写真提供:マイナビニュース

写真拡大

●捜査の手から逃げた? 日本でC&Cサーバが減少
2016年5月、トレンドマイクロは「国内標的型サイバー攻撃分析レポート 2016年版」を公開。これに合わせ5月10日に「2016年国内標的型サイバー攻撃分析セミナー」を開催した。登壇者は同社のセキュリティエバンジェリスト、岡本勝之氏である。

○標的型攻撃、キーワードは「継続・隠蔽・変化」

まず、岡本氏は、標的型攻撃の概要を解説した。

標的型攻撃の攻撃手法は、まず企業内のLANに入る「侵入時攻撃」と、情報を窃取する「内部活動」に分類できる。岡本氏は、標的型攻撃のキーワードとして、継続・隠蔽・変化の3つをあげた。執拗な攻撃が気付かれない状態で長く続く、それが標的型攻撃の最大の特徴といえるだろう。今回のレポートでは、「変化」に注目したい。2015年の全体傾向は「状況と目的に応じて、攻撃を変化させる」こと。図4のような傾向をピックアップした。

○捜査の手から逃げた? 日本でC&Cサーバが減少

図5は、イタリアのHacking Team社から漏えいした、Flash Playerの脆弱性情報に関連する出来事を時系列にまとめたものだ。

漏えいが発覚したのは2015年7月5日だが、後の調査では、4日前の7月1日時点でその脆弱性を悪用した水飲み場攻撃が確認された。5日後の10日以降では、漏えいした脆弱性CVE-2015-5119を含む複数の脆弱性を悪用した水飲み場攻撃が行われている。また、一般ユーザーを狙った攻撃が行われたのは7月28日である。岡本氏によれば、対応のスピードがまったく違う、臨機応変に攻撃者が対応している姿が窺えると指摘した。

また、2015年は日本に設置されたC&Cサーバが大きく減少した。

遠隔操作用サーバ設置国の割合が、日本は2015年1月〜6月時点では全体の44%だったのに対し、同年7月〜12月では約17ポイント減少した27%となっており、絶対数でも減少傾向が見られたという。

岡本氏は、これをさらに分析すると、2015年6月に発生した年金機構の大量の情報漏えい事件から、調査、分析が進み、当然対策も取られるようになった。このことを攻撃者がすばやく察知し、日本国内のC&Cサーバーを破棄する動きをとったと考察する。これも、状況の変化にすばやく対応しているといえるだろう。

●正規ツールで内部情報を窃取
さて、一度侵入した攻撃者は、遠隔操作によって機密情報などを窃取する。その段階が内部活動となる。まず、注目したいのは、新たな内部情報窃取ツールの登場だ。

以前からもActive Directoryサーバーを侵害し、アカウント情報を窃取する攻撃は存在した。2015年では、マイクロソフト管理者用の新たな正規ツール「DSQUERY」や「CSVDE」の悪用も確認された。DSQUERYは、Active Directoryのデータを検索する。管理者が保存するデータを確認する調査に使われたとみられる。CSVDEは、Active Directoryのデータを管理するツール。このエクスポート機能が、データを丸ごと吐き出させ、抽出して窃取するという攻撃に悪用された。

○複数の不審イベントログを組み合わせた監視が有効

マイクロソフトの正規ツールを使っている場合、単体の不審なイベントのみでは攻撃の判断が難しい。図8は、不審な通信イベントログを解析したもの。

通信イベントログ単体での監視で、遠隔操作ツールが確認された割合は最大で6割、ものによっては2割以下しかない。この数値、岡本氏はノイズレベルと断ずる。つまり、単体での監視では、標的型攻撃を検知できないというわけだ。そこで、2種類以上の不審なイベントの相関を調べることで、攻撃を判定する。

2種類以上のイベントログを組み合わせた監視では、100%の確認率で遠隔操作ツールを確認できた。イベント単体の監視ではなく、攻撃シナリオに沿った監視が有効だと、岡本氏は指摘する。

侵入後は、重要情報を窃取するまで長期的に活動する「潜伏型」と、数時間から1日で情報を窃取する「速効型」の二極化も進んでいるという。その違いは、図10を見ていただきたい。

潜伏型は、従来の標的型攻撃といってもいいだろう。速攻型は、これまでの無差別に行われるマスメール攻撃に近いものともいえる。なぜ攻撃の二極化が進むのか? 岡本氏によれば、例えば、速攻型攻撃でまず攻撃対象となるメールアドレスやアカウントを窃取。その後、入手した情報を基にメールによる従来型の標的型攻撃を行う、"使い分け"だという。

潜伏型では、最終的に機密情報の窃取にあるので、長期間にわたり潜伏し、情報を探し出す。しかし、速攻型は、攻撃対象の事前情報の収集や周辺組織の情報を狙う。攻撃者は、この2つを使い分けて攻撃している(速攻型だけならば、旧来の攻撃になってしまう)ことがあきらかになっている。そのため、目標とする企業・組織以外にも、取引先や知り合いといったレベルまで攻撃対象が拡大される。

また、社内サーバーの脆弱性を悪用した権限昇格(ドメインの管理者)の攻撃も確認されたとのこと。社内サーバーは、リモート実行の脆弱性などと比べると脆弱性対策が後回しになりやすい。この緩みを攻撃者が狙っていると岡本氏は指摘する。

●今後の予測と標的型攻撃への対策
今後の標的型攻撃の予想だが、岡本氏は図11のように予測する。

関連組織や個人への攻撃範囲の拡大は、特に個人に注意したい。攻撃対象の社員だけでなく、OBや知人なども攻撃対象になる可能性がある。トレンドマイクロの海外ラボでは、そのような攻撃例が確認されている。日本にも波及する可能性は十分ある。

また、速攻型と潜伏型の攻撃において、分業化が進むと指摘する。潜伏型の攻撃においては、攻撃者にも高いスキルが要求される。その一方で、速攻型ならばできるレベルの攻撃者ならば、それほど不自由しないで調達できる。そのような理由から、分業化が進むと予測される。

標的型攻撃に限らず、サイバー攻撃では効率をあげるため、従来の攻撃でも分業化は行われてきた。たとえば、ランサムウェアでは、ランサムウェアを作成ツールを作る部隊、そして、ツールを使いランサムウェアを作る部隊、ランサムウェアを送信するスパムメール部隊など分業化が実現されている。それが、標的型攻撃でも進むとする。

では、対策ポイントは何か、図12を見ていただきたい。

岡本氏は、社内サーバーへの脆弱性への対策を意識してほしいと語る。また、多層防御も重要なポイント。例えば、サンドボックスがあれば十分と思うかもしれないが、標的型攻撃メールへの対策など多重防御が求められる。早期発見も重要だが、発見した場合にどう対応できるか、といった体制も必要だ。特に、速攻型への対応に遅れると、次の攻撃を許す可能性が高い。迅速な対応が求められる。

そして、攻撃手法の変化で、昨日までの対策が通用しなくなる可能性をつねに意識してほしい。新たな脆弱性に限らず、効果的な攻撃手法があれば、短時間で反映してくる。それに対応できる能力が必要となる。一企業だけでは、難しいかもしれない。セキュリティベンダーと協力し、セキュリティ対策を実施してほしい。

(c-bou)