有識者と討論 サイバー攻撃の最新手口と対策 有識者と討論 サイバー攻撃の最新手口と対策

サイバー攻撃が社会の大きな課題となっている。テレワークに対応するために企業が構築した新しいネットワーク環境の脆弱性を突いたり、巧みな言葉で人をだましたり、攻撃者は様々な方法で攻撃を成功させようとしてくる。アンダーグラウンドでは、攻撃をサポートするためのツールや個人情報も売買され、攻撃の組織化、巧妙化に拍車をかけている。では、企業や私たち生活者は、サイバー攻撃にどのように立ち向かうべきか。ここでは、IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」を有識者と共に分析しながら、今後の動向と対策を考えていく。
(聞き手 日経BP総合研究所 フェロー 桔梗原 富夫)

人の力でreCAPTCHAを無力化する攻撃者 サービスログイン後にも疑いの目を向けるべき

Vol.1 社会インフラやテレワークを狙う攻撃 ゼロトラストはまず組織の課題に向き合うべきVol.2 フィッシングの脅威トレンド ECサービスやアプリを狙った新しい攻撃手法とは?Vol.4 ワンタイムパスワード、SMS認証の課題 セキュリティと利便性を両立するには

効率的にリターンを得るために、自動化した一斉攻撃を実行するボットを悪用する攻撃者は多い。ボットからのアクセスを見抜くためによく使われているのが「reCAPTCHA」だが、それも攻撃者は人海戦術で無力化してくるという。果たして、どのような仕組みなのか。

効率的に金銭を搾取するために攻撃は進化し続けている

F5ネットワークスジャパン合同会社 SE本部 CTO室 ソリューションアーキテクト 伊藤 悠紀夫 氏
F5ネットワークスジャパン合同会社
SE本部 CTO室
ソリューションアーキテクト
伊藤 悠紀夫

桔梗原連載の2回目では悪質化するフィッシング詐欺について解説してもらいました。「情報セキュリティ10大脅威」の個人編には、フィッシング以外にも「スマホ決済の不正利用」(1位)、「クレジットカード情報の不正利用」(5位)などがランクインしており、攻撃者が多様な方法で金銭を搾取しようとしているのが分かります。この状況をどのように見ていますか。

伊藤今日の攻撃者は金銭の窃取という明確な目的を持ち、それを達成させるために手法を洗練させています。かつてのサイバー攻撃に多かった愉快犯的な犯行は、ほとんどありません。攻撃者にとって、攻撃は仕事であり、生活の糧。ですから、あの手この手を使って攻撃を成功させようとします。

直接手を下す攻撃者だけでなく、そのためのツールを開発する人、個人や組織のクレデンシャル情報を提供する人など、役割分担とアンダーマーケットでの取引が成立し、通常のビジネスのようなエコシステムが構成されていることは、その証といえるでしょう。

桔梗原ビジネスのような経済合理性、ROI(費用対効果)の観点があるから、効率化のための技術が進化し、攻撃が自動化されたりするわけですね。

伊藤その通りです。悪性のボットによるパスワードリスト型攻撃、総当たり攻撃などは、分かりやすい例ですね。攻撃者はボットを使って攻撃を自動化し、手間をかけることなく短時間で成果を得ようとしてきます。

人海戦術でCAPTCHA認証を突破するサービスが登場

日経BP総合研究所 フェロー 桔梗原 富夫
日経BP総合研究所
フェロー
桔梗原 富夫

桔梗原ネット銀行やECサイトなどのオンラインサービスでは、ボットによる攻撃に対抗するためにGoogleの「reCAPTCHA」を採用しているところが多いと聞きます。対策として有効ではないのでしょうか。

伊藤reCAPTCHAはWebページにアクセスしているのがボットではなく人であることを判別するための認証機能で、導入がしやすいためよく使われています。機械的に読み取ることができない歪んだ文字列の画像を提示して、テキストボックスに入力させる。画像を表示して指示したモノが画像上のどの位置にあるかをクリックさせる。あるいは「私はボットではありません」とラベル付けされたチェックボックスをクリックさせるなど、アクセスしているのが人間であることを確認するCAPTCHA認証は、一定の効果を見込めます。

しかし、現在の攻撃者はCAPTCHA認証を突破する手法を既に手に入れているのです。

桔梗原どのような方法でしょうか。

伊藤この話をすると驚く人が多いのですが、突破しているのは技術ではなく人手に頼った人海戦術です。CAPTCHAの処理を有償で代行するサービスがあり、それらのサービスの裏には「Click Farm」と呼ばれる作業者集団が控えています。彼らが攻撃者から送られてくるCAPTCHA認証を手動でクリアして、攻撃者をサポートしているのです。

利用料は「2Captcha」 というサービスを例にとると、CAPTCHA認証を1000回突破しても3ドルしかかかりません。こうしたことからClick Farmには賃金の安い国々の人たちがアルバイトなどで雇用されていると考えられています。

低コストではありますが、人が対応しているため対応力は高く、2Captchaは、Googleが2018年12月に公開した最新版のreCAPTCHA V3をはじめ、現在世の中で採用されているCAPTCHAサービスのほぼすべてに対応しているようです。

桔梗原技術ではなく人手によるサービスを開発したのですね。サイバー攻撃がビジネスになっていることがよく分かります。

認証を通過した後も疑いの目を向け続ける

桔梗原人と技術を組み合わせて自動化と高度化を図ってくる攻撃には、どのような対策が有効なのでしょうか。

伊藤ご指摘のとおり、現在の攻撃者は技術と人を駆使して、高度な攻撃をしかけてきます。対応するには「ボットか人か」、そして「正規ユーザーか不正ユーザーか」の視点でアクセスを疑う必要があります(図)。

図 不正なアクセスを見抜くための視点

図 不正なアクセスを見抜くための視点

現在のサイバー攻撃に備えるには「ボットか人か」「正規ユーザーか不正ユーザーか」の視点でアクセスを疑うことが必要。同時に認証時だけでなく、ログイン後のふるまいも継続的にチェックする必要がある。

[画像のクリックで拡大表示]

例えば、アクセス元のブラウザーにHTMLを編集するための拡張プラグインが導入されている、様々な異なるソースIPからアクセスが行われている、単一のデバイスで複数アカウントによるログインがなされているなどの特徴は、正規ユーザーにはないボットならではのアクセス環境です。これらを判別できれば、最初の段階で不正なアクセスを見抜けます。

正規ユーザーか不正ユーザーかのチェックは、もちろん認証の役割ですが、CAPTCHAのケースのように、認証を突破する技術が進化し続けていることを踏まえると、認証を通過した後のふるまいも継続的に監視することが重要です。

攻撃者のふるまいには、どこかに攻撃者らしい特徴があります。ネット銀行なら、ログイン直後から躊躇なくページを遷移して、外部の口座に向けて多額の送金を実行する、ECなら特定の商品やチケットだけを大量に買い占めるといったふるまいは疑うべきでしょう。ポリシーに応じてアラートを挙げたり、処理を中断したりする仕組みを整えなければなりません。

桔梗原reCAPTCHAもクリアするなど、不正アクセスを成功させる手段が多様化、高度化していることを考えると、確かに認証をパスした後の対策も重要ですね。

伊藤F5ネットワークスが提供するアプリケーションセキュリティのためのクラウドサービス「F5 Shape Security」は、そのための機能を備えたサービスです。

具体的には、攻撃者と一般ユーザーのふるまいをパターン化して捉え、それを検知のためのルールエンジンやAIに反映。新しい傾向が見られれば、随時、更新も行いながら、ユーザーのふるまいの可視化とリスクのスコア化、つまり不正の検知を行います。

桔梗原盲点を突いたり、巧妙な手口を編み出したり、ボットのように進化する技術を悪用したりして進化してきたサイバー攻撃が、人を使うことで対応力を上げているとは驚きました。オンラインサービスを提供する企業にとって対策は急務ですが、あまりにセキュリティを意識しすぎると、ユーザビリティを損なう可能性もあります。次回は、安全性と利便性の両立についても話をお聞きしたいと思います。

お問い合わせ

F5ネットワークスジャパン合同会社
URL:https://www.f5.com/ja_jp/ContactFormJP