許可プロトコルから忍び寄る脅威:ラテラルムーブメント攻撃 vs NSX Security
こんにちは、最近は息子が学校で利用しているタブレットが夜間に充電されている際に異常に熱を持っているのに気がつき画面を見るとシャットダウンが中断され、なにかが実行され続けているのを何度か経験したり、実家の母からはPCで「ウイルスに感染しました。サポートセンターにお電話ください」という音声が連呼されて困っていると電話で相談を受けたり、と私の周囲でもよくよくちょっとしたテクノロジーのトラブルを実感している今日この頃であり、ICT に詳しくない人がこうしたことに困ってしまう実情に少し心を痛めております。事態が悪化せずに、軽微な事象のままでありますように日々祈っています。 さて、話題は変わりますが、近年のサイバー攻撃では、境界型セキュリティの先に位置するシステム内のサーバーに保持される貴重な情報がターゲットとなり、「遠隔からの多段攻撃」が行われていることが報告されています。 この攻撃手法では、攻撃者はシステム内で巧妙な探索活動を行ったり、脆弱性を悪用してシステムに侵入するなど、内部での攻撃活動を展開します。このような内部活動は一般的に「ラテラルムーブメント」と呼ばれます。 そうした「遠隔からの多段攻撃」の実手法の一例として、過去のブログでは「DNS トンネリング」を取り上げました。 今回は、侵害事例を参考にした攻撃サンプルをいくつかのデモ動画での実演を通じて、システム内部を標的とした攻撃の多くで報告されているラテラルムーブメントの動作を1つ1つ深掘りしたり、NSX Security を利用した場合でのこれらラテラルムーブメントの防御方法とその効果についてご紹介したいと思います。 デモのフルバージョンは以下のページにまとめておりますので、こちらの解説記事とあわせて是非ご視聴ください。 【ビデオ】 ラテラルセキュリティへの注意喚起デモ その2 : ラテラルムーブメント みなさまも「遠隔からの多段攻撃」/「ラテラルムーブメントの脅威」について、なんとなくご理解はされつつも、以下のような疑問を持たれてはないでしょうか? 攻撃者が侵入先に遠隔操作できる踏み台を用意するためには、どのような手法が使われるのでしょうか? 内部ネットワークセキュリティを強化するためには、どのような対策が実際に効果的なのでしょうか? 境界型ファイアウォールでは、どのような攻撃を検知することが困難なのでしょうか? 私たち...
