Written by WizLANSCOPE編集部
目 次
踏み台攻撃とは、攻撃者が企業・組織のPCやサーバーなどを乗っ取り、そこを経由して、他のシステムやネットワークに攻撃を仕掛ける手法です。
自社のPCやサーバーがサイバー攻撃の踏み台として利用された場合、意図していなかったとしても、攻撃に加担したとみなされる可能性があります。
その結果、企業の社会的信頼の低下や取引先への影響につながるほか、場合によっては捜査の対象となるなど、深刻な問題に発展する恐れもあります。
本記事では踏み台攻撃の手口や被害事例、有効な対策について解説します。
▼本記事でわかること
- 踏み台攻撃の仕組みや目的
- 踏み台攻撃の手口
- 踏み台攻撃によるリスク
- 踏み台攻撃への対策
「自社のPCやサーバーなどが踏み台に利用されるとどのようなリスクがあるのか」「どういった対策を行えばよいのか」などを知りたい方はぜひご一読ください。
踏み台攻撃とは
踏み台攻撃とは、攻撃者が企業・組織のPCやサーバーなどを乗っ取り、そこを経由して、別のターゲットへ攻撃を仕掛けるサイバー攻撃の手法です。
攻撃者は、IDやパスワードを盗み取ったり、マルウェアに感染させたりすることで、PCやサーバーのアカウントを不正に利用し、外部への攻撃を実行します。
踏み台攻撃の厄介な点として、攻撃を仕掛けるのが攻撃者本人ではなく、乗っ取られたPCやサーバーである点が挙げられます。
この仕組みにより、攻撃の発信元は踏み台となった企業側の機器となり、真の攻撃者を特定することが難しいという特徴があります。
踏み台攻撃の仕組み
攻撃者は、ターゲットへ攻撃を行う前に、まず踏み台として利用できそうなPCやサーバーを探し出し、不正に侵入します。
その後、遠隔操作が可能になるマルウェアをデバイスに感染させます。
マルウェアに感染すると、感染したデバイスは自動的に「C&Cサーバー」と呼ばれる指令サーバーへと接続されます。
このサーバーは、感染したデバイスを遠隔操作するための拠点となります。
攻撃者はC&Cサーバーを通じて、踏み台となったPCやサーバーを不正に操作し、そこから別のターゲットに対して攻撃を実行します。
踏み台攻撃の目的
踏み台攻撃の目的としては、主に次のような内容が挙げられます。
- 攻撃者の身元を特定できないようにするため
- サプライチェーン攻撃の足がかりにするため
- 大規模攻撃を仕掛けるため
詳しく確認していきましょう。
攻撃者の身元を特定できないようにする
踏み台攻撃の主な目的は、攻撃者の身元を隠すことにあります。
踏み台攻撃では、攻撃者自身のPCから直接攻撃を行うのではなく、乗っ取った第三者のPCやサーバーなどを経由して攻撃を実行します。
この仕組みにより、攻撃の痕跡は踏み出しとして利用された第三者のPCやサーバーに残るため、実際に攻撃を仕掛けた攻撃者を特定することが困難になります。
サプライチェーン攻撃の足がかりにする
サプライチェーン攻撃とは、セキュリティレベルの高い標的企業に侵入するために、取引先や関連会社など、サプライチェーンの中でも比較的セキュリティレベルの低い組織を踏み台として悪用するサイバー攻撃です。
中小企業などは、大企業と比べてセキュリティ対策に十分な予算や人材を確保することが難しく、結果として対策が不十分なケースも少なくありません。
攻撃者は、このようなサプライチェーン上の弱点を狙って侵入し、最終的には本来の標的である大企業への侵入を試みます。
このような攻撃の過程において、踏み台攻撃が足がかりとして利用されることがあります。
大規模攻撃を仕掛ける
踏み台攻撃は、大規模な攻撃を実行するためにも利用されます。
大規模攻撃の代表例として「DDoS攻撃」が挙げられます。
DDoS攻撃とは、複数のデバイスから攻撃対象のサーバーやネットワークに対して大量のパケットを送信し、過剰な負荷をかけることで、サービスの停止やアクセス困難な状態を引き起こすサイバー攻撃です。
攻撃者は、第三者のPCやサーバーを踏み台として利用し、数百から数千台規模のデバイスから同時に攻撃を実行します。
また、踏み台攻撃は大量のスパムメールを送信する目的でも利用されることがあります。
攻撃者は、何らかの方法でメールアカウントのIDやパスワードを窃取し、アカウントを乗っ取ったうえで、そこからスパムメールを大量に送信します。
もし自社がスパムメール送信の踏み台として悪用された場合、意図せず詐欺メールの拡散に加担してしまう可能性があります。
その結果、被害の拡大だけでなく、スパムメールの送信元として企業の社会的信頼を損なうリスクも考えられます。
踏み台攻撃がもたらすリスクについて、詳細は後述します。
踏み台攻撃の手口
攻撃者は踏み台攻撃を仕掛けるために、以下のような手口を使って、PCやサーバーなどへの侵入を図ります。
- ID・パスワードの窃取
- マルウェア感染
具体的な手口を理解し、対策の強化に役立てましょう。
ID・パスワードの窃取
攻撃者は、認証情報を窃取することでPCやサーバーを乗っ取り、踏み台として利用しようとします。
認証情報を盗み取る手法としては、「ソーシャルエンジニアリング」や「フィッシング詐欺」などが挙げられます。
ソーシャルエンジニアリングとは、システムの脆弱性ではなく、人の心理的な隙や行動を利用して情報を盗み取る攻撃手法です。
例えば、ユーザーがログイン操作をしている際に、PCやスマートフォンの画面を背後から盗み見て、IDやパスワードを不正に取得する行為などが該当します。
そのため、カフェやコワーキングスペース、公共施設などでPCを開く機会が多い場合は、特に注意が必要です。
また、偽のメールや正規サイトと酷似したWebサイトを作成し、ユーザーを偽サイトへ誘導して、ログイン情報の入力を促す「フィッシング詐欺」にも注意が必要です。
近年はAI技術の発展により、フィッシングメールの文章はより自然なものになっており、偽のサイトも本物と見分けがつきにくいほど精巧に作られるケースが増えています。
そのため、企業・組織は技術的な対策だけでなく、従業員のセキュリティ意識を向上させるための教育や啓発など、組織的な対策も求められています。
マルウェアに感染させて乗っ取る
PCやサーバーを乗っ取る手口として、マルウェア感染を利用するケースもあります。
攻撃者はまず、踏み台として利用できそうな企業を探し出し、不正に侵入します。
その後、遠隔操作を可能にするマルウェアをデバイスに感染させます。
このマルウェアに感染すると、攻撃者は遠隔から乗っ取ったPCやサーバーを操作し、他のシステムに対して攻撃を実行できるようになります。
このような遠隔操作は基本的にバックグラウンドで行われるため、踏み台として悪用されていることに長期間気付けないケースも少なくありません。
踏み台攻撃のリスク
自社のPCやサーバーが踏み台として攻撃者に悪用された場合、次のようなリスクが生じる可能性があります。
- 社会的信用が低下するリスク
- 捜査対象として疑われるリスク
詳しく確認していきましょう。
社会的信用が低下するリスク
万が一自社のシステムがサイバー攻撃の踏み台として悪用されると、企業や組織の社会的信用が大きく損なわれる可能性があります。
たとえ意図的にサイバー攻撃へ加担したわけではなくとも、セキュリティの脆弱性や管理体制の不備が明らかになるため、「セキュリティ対策を講じていなかった企業」「情報漏洩を発生させた企業」とみなされる恐れがあります。
その結果、顧客や取引先からの信頼低下につながる可能性があります。
捜査対象として疑われるリスク
踏み台攻撃では、攻撃者は自身のPCを直接使うのではなく、第三者のPCやサーバーなどに不正アクセスし、それを経由して攻撃を行います。
そのため、攻撃に関する捜査が行われる際には、踏み台として悪用されたPCやサーバーのIPアドレスが発信元として確認されることになります。
この情報をもとに調査が進められると、本来の攻撃者ではなかったとしても、悪用された企業や組織が捜査対象として疑われる可能性があります。
踏み台攻撃の被害事例
実際に発生した、踏み台攻撃の被害事例を2つ紹介します。
スパムメールの踏み台として悪用された事例
駅ビル複合施設などを展開するある企業のメールアカウントが、不正アクセスを受け、踏み台として悪用された事例があります。
当該企業によると、利害関係者への連絡に利用していたメールアカウントの一つが不正アクセスを受け、攻撃者がスパムメールを送信するための踏み台として利用されてしまったとのことです。
幸いにも同社の運営する施設への影響は確認されませんでしたが、本件を受けて同社は速やかにパスワードを変更するとともに、セキュリティ対策を強化し、再発防止に努める方針を発表しました。
DDoS攻撃の踏み台として悪用された事例
アメリカでは、IoT機器を狙ったマルウェア「Mirai」を利用した大規模なDDoS攻撃が発生した事例があります。
この事例では、Miraiに感染した大量のIoT機器が遠隔操作され、DNSサーバーを提供する企業のサーバーに対して、一斉にアクセスが行われました。
遠隔操作されたIoT機器は38万台以上におよび、サーバーに膨大な負荷がかかったことで、サービスが一時的に利用できなくなる事態が発生しました。
このDDoS攻撃が影響し、XやPinterest、PayPalなど、多くの著名なオンラインサービスが一時的に利用できなくなるなど、大規模な障害が発生したことが報告されています。
踏み台攻撃への対策
最後に、自社がサイバー攻撃の踏み台として悪用されないための対策を5つ紹介します。
| ログの取得・保管 | ・自社が攻撃者ではないことを証明するために、少なくとも90日以上のログを取得し、保管する |
|---|---|
| 認証の強化 | ・多要素認証を導入し、万が一パスワードが盗まれた場合でも、不正アクセスのリスクを低減する |
| アンチウイルスソフトの導入 | ・高性能なアンチウイルスソフトを導入することで、マルウェア感染を防止する |
| 不正アクセス検知システムの導入 | ・侵入を許した場合でも、早期に異常を検知できるよう、IDSやIPS、NDRなどの不正アクセス検知システムを導入する |
| 従業員への情報セキュリティ教育の実施 | ・定期的なセキュリティ教育を実施することで、従業員のセキュリティ意識を高める |
これらの対策は、踏み台攻撃はもちろん、そのほかのサイバー攻撃への対策にもなる基本的かつ重要なセキュリティ対策です。
自社がサイバー攻撃の踏み台として利用されることを防ぐために、各対策について詳しく確認していきましょう。
ログの取得・保管
自社のPCやサーバーなどが踏み台として利用された場合、攻撃者ではないことを証明するためには、アクセス元やIPアドレスなどが確認できるログの取得が欠かせません。
特に、「自社が踏み台攻撃の被害を受けたことを示す記録」や「自社のPCやサーバーなどが踏み台として、第三者への攻撃に利用されたことを示す記録」は、状況を正確に把握するうえで重要な証拠となります。
また、ログの保管期間が短いと、調査の際に必要なデータが不足し、適切な対応ができない可能性があります。
そのため、ログは少なくとも90日以上保管することが推奨されています。
認証の強化
手口の部分でも説明したように、攻撃者はID・パスワードを窃取し、それを悪用してPCやサーバーなどへ不正に侵入します。
そのため、「12345」や「password01」のように簡単に推測できるパスワードを使用している場合は、アカウント乗っ取りの危険性が高まります。
こうした不正アクセスを防ぐためには、多要素認証(MFA)などの導入で、認証の仕組み自体を強化することが欠かせません。
多要素認証とは、ユーザーの身元を確認するために、「知識情報」「所持情報」「生体情報」のうち、2つ以上の要素を組み合わせるセキュリティ手法です。
| 知識情報 | パスワードなどの特定のユーザーのみが知っている情報 |
|---|---|
| 所持情報 | スマートフォンやICカードなど利用者本人が所持している情報 |
| 生体情報 | 指紋や静脈、顔、虹彩など、本人固有の身体情報 |
多要素認証を導入することで、仮にパスワードが盗まれた場合でも、追加の認証が必要となるため、不正ログインのリスクを大幅に低減できます。
アンチウイルスソフトの導入
手口部分で解説した通り、攻撃者はマルウェアに感染させることでPCやサーバーなどを遠隔操作し、踏み台として悪用します。
そのため、アンチウイルスソフトを導入し、マルウェア感染を防ぐことも有効な対策の一つです。
しかし、マルウェアは日々新しいものが作られているため、既知のマルウェアだけでなく、未知のマルウェアにも対応できる高性能なアンチウイルスソフトを導入することが推奨されます。
不正アクセス検知システムの導入
万が一攻撃者による不正アクセスが発生した場合に備え、いち早く異常を検知できるセキュリティシステムを導入しておくことも重要です。
不正アクセスの検知に活用される代表的なセキュリティツールとして、次のようなものがあります。
| 名称 | 機能 |
|---|---|
| IDS(不正侵入検知システム) | ネットワーク上で発生した不正なアクセスや攻撃を検知し、管理者に通知する |
| IPS(不正侵入防御システム) | ネットワーク上で発生する不正なアクセスや攻撃を検知し、自動で遮断・防御を実施する |
| NDR | ネットワーク全体を監視し、高度な脅威を検知・分析・対応する |
従業員への情報セキュリティ教育の実施
技術的な対策だけでなく、従業員のセキュリティ意識を高めることも、踏み台攻撃を防ぐために欠かせない要素です。
情報セキュリティ教育を定期的に実施し、踏み台攻撃の手口やリスクなどを従業員へ共有しましょう。
また、踏み台攻撃につながる可能性のある行為について注意喚起を行うことも重要です。
例えば、次のような行動には注意が必要です。
- 簡単に推測できるパスワードの設定
- 不審なメールの開封
- アカウントにログインしたまま席を離れる
どれだけ高精度なセキュリティツールを導入しても、従業員のセキュリティ意識が低いままでは、不正アクセスのリスクを十分に低減することはできません。
技術的対策と組織的対策の両面から、バランスよく取り組むことが重要です。
踏み台攻撃への対策なら「LANSCOPEサイバープロテクション」
踏み台攻撃への対策としては、マルウェアによる遠隔操作を防ぐことが重要です。
そのためには、未知の脅威にも対応できる「高精度なアンチウイルス」の導入が欠かせません。
「LANSCOPE サイバープロテクション」では未知・亜種のマルウェアであっても、速やかに検知・ブロックする、2種類のAIアンチウイルスを提供しています。
▼2種類のアンチウイルスソリューション
- 専門家が24時間365日監視するMDR「Aurora Managed Endpoint Defense」
- 各種ファイル・デバイスに対策できる次世代型アンチウイルス「Deep Instinct」
専門家が24時間365日監視するMDR「Aurora Managed Endpoint Defense」
「LANSCOPE サイバープロテクション」では、EDRのマネージドサービス「Aurora Managed Endpoint Defense」を提供しています。
「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。
高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。
「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。
- 脅威の侵入をブロックするAIアンチウイルス「Aurora Protect」
- 侵入後の脅威を検知し対処するEDR「Aurora Focus」
セキュリティのスペシャリストが徹底したアラート管理を行うため、お客様にとって本当に必要なアラートのみを厳選して通知することが可能になり、不要なアラートに対応する必要がなくなります。
また、緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。
「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。
各種ファイル・デバイスに対策できる次世代型アンチウイルス「Deep Instinct」
「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。
下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99%以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。
「Deep Instinct」は、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。
※Unit221B社調べ
マルウェアに感染したかも……事後対応なら「インシデント対応パッケージ」
「マルウェアに感染したかもしれない」「サイトに不正ログインされた痕跡がある」など、「サイバー攻撃を受けた後」に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
「LANSCOPE サイバープロテクション」のインシデント対応パッケージは、フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定します。
また、マルウェアや脅威の封じ込めから復旧支援、さらに今後の対策に関するアドバイスまでを提供します。
インシデント対応パッケージについて詳しく知りたい方は、下記のページをご確認ください。
まとめ
本記事では「踏み台攻撃」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- 踏み台攻撃とは、攻撃者が企業・組織のPCやサーバーなどを乗っ取り、そこを経由して、別のターゲットへ攻撃を仕掛けるサイバー攻撃の手法
- 攻撃者が踏み台攻撃を行う目的として、「身元を特定されないようにする」「サプライチェーン攻撃の足がかりにする」「大規模攻撃を実行する」などが挙げられる
- 踏み台攻撃の主な手口としては「ID・パスワードを窃取してアカウントを乗っ取る」「マルウェアに感染させて遠隔操作する」などが挙げられる
- 踏み台攻撃への対策としては、「認証強化」や「アンチウイルスソフトの導入」といった技術的対策に加え、「従業員への情報セキュリティ教育の実施」といった組織的対策も重要
万が一自社がサイバー攻撃の踏み台として悪用された場合、社会的信用の低下や捜査対象として疑われるリスクなど、深刻な影響が生じる可能性があります。
そのため企業・組織は、自社のPCやサーバーなどが踏み台として悪用されないよう、多要素認証の設定やアンチウイルスソフトの利用など、日頃からセキュリティ対策を徹底することが重要です。
また「LANSCOPE サイバープロテクション」では、凶悪なマルウェアを速やかに検知・ブロックする、2種類のAIアンチウイルスを提供しています。
踏み台攻撃への対策として、強力なアンチウイルスを導入したいとお考えの方は、ぜひご検討ください。
おすすめ記事
