Shikata Ga Nai

Private? There is no such things.

第21回:脅威と攻撃の種類とは?(APT・フィッシングなど)

Bug Bounty

Hello there, ('ω')ノ

1. まずは“脅威マップ”を俯瞰しよう

カテゴリ 代表例 ざっくり特徴
組織的攻撃 APT(高度標的型攻撃) 長期潜伏・国家/高度な犯罪組織が背後
金銭目的 フィッシング/ランサムウェア 被害者をだまして口座・暗号資産を奪う
サービス妨害 DDoS/Brute force 可用性を破壊、ブランド失墜を狙う
技術的脆弱性悪用 コードインジェクション/ゼロデイ ソフトや設定の隙を突く“技術勝負”
人的・心理操作 ソーシャルエンジニアリング 人間のミスや善意を攻撃ベクトルに

2. APT(Advanced Persistent Threat)

“忍者型”攻撃:静かに入り込み、長期潜伏して機密を奪う

  • 特徴:複数段階(偵察→侵入→権限昇格→横展開→窃取)のシナリオを数か月〜年単位で実行
  • 事例:SolarWinds事件(2020)— サプライチェーンを汚染し世界1.8万社に侵入

  • 対策のポイント

    • エンドポイント監視(EDR)で異常プロセスを早期検知
    • 権限分離・ゼロトラストで“横展開”を阻止
    • ログ相関分析で長期パターンを可視化

3. フィッシング & スピアフィッシング

“偽装メール”で ID・パスワードを奪う王道手口

区別 範囲
フィッシング 無差別・大量送信 銀行や宅配を装ったメール
スピアフィッシング 個人・部署を狙い撃ち 「経理部長への請求書ご確認メール」
  • 最近の潮流:添付 PDF 内のQRコード、Teams/Slackダイレクトメッセージ型

  • 社員教育の勘所

    1. メールヘッダー・送信ドメインのチェック
    2. リンク先 URL ホバー確認
    3. 「急いで」「至急」は一度深呼吸

4. ランサムウェア

“人質ビジネス”:データを暗号化し、復旧キーの対価に身代金を要求

  • 二重脅迫:暗号化+流出公開を盾に追加請求
  • 主要感染経路:リモートデスクトップ(RDP)の弱パス/未パッチVPN/フィッシング

  • 備えるべき3本柱

    • オフラインバックアップ
    • パッチ適用の徹底
    • インシデント対応手順のリハーサル

5. DDoS(分散サービス妨害)

“交通渋滞”攻撃:大量アクセスでWebやAPIを機能停止へ

  • 最近の手口:IoTマルウェア(Mirai系)で数十 Tbps規模のトラフィックを生成

  • 対策

    • CDN・WAF でトラフィックを分散
    • レートリミット/CAPTCHA
    • ISP とのブラックホールルーティング契約

6. コードインジェクション(SQLi / XSS / RCE など)

“プログラムにプログラムを注入”して想定外の動きをさせる

攻撃名 主なターゲット 破壊力
SQLインジェクション DBサーバー 読み書き自由/アカウント乗っ取り
XSS ユーザブラウザ Cookie窃取/偽フォーム表示
RCE アプリサーバー サーバー完全乗っ取り
  • 0day(ゼロデイ):ベンダーも知らない“初見”脆弱性。パッチが出る前が勝負。
  • 対策キーワード:入力値バリデーション、プリペアドステートメント、WAF 署名更新。

7. ブルートフォース(Brute Force)&クレデンシャルスタッフィング

“力技”パスワード破り

  • ブルートフォース:全組み合わせ総当り
  • スタッフィング:漏えい済みID/PWリストでログインテスト
  • MFA(多要素認証)・アカウントロックアウトで難易度激増

8. ソーシャルエンジニアリング

“人の心”が最大の脆弱性

内容 対抗策
ショルダーハッキング 後ろからパスワード覗き見 プライバシーフィルム
テールゲーティング 社員の後ろに続いて入館 入退館ゲートでの通過人数一致確認
サポート詐称 電話でパスワード再設定を誘導 本人確認フローの標準化

9. 攻撃チェーンに当てはめて考える

Recon → Initial Access(フィッシング等)
      → Execution / Persistence(マルウェア)
      → Privilege Escalation → Lateral Movement(APT)
      → Impact(ランサム/情報漏えい)
  • MITRE ATT&CK テーブルで位置づけを学ぶと全体が俯瞰しやすい。

まとめ:脅威を“構造”で捉えよう

  1. 目的(金銭・情報・破壊)
  2. 経路(メール・Web・物理)
  3. 技術 or 人的 どちら重視か

この3軸で見ると、対策の優先順位が整理できます。 バグバウンティで役立つ視点は「技術的脆弱性がどの脅威に繋がるか」を想像する力。 攻撃者の全体像を理解し、ピンポイントで“隙”を突けるハンターを目指しましょう!

Best regards, (^^ゞ