ハンズオンキーボード攻撃とは？概要とリスク、対策をわかりやすく解説

サイバーセキュリティの世界では、日々新たな脅威が出現していますが、その中でも特に警戒が必要なのが「ハンズオンキーボード攻撃」です。この攻撃手法は、まるで正規のシステム管理者がパソコンを操作しているかのように見えるため、従来の防御方法では検知が困難です。

実際、2023年の統計によると、企業への標的型攻撃の約35%でこの手法が使用され、その数は前年比で50%以上増加しています。本記事では、ハンズオンキーボード攻撃について分かりやすく解説していきます。

ハンズオンキーボード攻撃とは、「人間の攻撃者が直接キーボードを操作して行う侵入活動」のことです。一般的なサイバー攻撃がコンピュータプログラムによる自動化された攻撃であるのに対し、この攻撃は人間が直接操作を行うという特徴があります。

たとえば、一般的なウイルスが自動で感染活動を行うのに対し、ハンズオンキーボード攻撃では、攻撃者が実際にキーボードを打ち、ファイルを開いたり、コマンドを入力したりしながら活動を行います。これは、まるで社内のシステム管理者が通常の業務を行っているかのように見えるため、検知が非常に困難なのです。

この攻撃が特に危険である理由

一つ目は、正規の管理ツールを使用するため、不正なプログラムとして検知されにくいことです。システム管理でよく使用されるリモートデスクトップやPowerShellなどの正規ツールを使用するため、通常のセキュリティソフトでは検知が困難です。

二つ目は、人間が状況を判断しながら攻撃を進めるため、防御側の対策を巧妙に回避できることです。例えば、セキュリティ監視の目が届きにくい夜間や休日を狙って活動したり、普段の業務でよく使用されるような操作のみを行ったりすることで、不自然さを最小限に抑えることができます。

三つ目は、一度侵入されると被害の範囲が急速に拡大する可能性が高いことです。攻撃者は管理者の権限を奪取した後、組織の重要なデータにアクセスしたり、バックドアを仕掛けたりすることができます。

一般的なハンズオンキーボード攻撃は、以下のような段階を経て実行されます。

初期侵入段階：フィッシングメールや脆弱性を突いて、組織のネットワークに最初の足がかりを作ります。

偵察段階：内部ネットワークの構成や、使用されているシステムの情報を収集します。この際、通常の業務活動と見分けがつかないように、慎重に活動を行います。

権限昇格段階：より高い権限を持つアカウントの認証情報を探し、管理者権限の奪取を試みます。

横展開段階：獲得した権限を使って、他のシステムやサーバーへのアクセスを拡大していきます。

目的遂行段階：目的のデータを窃取したり、システムに永続的なバックドアを設置したりします。

被害が拡大する要因

被害が拡大する主な要因として、以下が挙げられます。

1. 検知の遅れ：正規のツールを使用するため、不正アクセスの発見が遅れがちです。
2. 対応の複雑さ：攻撃者の行動が正規の業務活動と酷似しているため、どの活動が不正なものかの判断が困難です。
3. 証拠収集の難しさ：攻撃者が証拠を慎重に消去するため、被害の全容把握に時間がかかります。

🟢アカウント管理の包括的な強化対策

ハンズオンキーボード攻撃への対策として、最も重要なのがアカウント管理の強化です。まず、すべての従業員アカウントに対して、最低16文字以上の複雑なパスワードを義務付け、定期的な変更を促す必要があります。特に重要なのが多要素認証の導入です。たとえば、パスワードに加えてスマートフォンのアプリケーションによる認証を必須とすることで、たとえパスワードが漏洩しても、攻撃者がシステムにアクセスすることを防ぐことができます。

さらに、特権アカウントについては、使用できる端末を制限し、使用時には必ず申請・承認プロセスを経るように運用ルールを設定します。また、特権アカウントの使用ログは、別途保管して定期的な監査を実施することが推奨されます。

🟢システム監視体制の構築

システム監視においては、単なるログの収集だけでなく、インテリジェントな分析体制の構築が重要です。具体的には、通常の業務時間帯とは異なる深夜や休日のシステムアクセスについて、より詳細なログを収集し、リアルタイムでの監視を行います。たとえば、休日に普段使用しない管理ツールが実行された場合や、通常とは異なるパターンでファイルアクセスが行われた場合に、即座にアラートが発報されるような仕組みを整えます。

また、ファイル操作やコマンド実行のパターンを学習し、通常の業務での利用パターンから逸脱した操作を検知する仕組みも有効です。これにより、正規のツールを使用した攻撃であっても、その不自然な使用パターンから早期に検知することが可能となります。

🟢組織全体でのセキュリティ意識向上

技術的な対策と並んで重要なのが、従業員のセキュリティ意識の向上です。定期的な研修プログラムを通じて、最新のサイバー攻撃手法やその対策について、実例を交えながら学ぶ機会を設けることが重要です。特に、フィッシングメールの実例を用いた訓練は、初期侵入を防ぐ上で非常に効果的です。

さらに、不審な動作や操作を発見した際の報告体制を確立し、従業員が気軽に相談できる窓口を設置することも重要です。報告された情報は、セキュリティチームで分析し、必要に応じて全社への注意喚起や、追加の対策実施につなげていきます。

✅未知の攻撃にも対応できるセキュリティツールの導入

サイバー攻撃に対処するためには、最新のセキュリティツールの導入が不可欠です。特に、ランサムウェアやゼロデイ攻撃に対しては、従来のウイルス対策ソフトでは不十分であり、AIを活用したEDR（Endpoint Detection and Response）や次世代ファイアウォールの導入が効果的です。これらのツールは、未知の脅威にも迅速に対応でき、攻撃が発生する前にシステムを保護することが可能です。

✅セキュリティについて従業員教育を行う

サイバー攻撃対策を効果的に実行するためには、技術的なツールの導入だけでなく、従業員一人ひとりのセキュリティ意識を高めることも重要です。多くのサイバー攻撃は、従業員の不注意や不正な操作によって引き起こされるケースが少なくありません。特に、フィッシングメールや悪意のあるリンクをクリックしてしまうことによる情報漏えいは防止可能なものです。定期的なセキュリティ研修やシミュレーションを行うことで、従業員が最新の攻撃手法を理解し、適切な対応を取れるようになります。

✅セキュリティ対策のガイドラインを策定する

効果的なセキュリティ対策を実施するためには、企業ごとに具体的なセキュリティガイドラインを策定することが求められます。このガイドラインでは、データの取扱い方法、アクセス権の設定、アプリケーションの使用制限など、業務に関連するセキュリティポリシーを明確に定義します。従業員が守るべきセキュリティ基準を文書化することで、全員が一貫したセキュリティ対策を実施できる環境を構築します。

また、ガイドラインを定期的に見直し、最新のサイバー攻撃手法に対応するために必要な変更を加えることも重要です。企業の業務内容や使用する技術の変化に応じて、適切にセキュリティポリシーを更新することで、サイバー攻撃に対する防御力を維持できます。