ボイスメール）、人を欺くその他の手法で使用されます。

脅威ベクトルとは

脅威ベクトルとは、サイバー犯罪者が被害者のネットワークやインフラストラクチャへの初期アクセスを獲得するために使用する手法の説明に使用される用語です。多くの場合、脅威ベクトルは攻撃ベクトルと同じ意味で使用されます。

脅威アクターとは

脅威アクター（悪意のあるアクターまたはデジタル攻撃者）は、デジタル領域に意図的に危害を加える個人または組織です。彼らは、コンピューター、ネットワーク、システムの弱点を悪用して、個人や組織に破壊的な攻撃を行います。

「脅威アクター」という用語にはサイバー犯罪者も含まれますが、それだけには到底とどまりません。ハクティビスト（ハッカー活動家）やテロリストなどのイデオローグ、インサイダー、さらにはインターネットトロールまで、すべてが脅威アクターと見なされます。

攻撃ベクトルはどのように悪用されるか

脅威ベクトルは、一般的に次の2つのカテゴリのいずれかに分類されます。

1. パッシブ攻撃ベクトル
2. アクティブ攻撃ベクトル

パッシブ攻撃ベクトル

パッシブ攻撃ベクトルは、攻撃者がオープンポート、被害者のシステムに設定ミス、パッチが適用されていないソフトウェアアプリケーションなどの脆弱性がないか監視し、脆弱性を悪用してアクセスを取得する攻撃手法です。

通常、パッシブ攻撃の攻撃者の目的は、システムに害を及ぼしたり、業務を妨害したりすることではありません。データや機密情報にアクセスすることです。

パッシブ攻撃ベクトルでは、通常はシステムの中断や環境の変更は発生しないため、組織が進行中の攻撃を認識したり、ビジネスがさらに被害を受けるのを防ぐために必要なステップを実施したりするのは困難である場合があります。

パッシブ攻撃ベクトルの例として、ポートスキャン、スニッフィング、盗聴（中間者攻撃など）、ソーシャルエンジニアリング攻撃があります。

アクティブ攻撃ベクトル

アクティブ攻撃ベクトルは、システムを変更したり運用を妨害したりする攻撃者によって使用される攻撃手法です。

パッシブ攻撃と同様に、アクティブ攻撃ベクトルを利用する多くの攻撃者は、機密データにアクセスしようとします。ただし、パッシブ攻撃とは異なり、アクティブ攻撃を行う犯罪者は、被害者のIT環境に大損害や大混乱をもたらすために攻撃することもあります。

アクティブ攻撃ベクトルの例として、マルウェア、ランサムウェア、分散型サービス拒否 (DDoS) 攻撃、認証情報の窃取、その他の一般的な手法があります。

10種類の一般的な攻撃ベクトル

ソーシャルエンジニアリング攻撃

ソーシャルエンジニアリング攻撃は、攻撃者が人を標的とし、愛情、恐怖、欲望などの感情を利用して人を操り、攻撃者が望む行動を取らせようとすることです。通常、ソーシャルエンジニアリング攻撃の目的は、より複雑な攻撃の実行に使用できる情報の入手、機密データやユーザー認証情報へのアクセス、デジタルギフトカードの購入と攻撃者との共有を従業員に促すなどの比較的低レベルの「クイックウィン」の実現です。

セキュリティスタックがどれほど強力で、ポリシーがどれほど練り上げられていても、ユーザーがだまされて悪意のあるアクターに認証情報を漏洩する可能性があるため、ソーシャルエンジニアリング攻撃はサイバーセキュリティの専門家にとって大きな懸念事項です。内部に入り込めば、悪意のあるアクターは盗んだ認証情報を使用して正当なユーザーになりすますことができるため、ラテラルムーブメントによって、どの防御策が実施されているかを確認し、バックドアを設置して、アイデンティティ窃盗を行うことができます。そしてもちろん、データを盗みます。

ソーシャルエンジニアリングの一般的な例として、フィッシング、プリテキスティング、ベイティングなどがあります。

侵害された脆弱な認証情報

別の一般的な攻撃ベクトルとして、侵害された認証情報または脆弱な認証情報の使用があります。認証情報ベースの攻撃では、攻撃者がさまざま方法でユーザーのシステムID、パスワード、またはその両方を盗難、推測、解読、共用し、システムにアクセスしたり、ユーザーになりすましてアクティビティを実行したりします。

認証情報を取得すると、攻撃者はアカウント所有者になりすまし、従業員、請負業者、サービスアカウント、またはサードパーティサプライヤなど、正当なアクセス権を持つ人に見せかけることができます。攻撃者は正当なユーザーのように見えるため、この種の攻撃は検知や防御が難しくなります。

認証情報ベースの攻撃の例を次に示します。

• 認証情報の盗難：オンラインアカウントまたはシステムにアクセスするために、ユーザー名、パスワード、財務情報などの個人情報を盗む行為です。
• Pass the Hash (PtH)：攻撃者が「ハッシュ化された」ユーザー認証情報を盗み、それを使用して同じネットワーク上に新しいユーザーセッションを作成する攻撃です。他の認証情報の窃取攻撃とは異なり、Pass the Hash攻撃はシステムにアクセスするためのパスワードを知っている必要も、解読する必要もありません。その代わりに、保存されているパスワードのバージョンを使用して新しいセッションを開始します。
• パスワードスプレー攻撃：攻撃者が同じアプリケーション上の複数のアカウントに対して共通のパスワード（password123など）を使用して、システムに偶然アクセスしようとすることです。

インサイダー脅威

インサイダー脅威とは、組織の内部から発生するサイバーセキュリティリスクであり、通常、現在や過去の従業員、または企業ネットワーク、機密データ、知的財産 (IP) に直接アクセスできる人物、およびビジネスプロセス、企業ポリシー、またはそのような攻撃の実行に役立つその他の情報に関する知識を持つ人物によって引き起こされます。すべてのインサイダー脅威アクターが意図的に行動するわけではありません。一部のアクターは人質となり、そのデジタル資産は外部の脅威アクターが使用するために侵害されている場合があります。

セキュリティの設定ミスと脆弱性

セキュリティの設定ミスは、コードの設定に存在するエラーまたは脆弱性で、攻撃者は機密データにアクセスできるため、データ侵害や完全なシステム侵害につながります。

最も一般的なセキュリティ設定ミスに、Active Directoryドメイン内の脆弱性であるADの設定ミスがあります。これらの一般的なセキュリティ設定ミスは、攻撃者による管理特権の取得から、複数の管理者がホスト上でサービスを実行することにより発生する問題まで多岐にわたります。

別の例として、コラボレーションツールであるJIRAで検出されたセキュリティ設定ミスがあります。1つの設定ミスで多くの会社が企業データや個人データの公開という脆弱性にさらされました。この場合、セキュリティリスクの原因は、グローバル権限の認可の設定ミスでした。

ランサムウェア

ランサムウェアとは、被害者のデータを暗号化するマルウェアの一種のことで、感染すると、ユーザーのファイルやネットワークへのアクセスを復元するために、攻撃者から「身代金」つまり金銭が要求されます。通常、身代金の支払いが行われると、被害者は暗号化解除キーを受け取り、ファイルへのアクセスを復元できます。身代金の支払いが行われないと、脅威アクターは、データリークサイト (DLS) にデータを公開したり、ファイルへのアクセスを永久にブロックしたりする可能性があります。

ランサムウェアは、政府セクター、教育セクター、金融セクター、医療セクターなどの広範なセクターを標的にした最も有名なマルウェアタイプの1つになっており、毎年、世界中で数百万ドルが強奪されています。

マルウェア

マルウェア（悪意のあるソフトウェア）は、コンピューター、ネットワーク、サーバーに意図的な害を与えるために作成されたすべてのプログラムやコードです。サイバー犯罪者はマルウェアを開発してコンピューターシステムにこっそり侵入し、機密データやコンピューターシステムを侵害したり、破壊したりします。

マルウェアの一般的な種類として、ウイルス、ランサムウェア、キーロガー、トロイの木馬、ワーム、スパイウェア、マルバタイジング、スケアウェア、バックドア、モバイルマルウェアなどがあります。

中間者攻撃 (MITM)

中間者攻撃は、攻撃者が2つ標的間の通信を傍受するタイプのサイバー攻撃です。攻撃者は、2人のユーザー、2つのシステム、または1人のユーザーと1つのシステムの間の通信を「傍受」しようとします。

MITM攻撃の目的は、個人データ、パスワード、または銀行の詳細情報を収集したり、被害者に何らかのアクションを起こさせるように仕向ける（ログイン認証情報の変更、トランザクションの完了、資金移動の開始など）ことです。

セッションハイジャック

セッションハイジャックとは、攻撃者がセッションIDの取得によって正当なユーザーのセッションを乗っ取る、つまりハイジャックするサイバー攻撃手法です。犯罪者はセッションを乗っ取ると、侵害されたユーザーになりすまし、ユーザーが権限を持っているシステムやアセットにアクセスできます。

ブルートフォース攻撃

ブルートフォース攻撃は、試行錯誤のアプローチを使用して、ログイン情報、認証情報、暗号化キーを体系的に推測します。攻撃者は、最終的に推測したものが正しいものになるまで、ユーザー名とパスワードの組み合わせを送信します。

成功すると、アクターは正当なユーザーを装ってシステムに入り、検知されるまで内部に留まることができます。彼らはラテラルムーブメントするためにこの時間を使い、バックドアを設置し、将来の攻撃で使用するシステムに関する知識を得て、データを盗みます。

DDoS攻撃

分散型サービス拒否 (DDoS) 攻撃は、事業運営を混乱させるためにネットワークを偽のリクエストで氾濫させる悪意のある標的型攻撃です。組織がこの攻撃を受けると、ユーザーは侵害されたコンピューターやネットワークで運用されているEメール、Webサイト、オンラインアカウント、その他のリソースへのアクセスなど、日常的に必要なタスクを実行できなくなります。

ほとんどのDDoS攻撃では、データが消失することはなく、通常は身代金を支払うことなく解決しますが、重大な事業運営を復旧する際に組織の時間、資産、その他のリソースを要します。

攻撃ベクトルから保護する方法

さまざまな攻撃ベクトルが存在し、それぞれが人、パッチが適用されていないソフトウェア、設定ミスのあるサービス、脆弱なパスワードなど、特定の脆弱性を悪用します。すべての攻撃タイプから組織を保護する単一の防御メカニズムは存在しません。さらに、多くの攻撃ベクトルは人を標的とすることを理解することが重要です。つまり、ほとんどのセキュリティツールは、どんなに高度でも、そのような手法から組織を保護するうえであまり役に立ちません。

デジタル攻撃ベクトルと個人攻撃ベクトルが混在しているため、組織がセキュリティに対する包括的なアプローチを採用し、予防的、防御的、プロアクティブ、リアクティブなセキュリティ対策を組み合わせて、組織とそのアセットを最大限に保護することが非常に重要になります。ここでは、包括的なセキュリティ戦略を開発および展開するためのベストプラクティスを紹介します。

1. 従業員向けの着実なサイバーセキュリティトレーニングプログラムを開発する

従業員はセキュリティの最前線にいます。従業員が使用するすべてのデバイスにおいて、強力なパスワード保護を使用している、安全なWi-Fiにのみ接続している、フィッシング攻撃を常に監視しているなど、適切なハイジーン慣行に従っていることを確認してください。包括的かつ定期的なセキュリティ意識向上トレーニングセッションを提供して、進化する脅威の状況を把握し、あらゆる形式のサイバーリスクから自分や会社を保護するために必要なステップを実施できるようにします。

2. オペレーティングシステムの設定を追跡し、すべてのソフトウェアにパッチを適用して最新の状態に保つ

ハッカーは、悪用できるセキュリティの穴やバックドアを常に探しています。システムをこまめに更新することで、既知のリスクへの露出を最小限に抑え、設定ミスやその他のITの脆弱性を経路として利用する攻撃ベクトルを制限できます。

3. クラウド保護を優先する

攻撃者はクラウドインフラストラクチャを積極的に標的にしています。観測されたクラウドエクスプロイトの件数は増加し、攻撃者はさまざまなTTP（設定ミス、認証情報の盗難など）を使用してクラウド内の重要なビジネスデータとアプリケーションを侵害しています。クラウド侵害を阻止するには、設定ミスやコントロールプレーンおよびアイデンティティベースの攻撃から保護するエージェントレス機能と併せ、クラウドワークロードを保護するためのランタイムセキュリティが必要です。

4. 悪意のあるアクティビティと攻撃の痕跡 (IOA) を検知するために環境を継続的に監視する

EDR（エンドポイント検知・対応） システムですべてのエンドポイントを監視し、生イベントをキャプチャして、防御手法では特定できない悪意のあるアクティビティを自動的に検知します。

5. 脅威インテリジェンスをセキュリティ戦略に統合する

システムをリアルタイムで監視し、最新の脅威インテリジェンスに遅れずについていくことで、組織を標的にしている可能性のあるサイバー攻撃者の世界を特定します。脅威アクターの次の行動に関するデータは、防御を事前に調整し、将来の攻撃を未然に防ぐために不可欠です。

6. アイデンティティベースの攻撃から保護する

AD（オンプレミスとクラウドの両方）をリアルタイムで完全に可視化できるようにして、シャドー管理者、古いアカウント、共有されている認証情報、その他ADに対する攻撃パスを特定します。

認証トラフィックとユーザーの振る舞いを監視することでADのセキュリティを強化し、リスクを低減します。また、堅牢なセキュリティポリシーを適用して異常をプロアクティブに検知します。

すべてのユーザーアカウントとサービスアカウントの動的リスクスコアを使用して、脆弱な認証情報、アクセスの逸脱、パスワードの侵害に対する継続的モニタリングを可能にします。

7. MFA（多要素認証）セキュリティを拡張する

管理対象外のエンドポイントをリスクベースの条件付きアクセスで保護し、ユーザーの振る舞いと認証トラフィックに関する独自の分析を使用して、多要素認証 (MFA) による保護をレガシーアプリケーションやツールに拡張します。

統一されたリスクベースのポリシーを適用して、すべてのアイデンティティ認証を自動的にブロック、許可、監査、またはステップアップします。

8. ユーザーアクティビティのベースラインを作成する

アクセス、認証、エンドポイントなど、すべての関連データログにおけるユーザーのアクティビティと振る舞いを一元化します。

このデータを利用して、個々のユーザー、ユーザーグループ、機能、役職、デバイスのアクティビティのベースラインを作成し、異常または不振なアクティビティの特定に役立てることができます。

カスタマイズされたリスクスコアを各ユーザーとエンドポイントに割り当てて、サイバーセキュリティチームに追加コンテキストを提供します。

9. 振る舞い分析とAIを利用して脅威を特定する

分析とAI対応のツールを利用して、ユーザーやデバイスの振る舞いをリアルタイムで監視します。

アラートとリスクスコアとの相互参照を行ってイベントに追加コンテキストを提供し、対応作業に優先順位を付けます。

10. 演習で完成度を高める

レッドチーム/ブルーチーム演習を実施します。侵入を検知し阻止するためには、明らかにテクノロジーが不可欠ですが、侵入を阻止するためには、セキュリティチームが重要な役割を担っています。セキュリティチームについては、「習うより慣れよ」です。サイバーセキュリティの実践と対応におけるギャップを特定し、弱点を解消するために、机上演習やレッドチーム/ブルーチーム演習を日常的に実施する環境を推奨します。演習はセキュリティチームだけで実践すべきではありません。フィッシングおよび関連するソーシャルエンジニアリング手法の継続的な脅威に対抗するには、ユーザーの意識向上プログラムを始める必要があります。

クラウドストライクによる攻撃ベクトルの特定

クラウドストライクは、サイバー攻撃の防止と防御で重要なのは、組織を標的とする可能性がある攻撃者とその攻撃ベクトルを理解することであると考えています。

クライアントを標的とする可能性がある攻撃者とその能力や意図を特定できるように、堅牢なアクタープロファイリングサービスを提供しています。これにより、最もリスクの高いデータやアセットを保護するためのカスタマイズされた戦略をお客様とともに策定し、脅威アクターによって最も頻繁に悪用される領域の防御を強化できます。

ヒューマンインテリジェンス (HUMINT) サービスの一環として、組織がこれらの攻撃の背後にいる人間や彼らが使用する方法をよりよく理解できるように、CrowdStrike Adversary Universeを開発しました。