サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 用語・国際規格 踏み台攻撃|セキュリティ用語解説

踏み台攻撃|セキュリティ用語解説

踏み台攻撃|セキュリティ用語解説
目次
  • 踏み台攻撃の概要
  • 攻撃者が踏み台を必要とする代表的な目的とその対策
  • 踏み台とならないためのセキュリティ対策

踏み台攻撃の概要

踏み台攻撃の「踏み台」とは?
脆弱性のあるサーバや端末を第三者が乗っ取り、他のサーバや端末、ネットワークへの攻撃に利用することを「踏み台攻撃」と呼び、この時、乗っ取られたサーバや端末を「踏み台」と呼びます。また、踏み台となるサーバや端末に指示を送るサーバを「C&Cサーバ」(command and control server, 指令・統制サーバ)と呼びます。
個人ブログのような機密情報を取り扱っていないサーバや個人所有のノートPCであっても、攻撃者に乗っ取られ、踏み台として攻撃に加担させられるリスクがあるため、セキュリティ対策が必要です。
踏み台攻撃の影響
サーバや端末が踏み台攻撃に利用されてしまうと、所有者の知らず知らずの内に様々なサイバー攻撃に加担してしまいます。また、サイバー攻撃を受けたサーバからは踏み台のIPから攻撃を受けたように見えるため、自身が攻撃者だと疑われ、最悪の場合には誤認逮捕に発展する恐れもあります。また、企業のコンピュータから踏み台攻撃が行われた場合、セキュリティ対策の不備ということで、社会的信用の失墜にもつながります。

攻撃者が踏み台を必要とする代表的な目的とその対策

攻撃者が踏み台を必要とする代表的な目的は以下のようになります。

攻撃者の身元の隠ぺい目的

攻撃者が標的のサーバを直接攻撃した場合、攻撃者のIPが記録されますが、踏み台端末を経由した場合、踏み台のIPが記録されます。このため捜査の目を踏み台端末の所有者に向けることができます。また、攻撃者は、複数の踏み台を経由したり、踏み台端末上のログを改ざんするなどして追跡から逃れる場合もあります。

DDoS攻撃(Distributed Denial of Service attack, 分散型サービス拒否攻撃)目的

標的となるサーバに大量のパケットを送り付けサービス停止に追い込む攻撃をDoS攻撃といいます。このDoS攻撃を大量のコンピュータから一斉に送信することでより大規模な攻撃を行う攻撃をDDoSと呼びます。攻撃者がDDoS攻撃を行う場合、C&Cサーバから大量に用意した踏み台サーバに攻撃命令のコマンドを送ります。踏み台として利用されるコンピュータは所有者の知らず知らずの内にDDoS攻撃に加担することになります。

サプライチェーン攻撃目的

攻撃者が標的とする企業を直接攻撃するのが困難な場合、予算が少なくセキュリティ対策が不十分な中小企業等の取引先を踏み台とし、標的とする企業に攻撃を行うことがあります。この攻撃をサプライチェーン攻撃と呼びます。万が一踏み台として利用されてしまった場合には、取引先の信用を失い、最悪の場合、訴訟や取引停止にもなりかねません。このように、取引先への踏み台として利用されてしまうことがあるため、直接の標的とはなりにくい中小企業等であっても、十分なセキュリティ対策を行わなければなりません

踏み台とならないためのセキュリティ対策

攻撃者は様々な経路であなたのサーバや端末の乗っ取りを図ります。

攻撃例

  • メールや水飲み場攻撃によってマルウェアに感染させる。
  • アプリケーションやサービスの既知の脆弱性を利用する。
  • SSH等のリモート操作用のプログラムに総当たり攻撃等を試み、不正アクセスを行う。

これらの攻撃には、次のような対策を行うことが重要です。

対策例

  • メールやWeb閲覧の取り扱いポリシーの策定
  • ウイルス対策ソフトの導入
  • 常にソフトウェアを最新版にアップデートしておく

さらに、公開サーバの場合には次のような対策も必要です。

対策例~公開サーバの場合~

  • 不要なサービスを公開しない。
  • 公開するWebアプリケーション等のプログラムに与える権限を最小にする。
  • 管理用のサービス(SSH等)にはIP制限を設定する

これらの対策は、Webアプリケーション診断、プラットフォーム診断、クラウド診断を実施ることで、脆弱性を洗い出し、事前に対策をとることができます。 また、UTM等のセキュリティ製品を導入し、ネットワークから送信される通信を監視することで、実際にサーバや端末が乗っ取られてしまった際、踏み台からの攻撃を抑制したり、乗っ取りを検出することができます。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 小貫 聖方

高専にてメカトロニクス、大学にて情報を学び地元札幌にUターン。地方SIerにて調剤薬局向けシステムの開発にシステムアーキテクトとして7年従事。2021年より株式会社SHIFT SECURITYに入社。セキュリティ1年生。趣味はPCゲーム、楽器演奏。最近スノーボードを始めた。

\ 記事をシェアする /

サービスに関する
お問い合わせ