「物理で殴る」はどこでも有効なので、妨害攻撃として取り上げます。
建物の回線や、サーバ室に入り込んでサーバを壊してしまえば、そこで動作するシステムを壊滅させることが可能ですね。
情報処理安全確保支援士試験でも、妨害、盗聴、改ざんの文脈で出題されることがあります。対策として以下のような項目を押さえて置く必要があり、コスト面での調整や、社内運用の整備が課題になります。
- 物理的な回線の冗長化
- 鍵、ケースなどの設置
- UPS(無停電電源装置)の設置
- 入退出者の制限、記録
- 操作内容の制限、記録
- SaaSのような外部サービスの利用
その他、調べてでてきた攻撃を上げます。
物理ジャミング
「通信を妨害するために、意図的に無線帯域へノイズを注入して利用不能にする行為」を指します。
検知、対応
検知では以下をモニタリングして行うようです。
- RSSI(受信信号強度)の急激なノイズ増加
- 同一チャネルのビットエラーレート増大
- 無線APのフレーム再送回数の急増
- 周囲の端末が同時多発的にリンクダウン
対策としては以下のようにジャミングを受けない強力なアンテナ、通信を使うことや、チャンネルを変えられるようにしておくということができるようです。
ケーブル切断
主に海底に沈むケーブルが標的となっていて、切断し妨害を行います。記事によれば国際通信全体の99パーセントを伝送していると。直近でも台湾周辺でケーブルが被害に遭っており、国をあげて保護する方向に向かっています。
合わせてケーブルに頼らない国際通信の仕組みも考えられているようです。
直近、ニュースにもなっているので、見たことあるという方もいるのではないでしょうか。
ほか攻撃ではないですが、工事中の事故で送電版やケーブルを誤って破損させてしまったという事例はあるようです。
検知、対応
検知は以下のような項目をモニタリングして行うようです。
- リンクダウン(
dmesgログ) - スイッチポートの Link-Down SNMP Trap
- ARP要求が異常に増える(回線断後の再探索)
対応としては、ケーブルを壊されにく実物に返納する、冗長化するなどが行われているようです。
以上、物理的な害系攻撃をまとめました。
このあたり、SaaSを使ってサービスを展開している場合には検知、対応でできることは少ないです。繋がらないな、となっても別の原因だと思いますよね。できることはありませんが、通信を「強化する」、「冗長化する」など対策の考え方、検知の考え方などは全てに通じるものだと思います。