Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型攻撃に狙われやすい設計運用における10の落とし穴 - IPAまとめ

情報処理推進機構(IPA)は、標的型攻撃で狙われやすいシステム上の弱点について、実情と対策をまとめた「攻撃者に狙われる設計・運用上の弱点についてのレポート」を公開した。

20140328_ip_001.jpg
攻撃者に狙われる設計・運用上の弱点についてのレポート

同資料は、標的型攻撃を受けた機関に対してヒアリング調査を実施し、悪用されやすいシステムの設計や運用上の弱点について対策などをまとめたレポート。システムの発注者や設計者、運用管理者、セキュリティ担当者などを対象としている。

実際に攻撃にあった組織の情報システムは、利便性や運用上の効率を優先した設計となっており、攻撃者の狙い目となっていると指摘。1度内部への侵入を許すと、脆弱性対策やウイルス対策の効果は期待できず、被害が拡大するとして資料をまとめた。

同レポートでは、「設計上・運用上の弱点を生む10の落とし穴」として、意外な弱点となっているシステム設定例を10項目挙げて対策などを説明。攻撃準備から初期潜入、内部侵入など攻撃の各段階にあわせて、攻撃を防御するためのセキュリティ機器なども紹介している。

10の落とし穴として紹介されているセキュリティ上の課題は以下のとおり。

  • 通常業務とサーバメンテナンス用の端末が同一
  • ネットワークセグメントごとのアクセス制御の未実施
  • 可用性を重視するファイル共有サービス
  • 初期キッティングで配布される共通のローカル管理者権限
  • 活用できていないWindowsセキュリティログ
  • パッチ配布に利用される「Domain Admin」
  • ファイアウォールにおけるフィルタリングルールの形骸化
  • 認証プロキシにおけるログ分析の未活用
  • 制限されていないHTTP、HTTPS接続
  • 放置される長時間のhttpセッション

(Security NEXT - 2014/03/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

サイトに不正アクセス、相談者のメアド2.6万件流出か - JETRO
国内に多数のアノニマスFTP - うっかり情報公開に注意を
【Hacking Team問題】流出判明以前に日本へゼロデイ攻撃 - 内偵ツール利用か
石油連盟のマルウェア感染、資料などが外部流出
メール開封でマルウェア感染、個人情報が流出か - 東京商工会議所
標的型攻撃でマルウェア感染、個人情報が流出 - JETRO
JAXA職員の端末がウイルス感染 - 「イプシロンロケット」情報が漏洩したおそれ
JAXA、標的型攻撃の調査結果公表 - 機微情報は漏洩せず
国際協力銀行のPCがウイルス感染 - 流出情報が標的型攻撃に悪用される
原子力関連の機密情報を否定 - 三菱重工