ロジックボムとは何ですか?

多くのサイバー攻撃は、攻撃者の選択したタイミングで即座に開始されます。これらはネットワーク経由で開始され、1 回限りのキャンペーンまたは継続的なキャンペーンのいずれかになります。ただし、攻撃の一部のクラスは遅延アクションであり、何らかのトリガーを待ちます。これらの中で最も明らかなのは、ユーザーの操作を必要とする攻撃です。フィッシングや XSS 攻撃はその好例です。どちらも攻撃者によって準備され起動されますが、ユーザーがトラップをトリガーした場合にのみ有効になります。

一部の攻撃は遅延アクションですが、トリガーするには特別な一連の状況が必要です。トリガーされるまでは完全に安全です。このような状況は、人間によって引き起こされるのではなく、完全に自動的に発生する可能性があります。この種の攻撃はロジックボムと呼ばれます。

ロジックボムの基本

ロジック ボムの古典的な概念は、単純な日付トリガーです。この場合、ロジックボムは日時が正しくなるまで何も行いません。その時点で、論理爆弾は「爆発」し、想定されているあらゆる有害な動作を引き起こします。

データの削除は、論理爆弾の標準的な手段です。デバイスやより限られたデータのサブセットを消去するのは比較的簡単ですが、主にミッションクリティカルなシステムが標的になった場合、多くの混乱を引き起こす可能性があります。

一部のロジック ボムは多層になっている場合があります。たとえば、2 つのロジック ボムがあり、1 つは特定の時間に作動するように設定され、もう 1 つは改ざんされた場合に作動する場合があります。あるいは、両方がもう一方が適切に配置されているかどうかを確認し、もう一方が改ざんされている場合は停止する可能性があります。これにより、爆弾が爆発する際にある程度の冗長性が得られますが、論理爆弾が事前に捕捉される可能性が 2 倍になります。また、攻撃者が特定される可能性も減りません。

インサイダーの脅威

インサイダーの脅威は、ほぼ独占的にロジックボムを使用します。外部のハッカーはデータを削除する可能性がありますが、データを盗んで販売することで直接利益を得る可能性もあります。内部関係者は通常、欲求不満、怒り、または復讐によって動機付けられており、幻滅しています。内部関係者の脅威の典型的な例は、従業員が間もなく職を失うと最近知らされたことです。

予想通り、モチベーションは低下し、おそらく仕事のパフォーマンスも低下するでしょう。もう一つ考えられる反応は、復讐の衝動です。場合によっては、不必要に長い休憩を取ったり、オフィスのプリンターで履歴書を何部も印刷したり、混乱したり、非協力的で不快な態度を取ったりするなど、些細なことが原因となる場合があります。場合によっては、復讐の衝動がさらに積極的な妨害行為に及ぶ可能性があります。

ヒント:内部関係者の脅威のもう 1 つの発生源は請負業者である可能性があります。たとえば、請負業者は、問題を解決するために呼び戻されるという保険契約としてロジックボムを実装する場合があります。

このシナリオでは、論理爆弾が考えられる結果の 1 つです。妨害行為の試みによっては、すぐに実行される場合もあります。しかし、これらは多くの場合、加害者と簡単に結びつけられます。たとえば、攻撃者は上司のオフィスのガラス壁を破壊する可能性があります。攻撃者はサーバー ルームに行き、サーバーからすべてのケーブルを引き抜く可能性があります。自分の車を玄関や上司の車に衝突させる可能性があります。

問題は、オフィスには通常、そのような行為に気づく可能性のある人がたくさんいることです。また、CCTV を搭載して攻撃者が行為を行う様子を録画することもできます。多くのサーバー ルームでは、アクセスするにはスマート カードが必要で、誰が入室し、いつ退室したかを正確に記録します。車ベースの混乱も監視カメラで捉えられる可能性がある。攻撃者の車が使用された場合、攻撃者に積極的に悪影響を及ぼします。

ネットワークの内部

内部関係者による脅威は、考えられるすべての物理的破壊行為に欠陥があるか、特定される可能性が高いか、あるいはその両方であることに気づく可能性があります。この場合、諦めるか、コンピュータで何かをすることを選択するかもしれません。技術的に熟練した人、特にシステムに精通している人にとって、コンピュータ ベースの妨害行為は比較的簡単です。また、攻撃者の責任であると主張するのが難しいように見えるという魅力もあります。

攻撃者を特定するのが難しいという魅力は、いくつかの要因によって生じます。まず、ロジックボムを探している人はいないので、爆発する前に見逃してしまうのは簡単です。

第 2 に、攻撃者は、周囲にいないときに意図的にロジックボムが作動するタイミングを計ることができます。これは、彼らは直後の余波に対処する必要がないだけでなく、彼らはそれをするためにそこにいなかったため、「彼らにはできない」ことを意味します。

第三に、特にデータやシステムを消去するロジック ボムの場合、その過程でボム自体が削除され、属性を特定できなくなる可能性があります。

これが内部関係者の脅威に対してうまくいったインシデントの数は不明です。内部関係者が論理爆弾の作動に成功したが特定され有罪判決を受けた事件が少なくとも 3 件記録されている。他にも少なくとも 4 件の使用未遂事件があり、論理爆弾が特定され、爆発する前に安全に「解除」され、やはり内部関係者が特定され有罪判決を受ける結果となった。

結論

ロジックボムは、攻撃者が遅延アクションを設定するセキュリティインシデントです。ロジックボムは、主に復讐または「保険」として、内部関係者の脅威によってのみ使用されます。通常は時間ベースですが、特定のアクションによってトリガーされるように設定することもできます。典型的な結果は、データを削除したり、コンピューターを消去したりすることさえあります。

内部関係者の脅威は、従業員が解雇されると、たとえ通知期間があったとしても、すぐにアクセスが無効になる理由の 1 つです。これにより、従業員がアクセス権を悪用して論理爆弾を仕掛けることはできなくなりますが、従業員が「壁に書かれた文字を見て」既に論理爆弾を仕掛けていた場合には何の保護も提供されません。