アタック・サーフェスは、攻撃者によって機密データやネットワークに対する不正アクセスが行われる際に、サイバー攻撃の対象となりうるIT資産や攻撃経路といった脆弱性全体を指します。アタック・サーフェスは、攻撃対象領域や攻撃ベクトルと呼ばれることもあります。
ハイブリッドなワークスタイルの採用とクラウドで提供されるサービスの活用を企業や組織が推進することで、デジタル・フットプリントとアタック・サーフェスは拡大・分散し、複雑化しています。2022年に実施された調査「State of Attack Surface Management 2022」によると、過去12カ月で67%の企業や組織にアタック・サーフェスの拡大が見られました。また、ITアドバイザリー企業であるGartner社は、「2022年のセキュリティ/リスク・マネジメントのトップ・トレンド」(ibm.com外部へのリンク)で、アタック・サーフェスの拡大をトレンドのトップに挙げました。
アタック・サーフェスは、デジタル・アタック・サーフェス、物理的なアタック・サーフェス、ソーシャル・エンジニアリング・アタック・サーフェスの3つのタイプに分けられます。
デジタル・アタック・サーフェスにより、組織のクラウド上やオンプレミスのインフラストラクチャーは、インターネット接続を使用したあらゆるハッカーに対して無防備になっている可能性があります。組織のデジタル・アタック・サーフェスにおける一般的な攻撃ベクトルには、以下が含まれます。
脆弱なパスワード:推測しやすいパスワードやブルート・フォース・アタックによって解読しやすいパスワードは、サイバー犯罪者が、ネットワークにアクセスし、機密情報を盗み、マルウェアを拡散し、インフラストラクチャーに損害を与えるために、ユーザー・アカウントを侵害するリスクを増大させてしまいます。IBMの2021年データ侵害のコストのレポートによると、2021年に最もよく悪用された初期攻撃ベクトルが侵害された資格情報でした。
構成ミス:不適切に構成されたネットワークのポート、チャネル、ワイヤレス・アクセス・ポイント、ファイアウォール、またはプロトコルは、ハッカーのエントリー・ポイントとして機能します。例えば、中間者攻撃は、メッセージの受け渡しを行うチャネル上の脆弱な暗号化プロトコルを利用して、システム間の通信を傍受します。
ソフトウェア、オペレーティング・システム(OS)およびファームウェアの脆弱性:ハッカーやサイバー犯罪者は、サード・パーティーのアプリケーション、OS、および他のソフトウェア、またはファームウェアにおけるコーディング・エラー、もしくは実装エラーを利用して、ネットワークへの侵入、ユーザーのディレクトリーへのアクセス、またはマルウェアの植え付けを行います。例えば、2021年には、サイバー犯罪者がKaseya社のVSA(仮想ストレージ・アプライアンス)プラットフォームを利用(英語)(ibm.com外部のリンク)して、Kaseya社の顧客に対してソフトウェアの更新を偽装したランサムウェアを拡散させました。
インターネット向け資産:パブリック・インターネット対応のWebアプリケーション、Webサーバー、その他のリソースは、攻撃に対して本質的に脆弱です。 例えば、ハッカーは悪意のあるコードを破棄アプリケーション・プログラミング・インターフェース(API)に注入し、その結果、関連するデータベースの機密情報の不適切な漏洩や破壊を引き起こします。
共有データベースとディレクトリー:ハッカーは、システムとデバイスの間で共有されているデータベースとディレクトリーを悪用し、機密リソースへの不正アクセスやランサムウェア攻撃を開始します。2016年、Virlockランサムウェアの拡散(英語)(ibm.com外部のリンク)は、複数のデバイスからアクセスされた連携ファイル・フォルダーに感染したことから起こりました。
古い、またはサポートされていないデバイス、データ、あるいはアプリケーション:一貫性をもって更新とパッチを適用しなければ、セキュリティー上のリスクが発生します。注目すべき例の1つは、WannaCryランサムウェアです。これは、パッチが利用可能だったMicrosoft Windowsのオペレーティング・システムの脆弱性を悪用(英語)(ibm.com外部のリンク)することで拡散されました。同様に、サポートされていないエンドポイント、データ・セット、ユーザー・アカウント、およびアプリケーションが適切にアンインストールされない、削除されない、または破棄されない場合、これらは、サイバー犯罪者が容易に悪用できる監視されていない脆弱性を作り出してしまいます。
シャドーIT:「シャドーIT」とは、従業員がIT部門の知識や承認なしに使用できるソフトウェア、ハードウェア、またはデバイスで、無料、または人気のアプリケーション、ポータブル・ストレージ・デバイス、また安全でない個人のモバイル・デバイスに見られます。シャドーITは、ITチームやセキュリティー・チームによって監視されていないため、ハッカーが悪用できる深刻な脆弱性をもたらす可能性があります。
物理的なアタック・サーフェスは、通常は、企業の物理的なオフィスやエンドポイント・デバイス(サーバー、コンピューター、ノートPC、モバイル・デバイス、IoTデバイス、オペレーショナル・ハードウェア)へのアクセスを認可されたユーザーのみがアクセス可能な資産や情報を無防備にします。
悪意のあるインサイダー:不満を持っている、または賄賂を受け取っている悪意ある従業員やその他のユーザーは、特権アクセスを使用して、機密データを盗む、デバイスを無効化する、マルウェアを植え付ける、または更に悪質なことを行う可能性があります。
デバイスの盗難:犯罪者は、組織の敷地内に侵入することにより、エンドポイント・デバイスを盗む、またはエンドポイント・デバイスにアクセスする可能性があります。いったんハードウェアを所有すると、ハッカーはこれらのデバイスに保存されているデータとプロセスにアクセスできます。また、デバイスのIDと他のネットワーク・リソースへのアクセス許可を使用することもできます。リモート・ワーカー、従業員の個人使用デバイス、不適切に廃棄されたデバイスによって使用されたエンドポイントは、典型的な盗難のターゲットになります。
ベイティング:ベイティングは、ハッカーがマルウェアに感染したUSBドライブを公共の場所に置き、ユーザーを騙してユーザーのコンピューターにそのデバイスを接続させて意図せずにマルウェアをダウンロードさせる攻撃です。
ソーシャル・エンジニアリングは、人々を操作して、共有してはならない情報の共有、ダウンロードしてはならないソフトウェアのダウンロード、アクセスしてはならないWebサイトへのアクセス、犯罪者への送金を仕向けたり、個人や組織の資産やセキュリティーを危険にさらすその他の間違いを犯すよう誘導します。
これは、技術的な脆弱性やデジタル・システムの脆弱性よりも人間の弱点を悪用するため、ソーシャル・エンジニアリングは「人間ハッキング」と呼ばれることもあります。
組織のソーシャル・エンジニアリング・アタック・サーフェスは、基本的に、ソーシャル・エンジニアリング攻撃に対する準備ができていない認可されたユーザー数または、ソーシャル・エンジニアリング攻撃に対して脆弱なユーザー数を総括したものになります。
フィッシングは最も有名で最も普及しているソーシャル・エンジニアリングの攻撃ベクトルです。フィッシング攻撃では、詐欺師は、受信者を操作して機密情報の共有、悪意のあるソフトウェアのダウンロード、金銭や資産の誤った人への転送、またはその他の有害な行動をとろうとする電子メール、テキスト・メッセージ、あるいは音声メッセージを送ります。詐欺師は、信頼できる、信用に足る組織または個人(人気のある小売業者、政府組織、または受信者が個人的に知っている人物の場合もある)から送信されたように見える、または聞こえるフィッシング・メッセージを作成します。
アタック・サーフェス・マネージメント(Attack Surface Management 以下、略称の「ASM」で記述)とは、企業や組織がサイバー攻撃の対象となりうるアタック・サーフェスを攻撃者の視点で把握して管理する取り組みや技術です。ASMは、攻撃者が悪用できる可能性がある侵入経路を、攻撃対象ごとに特定して、リスクを評価するとともに継続的に監視します。通常、ASMには以下が含まれています。
- 脆弱性が見つかる可能性のある資産の継続的な検出、インベントリー管理、監視:あらゆるASMのイニシアチブは、企業や組織のインターネットに対応したIT資産(オンプレミスの資産とクラウドの資産を含む)のインベントリーを完全にかつ継続的に更新することから始まります。攻撃者のアプローチを採用することで、既知の資産だけでなく、シャドー IT (上記を参照)、放棄されたが削除または非アクティブ化されていないアプリケーションまたはデバイス(サポートされていないIT)、攻撃者またはマルウェアによって植え付けられた資産(不良IT)など、攻撃者やサイバー脅威によって悪用される可能性があるあらゆる資産を検出します。
資産は一度検出されると、潜在的な攻撃ベクトルとしてのリスクを増大させる変化がないか、リアルタイムで継続的に監視されます。
- アタック・サーフェス分析、リスク評価、優先順位付け:ASMのテクノロジーは、資産の脆弱性とセキュリティー・リスクの可能性に基づき、資産をスコア付けし、脅威応答と修正に向けて優先順位付けを行います。
- アタック・サーフェスと修正:セキュリティー・チームは、アタック・サーフェス分析の調査結果とレッド・チームの調査結果を適用し、アタック・サーフェスを減らすためのさまざまな短期的なアクションを実行できます。これらには、より強力なパスワードの適用、この先使用しないアプリケーションとエンドポイント・デバイスの非アクティブ化、アプリケーションとOSパッチの適用、ユーザーにフィッシング詐欺を認識させるための研修、オフィスの入り口でのバイオメトリックのアクセス制御、またはソフトウェアのダウンロードとリムーバブル・メディアに関するセキュリティーの制御とポリシーの改訂が含まれます。
また、企業や組織はアタック・サーフェスのイニシアチブの一部、あるいはアタック・サーフェスのイニシアチブから独立して、アタック・サーフェスを減らすために、より構造的または長期のセキュリティー対策を取ることになる可能性もあります。例えば、2要素認証(2FA)または多要素認証は、脆弱なパスワードや不十分なパスワード対策に関連して起こる可能性のある脆弱性を削減または除去します。
より大きな規模では、ゼロトラスト・セキュリティー・アプローチは、企業や組織のアタック・サーフェスを減らせます。ゼロトラスト・アプローチでは、すべてのユーザーに対して、ネットワークの外部にいるか、既に内部にいるかに関係なく、アプリケーションとデータへのアクセスを取得し維持するための認証、許可、検証が継続的に行われます。ゼロトラストの原則とテクノロジー(継続的な検証、最小特権アクセス、継続的な監視、ネットワークのマイクロセグメンテーション)は、多くの攻撃ベクトルを削減また除去し、進行中のアタック・サーフェス分析に価値あるデータを提供できます。
お客様のデジタル・フットプリントの拡張を管理し、偽陽性の数を減らして目標を設定し、組織のサイバー・レジリエンスを迅速に向上させます。
最も重要な資産を無防備にする可能性のある欠陥の修正を特定し、優先順位を付けて管理します。
ソーシャル・エンジニアリングは、技術的なハッキングよりも心理的操作を利用して、個人または企業のセキュリティーを侵害します。
マルウェアは、コンピューターやネットワークに損害を与えたり破壊するために、またはコンピューター、ネットワーク、あるいはデータへの不正アクセスを提供するために書かれたソフトウェア・コードのことです。
ゼロトラスト・アプローチでは、すべてのユーザーに対して、ネットワークの外部にいるか、既に内部にいるかに関係なく、アプリケーションとデータへのアクセスを取得し維持するための認証、許可、検証が継続的に行われます。
内部脅威は、企業の資産にアクセスすることを許可されているユーザーが、故意に、または偶発的にその資産を侵害した時に発生します。
クラウド・コンピューティング環境とワークロードを保護するためのガイドです。
データ・セキュリティーは、デジタル情報を盗難、汚染、またはそのライフサイクル全体にわたる不正アクセスから保護するためのプラクティスです。