エクスフィルトレーション(情報持ち出し)
エクスフィルトレーション(情報持ち出し) とは何ですか?
エクスフィルトレーション(情報持ち出し)盗み出したデータを被害ネットワークから攻撃者の管理下へ転送する手法をまとめた MITRE ATT&CK 戦術(TA0010)。
エクスフィルトレーション(MITRE ATT&CK 戦術 TA0010)は、収集済みデータを被害環境から外部へ送り出すための手法群です。主なチャネルには、C2 プロトコル経由の持ち出し、Dropbox・Mega・rclone を用いたクラウドへのアップロード、DNS トンネリング、攻撃者ドメインへの HTTPS POST、業務時間に合わせたスケジュール送信、物理メディアの利用などがあります。攻撃者は帯域を絞り、アーカイブを分割し、TLS を活用して検出を困難にします。防御側は DLP、エグレスフィルタリング、境界での TLS インスペクション、異常な大容量送信の監視、rclone/megacmd 等のバイナリへのアラート、クラウドストレージの ID ベース制御を組み合わせます。ランサムウェアの二重恐喝では、暗号化に先立って情報を持ち出すことが多いのも特徴です。
● 例
- 01
rclone を使い、社内文書を数 GB のアーカイブとして Mega.io アカウントへコピーする。
- 02
長い TXT クエリを用いた DNS トンネリングで、隔離セグメントから機密を持ち出す。
● よくある質問
エクスフィルトレーション(情報持ち出し) とは何ですか?
盗み出したデータを被害ネットワークから攻撃者の管理下へ転送する手法をまとめた MITRE ATT&CK 戦術(TA0010)。 サイバーセキュリティの 防御と運用 カテゴリに属します。
エクスフィルトレーション(情報持ち出し) とはどういう意味ですか?
盗み出したデータを被害ネットワークから攻撃者の管理下へ転送する手法をまとめた MITRE ATT&CK 戦術(TA0010)。
エクスフィルトレーション(情報持ち出し) はどのように機能しますか?
エクスフィルトレーション(MITRE ATT&CK 戦術 TA0010)は、収集済みデータを被害環境から外部へ送り出すための手法群です。主なチャネルには、C2 プロトコル経由の持ち出し、Dropbox・Mega・rclone を用いたクラウドへのアップロード、DNS トンネリング、攻撃者ドメインへの HTTPS POST、業務時間に合わせたスケジュール送信、物理メディアの利用などがあります。攻撃者は帯域を絞り、アーカイブを分割し、TLS を活用して検出を困難にします。防御側は DLP、エグレスフィルタリング、境界での TLS インスペクション、異常な大容量送信の監視、rclone/megacmd 等のバイナリへのアラート、クラウドストレージの ID ベース制御を組み合わせます。ランサムウェアの二重恐喝では、暗号化に先立って情報を持ち出すことが多いのも特徴です。
エクスフィルトレーション(情報持ち出し) からどのように防御しますか?
エクスフィルトレーション(情報持ち出し) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
エクスフィルトレーション(情報持ち出し) の別名は何ですか?
一般的な別名: データ持ち出し, TA0010。
● 関連用語
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 199
収集(Collection・MITRE 戦術)
外部送信(エクスフィルトレーション)前に関心ある情報を収集・整理する手法を扱う MITRE ATT&CK 戦術(TA0009)。
- network-security№ 344
DNS トンネリング
UDP/TCP 53 番ポート上の DNS クエリと応答に任意のデータを埋め込む隠蔽チャネルで、C2 やデータ持ち出しによく利用される。
- privacy№ 278
情報漏えい対策 (DLP)
エンドポイント・ネットワーク・メール・クラウドにおいて機微データの不正な持ち出しを検知・遮断する技術と運用ポリシーの総称。
- malware№ 900
ランサムウェア
被害者のデータを暗号化したりシステムをロックしたりし、復旧と引き換えに金銭を要求するマルウェア。
- defense-ops№ 265
サイバーキルチェーン
標的型侵入が偵察から目的達成までどのように進行するかを 7 段階で示した、ロッキード・マーティン社のモデル。
● 関連項目
- № 275データ侵害