標的型攻撃や内部犯行で悪用される特権ID。
その管理徹底がセキュリティ確保の第一歩

お役立ち
2020.05.08

システム内でのあらゆる操作が可能な特権ID。これに加えて「匿名性」も大きなリスクに

近年はサイバー攻撃が多様化しており、使われる手法も高度化しています。なかでも特定の企業や組織を執拗に狙う「標的型攻撃」は、最も大きな脅威をもたらす攻撃の1つだと言えるでしょう。では標的型攻撃を仕掛ける攻撃者が、最初に行うことは何なのでしょうか。それは「特権ID(特権ユーザーのアカウント)」の取得です。

特権IDとはシステムの中で「特別な権限を有するID」のことであり、Windowsであれば「Administrator」、UNIXやLinuxであれば「root」がこれに相当します。またこれらの特権ユーザーだけではなく、特権を持つグループに属するユーザーのIDも、特権IDだと考えるべきです。

特権IDが設定されているのはオペレーティングシステム(OS)だけではありません。データベースシステムでもOracleには「sys」、SQL Serverには「sa」という特権IDが用意されています。さらにクラウドサービスにも管理権限をもった特権ユーザーが存在します。

なぜ攻撃者が特権IDを狙うのかは明白です。このIDを取得してしまえば、そのシステム内であらゆることが可能になるからです。例えばOSの特権IDを取得できれば、そのコンピューター内のすべてのファイルの読み出しや改ざんができ、不正アプリケーションの導入や、システムの停止・破壊も行えます。またデータベースシステムの特権IDがあれば、そのデータベースに格納されたデータをすべて見ることができるのはもちろんのこと、データの削除や改変、テーブルやデータベースの削除なども行えます。

さらに恐ろしいのは、特権IDがあればこれらの操作を行った後で、ログファイルの削除や改変も可能なことです。つまり情報を盗み出したり、システムに変更を加えた後に、その痕跡を消去することもできるのです。

特権IDを悪用する可能性があるのは、外部の攻撃者だけではありません。組織内のユーザーがこれを悪用し、情報漏えいにつながった事案も数多く存在します。特権IDの不正利用を防止することは、セキュリティ確保の大前提なのです。しかしOSやデータベースシステム等をそのままの状態で運用しているのでは、これを実現することは困難です。特権IDに内在する危険性は「あらゆる操作が可能」なことだけではないからです。

特権IDはシステム毎に決まっています。例えばWindowsであれば、システム上のユーザー名は「Administrator」として認識されます。これは見方を変えれば「実際には誰なのかわからない」ということです。実在する特定のユーザーとIDを紐付けすることができないからです。そのため攻撃者が特権IDを取得してしまえば、匿名状態で自由にそのシステムの中で行動できることになります。

特権IDの適正利用に不可欠なPAMソリューション。その効果を引き出すには一般ユーザー管理も重要

このような特権IDの問題を解決するため、近年注目が高まっているのが「PAM」と呼ばれるソリューションです。これは「Privileged Access Management」あるいは「Privileged Account Management」の略ですが、現時点では前者のケースが多いようです。すでに複数のベンダーからPAMソリューションが提供されており、実装されている機能には若干の違いがありますが、基本的な機能は大きく3つあると言えます。

第1は実在するユーザーと紐付けられたIDに対する特権IDの払い出しです。特権IDを「誰が」使うのかを明確にすることで、特権IDの匿名性を解消します。払い出しを行う際に、上司や管理者の承認を受けるためのワークフロー機能を装備している製品もあります。

第2は特権ID使用に関する制限の設定です。特権IDは幅広い操作が許されていますが、PAMでは提供する操作権限を最小限にすることで、リスクを最小化します。また特権IDが利用できる時間を制限し、一定時間が経過した時点で無効できる製品もあります。

そして第3が、アクセスや操作の記録(ログ取得)です。この記録を定期的に確認することで、不正使用が行われていないかをチェックできます。

PAMソリューションを活用することで、特権IDの管理を徹底でき、匿名性のベールに隠れた状態での不正使用を防止できます。しかしその効果を引き出すには、ある前提条件が存在します。それは「一般ユーザーのID管理が適切に行われていること」です。