これまで様々なセキュリティ技術を学んできましたが、残念ながら100%の防御は存在しません。攻撃者は日々新たな手法を生み出し、防御の壁を乗り越えようとします。情報処理安全確保支援士には、防御技術の知識だけでなく、実際に攻撃された際に何が起きるのか、そして組織としてどう対応すべきか(インシデント対応)を理解する能力が求められます。
「APT」「DDoS」「ブルートフォース」といった攻撃手法の名前は知っていても、それぞれがどのような特徴を持ち、ビジネスにどんな影響を与えるのかを具体的に説明できますか?また、「CSIRT」や「デジタルフォレンジックス」といったインシデント対応の専門用語について、その役割を明確に答えられるでしょうか?
本記事では、支援士試験で頻出する主要なサイバー攻撃の手法を解説するとともに、インシデント発生後の対応プロセスや、証拠を保全・分析するためのデジタルフォレンジックスの基本について、体系的に整理していきます。
この記事を読めば、攻撃から事後対応までの一連の流れが繋がり、インシデント発生時の対応を問う午後問題に自信を持って解答できるようになるでしょう。
目次
特定の組織を狙う執拗な攻撃│APTとC&Cサーバの役割
サイバー攻撃は、不特定多数を狙う「ばらまき型」と、特定の組織や個人を標的とする「標的型」に大別されます。中でも、APT(Advanced Persistent Threat)は、標的型攻撃の最も高度な形態であり、支援士試験でも頻繁に登場する重要な概念です。
APTとは?
APTは、特定の組織に長期間(Persistent)にわたって潜伏し、高度な(Advanced)手法で機密情報などを盗み出そうとする脅威(Threat)です。一度侵入したら目的を達成するまで、検知を避けながら静かに活動を続けるのが特徴です。
身近な例え 🕵️
APTは、一瞬で金品を奪って逃げる「空き巣」とは異なります。むしろ、ターゲット企業の社員になりすまし、何ヶ月もかけて信頼関係を築き、最終的に役員室の金庫の設計図を盗み出す「産業スパイ」に似ています。その目的は金銭だけでなく、国家が背景にある技術情報の窃取など、多岐にわたります。
攻撃の司令塔:C&Cサーバ
APTのような長期的な攻撃では、攻撃者は侵入させたマルウェアを遠隔から操る必要があります。その司令塔となるのがC&Cサーバ(Command and Control Server)です。
- 侵入: 標的型メールなどを通じて、組織内のPCがマルウェアに感染します。
- 通信確立: 感染したPCは、インターネット上のC&Cサーバへ定期的に通信(コールバック)を開始し、攻撃者からの指令を待ちます。
- 遠隔操作: 攻撃者はC&Cサーバを通じてマルウェアに指令を送り、内部ネットワークの偵察、情報の圧縮・暗号化、そして最終的な外部へのデータ送信などを実行させます。
仕事での利用例 🏢
セキュリティ監視(SOC)業務では、組織内のPCから外部の不審なIPアドレスへ、定期的かつ暗号化された通信(例:見慣れないDNSクエリやHTTP/HTTPS通信)が観測された場合、C&Cサーバとの通信を疑います。これが、APTの活動を検知する重要な手がかりとなります。
午後試験では、マルウェア感染後の通信ログが提示され、「この通信の目的は何か?」と問われることがあります。その多くは、C&Cサーバへのコールバックや、窃取した情報を外部へ送信する通信です。
サービス停止を引き起こすDDoS攻撃の代表的な種類
APTが情報の「窃取」を主な目的とするのに対し、DDoS(Distributed Denial of Service)攻撃は、サーバやネットワークに大量の通信を送りつけることで、サービスの「可用性(Availability)」を侵害し、サービス停止を引き起こすことを目的とします。
DoSとDDoSの違い
- DoS攻撃: 1台の攻撃端末から、標的のサーバへ過剰な負荷をかける攻撃。
- DDoS攻撃: 攻撃者が、多数のPCに感染させたマルウェア(ボット)でボットネットを形成し、そこから一斉に分散(Distributed)攻撃を仕掛けるもの。
DDoS攻撃は、多数のIPアドレスから攻撃が行われるため、特定のIPアドレスを遮断するだけでは防ぐのが難しいという特徴があります。
身近な例え 🍕
これは、ピザ屋へのいたずら電話に似ています。
- DoS攻撃: 犯人が1台の電話で、ピザ屋に何度も電話をかけ続ける。店主は、その電話番号を着信拒否すれば済む。
- DDoS攻撃: 犯人が、乗っ取った100台のスマホ(ボットネット)から、一斉にピザ屋へ電話をかけさせる。店主は、どの電話が本当の客からのものか分からなくなり、店の電話回線はパンクしてしまう。
代表的なDDoS攻撃の種類
| 攻撃の種類 | 概要 |
|---|---|
| SYNフラッド攻撃 | TCPの接続確立プロセス(3ウェイハンドシェイク)を悪用。接続要求(SYN)だけを大量に送りつけ、サーバの接続待ちリソースを枯渇させる。 |
| UDPフラッド攻撃 | 大量のUDPパケットを送りつける。サーバは応答を試みるが、その処理でリソースを消費してしまう。 |
| HTTPフラッド攻撃 | Webサーバに対し、HTTPのGETやPOSTリクエストを大量に送りつける。正規の通信に見せかけながら、WebサーバやDBサーバのリソースを枯渇させる。 |
仕事での利用例 🏢
Webサービスを運営する企業は、DDoS攻撃を受けるとビジネスに深刻な打撃を受けます。そのため、ISPやクラウド事業者が提供するDDoS緩和サービスを契約するのが一般的です。これらのサービスは、攻撃トラフィックを検知し、自社の巨大なネットワーク基盤で吸収・洗浄(フィルタリング)した上で、正常な通信だけを企業のサーバに届けてくれます。
午後試験では、ネットワークのパケットキャプチャ情報などから、攻撃の種類を特定させる問題が出題されることがあります。
パスワードを破るブルートフォース攻撃とサイドチャネル攻撃の概念
APTやDDoS以外にも、試験で知っておくべき攻撃手法は数多くあります。ここでは、認証を力ずくで破る「ブルートフォース攻撃」と、物理的な情報を盗み見る「サイドチャネル攻撃」という、性質の異なる2つの攻撃を解説します。
ブルートフォース攻撃:力任せの総当たり
ブルートフォース(Brute force)攻撃は、日本語では「総当たり攻撃」と訳され、パスワードや暗号鍵を解読するために、考えられる全てのパターンを一つずつ試す、非常に原始的かつ強力な手法です。
身近な例え 🔓
あなたが、ダイヤル式ロックの3桁の暗証番号を忘れてしまったとします。「000」「001」「002」…と順番に試し、いつかは必ず開く「999」まで回し続けるのがブルートフォース攻撃です。
これに対し、よく使われそうな「123」や「777」などから試すのが辞書攻撃です。
対策
この攻撃への対策は、「試せる回数を制限する」か「パターンの総数を天文学的に増やす」かのどちらかです。
- アカウントロック: 一定回数以上ログインに失敗したアカウントを、一時的に利用できなくする。
- 複雑なパスワード: パスワードの桁数を増やし、英大文字・小文字・数字・記号を混ぜることで、試すべきパターンの総数を爆発的に増やす。
サイドチャネル攻撃:物理的な漏洩情報から秘密を盗む
サイドチャネル(Side Channel)攻撃は、暗号処理を行うCPUなどのハードウェアから意図せず漏洩する物理的な情報(サイドチャネル情報)を観測・分析し、内部の秘密情報(暗号鍵など)を推測する高度な攻撃です。
身近な例え 👂
金庫破りの名人が、金庫のダイヤルを回しながら、聴診器で内部の部品が噛み合う「カチッ」という微かな音を聞き分けて番号を特定するシーンを想像してください。金庫の設計(暗号アルゴリズム)を直接破るのではなく、その物理的な動作(消費電力や処理時間など)から秘密を盗み出すのがサイドチャネル攻撃です。
| 電力消費: 処理内容によってCPUの消費電力は微妙に変化する。 |
| 処理時間: 特定のデータや鍵を扱う場合、処理にかかる時間がわずかに変わることがある。 |
| 電磁波: 動作中の電子回路からは微弱な電磁波が漏洩する。 |
この攻撃は、ICカードやIoT機器など、攻撃者が物理的にアクセスしやすいデバイスに対して特に脅威となります。
インシデント対応の司令塔│CSIRTの役割と対応プロセス
どんなに堅牢な防御を固めても、インシデント(セキュリティ侵害事案)の発生をゼロにすることはできません。そのため、インシデントが発生することを前提に、その被害を最小限に抑え、迅速に復旧するための体制と手順を整備しておくことが極めて重要です。その中核を担うのがCSIRT(Computer Security Incident Response Team)です。
CSIRTとは?
CSIRT(シーサート)は、インシデント発生時に、その対応の司令塔となる専門組織です。技術的な調査だけでなく、経営層への報告、法務部門との連携、外部への情報公開(プレスリリースなど)まで、組織を横断した調整役を担います。
身近な例え 🚑
CSIRTは、病院の救急救命室(ER)チームのような存在です。
交通事故(インシデント)が発生した際、外科医(技術担当)、看護師(情報収集担当)、事務員(関係各所への連絡担当)が連携して、患者(組織)の被害を最小限に食い止め、社会復帰(正常な事業活動)を目指します。彼らは、日頃から訓練(準備)を積み、いざという時に定められた手順(対応プロセス)に従って行動します。
インシデント対応のライフサイクル
CSIRTの活動は、世界的な標準モデル(NISTの例)に沿って、以下のフェーズで進められます。試験でもこの一連の流れが問われます。
| フェーズ | 主な活動 |
|---|---|
| 1. 準備 (Preparation) | インシデント発生前に行う活動。対応計画の策定、チームの編成、ツールの導入、訓練の実施など。 |
| 2. 検知と分析 (Detection & Analysis) | 各種ログやアラートからインシデントの兆候を検知し、攻撃の影響範囲や深刻度を分析・評価する。 |
| 3. 封じ込め、根絶、復旧 (Containment, Eradication & Recovery) | 攻撃の拡大を防ぎ(封じ込め)、原因を根本から排除し(根絶)、システムを正常な状態に戻す(復旧)。 |
| 4. 事後対応 (Post-Incident Activity) | インシデント対応の全記録をまとめ、原因を分析し、再発防止策を検討・導入する。「教訓」を次に活かすフェーズ。 |
午後試験では、「インシデントを発見した直後に行うべきことは何か?」といった問題が出題されます。答えは「封じ込め」です。被害拡大の防止が最優先される、という原則を覚えておきましょう。
証拠を保全・分析するデジタルフォレンジックスの基本
インシデント対応において、「何が起きたのか」を法的な証拠能力をもって解明する活動がデジタルフォレンジックスです。CSIRTの活動の中でも、特に技術的な原因調査を担う重要なプロセスです。
フォレンジックスとは?
デジタルフォレンジックスは、PCやサーバのディスク、メモリなどに残された電磁的記録を収集・分析し、インシデントの原因や被害の実態を明らかにする一連の科学的調査手法を指します。
身近な例え 🔬
これは、警察の科学捜査(CSI)に相当します。
事件現場(インシデント発生サーバ)に到着した捜査官(フォレンジック担当者)は、現場を荒らさないよう細心の注意を払います。指紋(ログ)や血痕(不正なファイル)といった証拠を、特殊な手順で収集・保管し、後から「いつ、誰が、何をしたか」を法廷で証明できるようにします。
フォレンジックスの2大原則
1. 証拠保全と完全性(インテグリティー)の確保
調査によって元の証拠が変化・消失してしまっては、法的な証拠能力が失われます。そのため、調査は必ず元の記録媒体の完全な複製(フォレンジックイメージ)に対して行います。
そして、原本と複製の同一性を証明するためにハッシュ値を用います。原本と複製のハッシュ値が一致していれば、その複製は寸分違わぬコピーであると証明できます。
2. 揮発性の高い順からの証拠収集
PC内のデータは、電源を切ると消えてしまうものから、残り続けるものまで様々です。証拠を失わないために、消えやすいもの(揮発性が高いもの)から順番に収集するのが鉄則です。
| 収集順 | データ | 揮発性 |
|---|---|---|
| 1 | メモリ(RAM)の内容、実行中のプロセス | 高(電源OFFで消える) |
| 2 | ネットワーク接続の状態 | 高(時間経過で変化) |
| 3 | ハードディスク、SSDの内容 | 低(電源OFFでも残る) |
午後試験では、インシデント調査の手順の妥当性を問う問題で、この「揮発性の原則」が理解できているかが試されます。「調査のためにサーバの電源をすぐに落とした」という記述があれば、それはメモリ上の重要な証拠を消してしまう不適切な手順であると判断できます。
まとめ:攻撃手法を理解し、適切なインシデント対応へ繋げる
本記事では、代表的なサイバー攻撃の手法と、それらに対処するためのインシデント対応の枠組みについて解説してきました。
情報を狙うAPT、サービスを妨害するDDoS、認証を破るブルートフォースといった攻撃手法。そして、それらのインシデントに対応する専門チームCSIRTと、その活動を支える科学的調査手法デジタルフォレンジックス。
これらの知識を学ぶ上で最も重要なことは、「攻撃の特性が、対応方法を決定する」という視点です。
- APTのように潜伏する攻撃が疑われる場合、フォレンジックスによる広範囲で詳細な調査が不可欠です。
- DDoSのように大量のトラフィックが押し寄せる攻撃には、封じ込めの段階で外部のDDoS緩和サービスとの連携が求められます。
- ブルートフォースでパスワードが破られた場合は、根絶の段階で該当アカウントのパスワード強制リセットといった対応が必要になります。
攻撃と対応の関連付け
| 攻撃の種類 | インシデント対応における主な着眼点 |
|---|---|
| APT | 長期間にわたるログの相関分析、潜伏しているマルウェアの完全な根絶 |
| DDoS攻撃 | 迅速なトラフィックの迂回・洗浄による封じ込め |
| ブルートフォース攻撃 | 破られた認証情報の無効化と、事後対応としてのパスワードポリシー強化 |
情報処理安全確保支援士の午後試験では、提示されたインシデントの状況から、適切な攻撃手法を特定し、それに応じた「次の一手」を記述させる問題が頻出します。
本記事で解説した攻撃手法の知識とインシデント対応のライフサイクルを結びつけ、様々なシナリオに対応できる応用力を身につけましょう。