特集

最新のIT技術情報や旬な話題をお届けいたします

セミナー「世界に通じるセキュリティ ~海外からの攻撃に備えよ~」基調講演レポート グローバルレベルでの標的型攻撃に立ち向かうために求められるセキュリティ対策とは

セミナー「世界に通じるセキュリティ ~海外からの攻撃に備えよ~」基調講演レポート グローバルレベルでの標的型攻撃に立ち向かうために求められるセキュリティ対策とは

2012年11月29日、東京の大手町ファーストスクエア カンファレンスにて、セミナー「世界に通じるセキュリティ ~海外からの攻撃に備えよ~」が開催された。
基調講演には、株式会社サイバーディフェンス研究所 情報分析部 上級分析官で、ペネトレーションテストやマルウェア解析などを専門とする福森大喜氏が登場。昨年の遠隔操作ウイルスによってPCが乗っ取られ、誤認逮捕にまで至った事件を例に取り、形だけのセキュリティ対策に対する警鐘を鳴らした。
また、インターネットに繋がらず安全と思われていたイランの原子力施設を狙った「Stuxnet(スタックスネット)」と呼ばれるウイルスの独自の分析結果の考察と共に企業が学ぶべき教訓を語った。
今やサイバー攻撃への対策は国家レベルで取り組むべき段階に来ているといえる。今回はこのような国内及び国家レベルの事例から求められるセキュリティ対策について語った講演概要をレポートする。福森氏の講演は3部構成となっており、最後にまとめとして定期的にセキュリティ対策をチェックし、インシデント発生時の体制の確立を訴えて結びとした。

DDoS攻撃に屈するな!事前と事後の対策で攻撃者に付け入る隙を与えない!

冒頭、福森氏は、サイバー攻撃の代表的な手法の1つとして近年被害が急増しているDDoS(=Distributed Denial of Service)攻撃について言及した。DDoS攻撃は、世界中に分散する大量のコンピュータから特定のサーバを狙って一斉にパケットを送り付け、ネットワークやWebサイトの機能を麻痺させてしまうものだ。

例えば、ロシアではDDoS攻撃の“請負サービス”が盛んに行われており、米ドル換算で1時間当たりたったの約6ドル、1日当たり約70ドルでDDoS攻撃を依頼できてしまうという。こうした取引が成立した場合、狙われた企業は世界各国に散在しているボットネットから攻撃を受けることになる。ボットネットが特に多いのはマレーシアや香港で、さらには東欧や南米など世界中に広がっているという。

図1:DDoS攻撃を仕掛けてくるボットネットは世界中に点在している

図1:DDoS攻撃を仕掛けてくるボットネットは世界中に点在している

「実際に、日本でも酷いケースがあります。日本企業が恐喝された事例で、6G~8Gbpsのトラフィックが送られてきました。ここまで来るとWebサイトは完全に使えない状態になります。そして、この攻撃が発生すると同時に企業に100万円の支払いを要求するメールが届きました。振込先の銀行口座が記載されており、ここに振り込めという内容です。」

DDoS攻撃を受けてから急いで攻撃に備えようとしても、機器を買ったり、サーバを世界中に分散させたりするなどの対策を採る必要があり、時間もコストも必要となる。一方で恐喝時に要求される金額は約100万円。福森氏は「実はここがミソで、攻撃する側も防御側の事情をよく知っていて、対策のためには時間もコストもかかるということを熟知しています。だから100万円ぐらいなら払うだろうという計算がある。企業の足元を見て攻撃をしてきているのです。」と強調する。

そこで企業経営者は、時間やコストをかけてDDoS攻撃への対策を講じるのか、あるいは恐喝に負けて100万円を払うのかという選択を迫られることになる。例えば、その会社が実店舗を持たず、ECサイトだけでビジネスを行っている場合には、インターネットが使えなければ、もはやサービスを提供することができない。1日の売上高はゼロになり、一方でサーバやデータセンターの運用費あるいは人件費などは発生し続けることになる。そうした状態が半年も続けば会社は潰れてしまうだろう。

「それなら100万円払ってしまおうと考える経営者の方は実は結構多いのです。例えば、子供が誘拐され人質に捕られた場合に、お金を払って命を助けてくれるのなら払ってしまおうと思う親心と同じと考えると、理解できるかと思います。しかし、この手の恐喝の場合、100万円払ったからといって二度と攻撃されないという保証はどこにもありません。企業から支払われたお金はマフィアなどに流れることになります。彼らは一回払っただけで許してはくれません。むしろ2~3か月後にもう一度必ず攻撃されると考えるべきです。」

そのためDDoS攻撃には、事前にしっかりとした対策を講じておくことにより、攻撃者に付け入る隙を与えないことが重要だという。しかし、DDoS攻撃も日々進化しており、なかなか完全な対策の取りようがないというのも実情だ。

「そこで、ある程度狙われることは覚悟の上で、攻撃者が諦めてくれるのを待つというのも1つの対策になります。大体1週間ぐらい頑張って対処を続けていれば、攻撃者は諦めて他のところを攻撃するようになるというのがよくあるパターンです。」

図2:DDoS攻撃への対策

図2:DDoS攻撃への対策

既存のセキュリティ対策を見直し、標的型攻撃には攻撃手法に応じた対策を

次に、福森氏は2012年に世間を賑わせた遠隔操作ウイルスを例にとって、既存のセキュリティ対策を常にかつ定期的に疑いを持つこととの重要性に触れ、標的型攻撃対策に必要なアプローチを紹介した。

図3:2012年に発生した遠隔操作ウイルス事件

この中で福森氏が注目を促したのが、9/7の“検体がVirusTotal※1にアップロードされる”という項目だ。

※1 VirusTotalとは、あるウイルスの検体をアップロードすれば、市販のウイルス対策ソフトの中でどれぐらいの製品がそのウイルスを検知できるのかを調査してくれるWebサイトのことである。

「事件の発生元となった遠隔操作ウイルスの検体が最初にアップロードされた9/7の時点では、そのウイルスを検知できる製品はゼロでした。その約1か月後に、ようやくいくつかの製品で検知できるようになり、約2か月後には、ようやくほぼ全ての製品で検知できるようになりました。つまり、ウイルス対策ソフトで遠隔操作ウイルスを見つけるまでには2か月ぐらいのブランクがあるということです。」

図4:ウイルス対策ソフトでの検知数の遷移

図4:ウイルス対策ソフトでの検知数の遷移

しかし、ウイルスに感染したPCはその2か月の間に、悪意あるプログラムを実行に移し、今回のような事件を起こしてしまうことになる。
今回2ヶ月かかった理由として、検体を見ただけでは中身が悪意を持つプログラムなのかを判断するのが不可能であるため、シグネチャの生成に時間を要したことが挙げられた。

「そうなると、最終的には、不正アクセスのパターンによってウイルスを検知するシグネチャを無理やり作ってチェックするしかありません。それに約2か月かかるということです。結果、事件が表面化するまで遠隔操作ウイルスの被害に気付かないという状況を招くことになる。遠隔操作ウイルスだけでなく、標的型攻撃メールも同じような仕組みになっています。」

こうした事情が見えてくると、現在我々が利用しているウイルス対策ソフトの有効性にも疑問が出てくるが、この点について福森氏は、「確かに遠隔操作ウイルスをリアルタイムに検知することは期待できないでしょう。しかし、かろうじて1~2か月後には発見してくれます。もしウイルス対策ソフトが入っていなければ、感染後もずっと気付かず、被害はより甚大なものになるかもしれません。自分自身で感染に気付くための“最後の砦”として、やはりウイルス対策ソフトは有用だと思います。」と説明する。

ここで話を標的型攻撃に戻す。
標的型攻撃には2パターンあり、人間の心理を狙った“ソーシャル攻撃型”と、アップデートされていないソフトウェアを狙う“脆弱性攻撃型”とが挙げられるという。
「前者に対しては、やはり人間の教育をしなければ防ぐことができません。後者に対しては、迅速にソフトウェアのアップデートを行うことが必要です。この2つの視点から対策を採ったとしても、標的型攻撃を防ぐことはできません。それぞれの手口や特徴をよく理解した上で対応策を練ることが求められます。」

図5:標的型攻撃の攻撃手法に応じた対策

図5:標的型攻撃の攻撃手法に応じた対策

国家間での争いに使用されたサイバー攻撃:Stuxnetの真相

ここまで企業を狙った『DDoS攻撃』、社員や一般ユーザを狙った『遠隔操作ウイルス』や『標的型攻撃』について説明を進めてきた福森氏だが、最近では金銭目的ではなく、国家間の戦争にも関わってくるようなスケールの全く異なるサイバー攻撃が現れたと指摘し、その代表例として2年前に発見されたStuxnet(スタックスネット)※2を引き合いに出した。

※2 Stuxnetとは、イランの原子力施設を標的としたウイルスで、同国の核開発を遅らせることを目的に米国とイスラエルが共同開発したものと言われている。インターネットから隔離された閉ざされた環境でも感染し、実際に施設内の遠心分離器が停止した点で世界を震撼させた事件である。

この事件は世界中で大問題となり、各国・各研究機関が解析を行い、日本でも独立行政法人 情報処理推進機構(IPA)などがその解析に取り組んだ。その調査レポートによれば、最近のサイバー攻撃には“個別攻撃手法”と“共通攻撃手法”があるといい、前者はいわばミサイルの先を取り替えるのと同じ感覚で攻撃対象ごとに特化した攻撃仕様のもの、後者は大体どのウイルスでも利用される共通仕様のものということだ。

図6:サイバー攻撃における「個別攻撃手法」と「共通攻撃手法」

図6:サイバー攻撃における「個別攻撃手法」と「共通攻撃手法」
出典:サイバー攻撃と制御システムのセキュリティ対策(標準化)の現状と課題について(IPA)

福森氏は、このうち個別攻撃手法の部分が、まさにStuxnetを特徴付けるものだと説明し、「攻撃対象の環境に強く依存するため、専門知識がなければ個別攻撃手法の部分を解析することは非常に難しい。実際に攻撃対象になったのも、原子力施設内の遠心分離機やコンバータなど、我々が普段目にすることのないような設備です。そのため解析には知識と時間が必要になる。今後の対策を考えるために本当に明らかにしなければならないのはこの個別攻撃手法の部分ですが、IPAの解析レポートでは全く触れられていません。」と個別攻撃手法を解析する重要性を強調し、自身が行ったStuxnetの解析結果を紹介した。

以下、詳細な作業レベルの話になるが、Stuxnetの解析がどれほど困難なものかを示す非常にいい例なので、福森氏が実際に行った主な調査内容を見ていくことにする。

「まず、Stuxnetのソースコードを定番の解析ソフトで解析してみても、共通部分は解析できるのですが、個別部分は今までの知識では理解できない文字列が出てくるため、何をしようとしているのか全く分かりませんでした。そこで、まずこの文字列が何を示しているのか解析を進めていきました。」

図7:Stuxnetのソースコードには、従来知識では対応できない文字列が含まれている

図7:Stuxnetのソースコードには、従来知識では対応できない文字列が含まれている

福森氏は解析用のソフトウェアを使って試行錯誤を繰り返しながら、その文字列が何を示しているのかを、1つ1つ調べていったという。すると、どういうコードが実行されようとしているのかが見えてきた。ある部分では、9500h、7050hという値で条件分岐をしていることが理解できた。しかし、これらの値が何を意味するのか、なぜここで別の処理をしなければならないのかは依然として分からない。

図8:Stuxnetは公開情報が少ないため、解析が難しい

図8:Stuxnetは公開情報が少ないため、解析が難しい

そこで、さらに調査を進めると、Profibusというファクトリーオートメーションの通信規約で通信しようとしていることが判明し、Profibus協会のサイトで9500と7050に割り当てられているIDを調べた。しかし、そこには未割当だという情報しか掲載されていない。実は、このサイトは2009年から更新されておらず、古い情報しか載っていないことが予想された。さらにインターネット上で色々と情報を調べていくと、Vaconというフィンランドの会社が製造している機器のマニュアルの中に9500という値が見つかり、この数値が同社に割り当てられているIDだということがようやく分かった。続いてVacon社の製品マニュアルを逐一調べていくことで、具体的にどういう命令を送ろうとしているのかを突き止めることができたという。

図9:Vacon社(フィンランド)のマニュアル内で見つかった“9500”の値

図9:Vacon社(フィンランド)のマニュアル内で見つかった“9500”の値

「一方の7050についても調査を進めていくと、イランの会社に行き当たり、ペルシア語に加えて英語のサイトも提供されていました。はじめは、英語版をチェックしたのですが有力な手掛かりが得られず、改めてペルシア語のサイトと見比べてみると、明らかにペルシア語版の情報量が多いことに気付いたのです。そこで自動翻訳ツールを使いながらさらに調べていくと、その差分情報の中に、核エネルギーを生成するための装置だということを示す記述が見つかりました。こういう解析作業を通じて、恐らくこの装置がイランの原子力施設で使われている機器だろうということが分かってきたのです。」

Stuxnetは、一歩進むのに何日間も要するような地道な作業を重ねていき、袋小路に迷い込んでは戻ってくるという作業を繰り返さなければ解析できないウイルスだったということだ。実際の調査には何か月もの時間を要したが、まだ完全には解析できていないという。

図10:“7500”に関する情報は、イランの会社のペルシア語版のサイトにのみ存在する

図10:“7500”に関する情報は、イランの会社のペルシア語版のサイトにのみ存在する

「こうした作業を通じて明らかになったことがいくつかあります。まず、攻撃のスケールとして、状態が整うまで297日間、処理を待てという非常に長い時間指定がされている一方で、別のコードでは16時間57分待てという非常に正確な指定がされています。攻撃者は原子力施設内の状況を非常に正確に把握しており、分単位でどういう操作をすれば何が起こるかまで熟知していたのです。」

また、映画では監視カメラの前に正常時の写真を貼り付け、異常が起きていないように見せかけるというシーンがよく出てくるが、Stuxnetはそれと全く同じことをデータ上で行っていた。一定時間、データをキャプチャして保存しておき、攻撃の段階でそのデータをリプレイする形で流すのだ。その裏で攻撃用のプログラムを送り込み、機器を破壊する。

「当初、Stuxnetはゼロデイ攻撃が4つも使われた高度な攻撃だといわれていましたが、実際には、個別攻撃手法の部分に対するゼロデイ攻撃は1つもありませんでした。ただ純粋に、機器の仕様書通りに命令を送っているだけなのです。そもそも制御システムにはセキュリティという概念が無く、例えば機器を破壊するために周波数を変更しろという命令を送れば、それで攻撃が達成できてしまう。命令を出した人に周波数を変更できる権限があるかどうかは、どこでもチェックされていなかったのです。これが致命的でした。」

Stuxnetの目的は、機密情報を盗むことではなく、攻撃対象の破壊だ。情報漏えいやウイルスの拡散を抑えるための出口対策をいくら採っても何の解決にもならない。

まとめ

それでは今後、企業はどのようなセキュリティ対策を採っていけばいいのだろうか。

  • DDoS攻撃には、事前のセキュリティ対策により、普段から攻撃者に付け入る隙を与えないことが重要である。また「狙われない」ことが大切である。一方で、攻撃を受けた場合の対処方法や体制も事前に準備しておく必要がある。
  • ソーシャル攻撃型には、人間の教育を行うことで防ぐ対処をする。また、脆弱性攻撃型についてはソフトウェアのアップデートを常に最新に行っておく必要がある。極論を言うとこの2つの対策ができていれば、ウイルス対策ソフトはいらないが、人間の心理をつくソーシャル攻撃型では、ついうっかり添付ファイルを開いてしまったり、また脆弱性攻撃ではパターンの更新漏れのリスクがあるので、ウイルス対策ソフトは最後の砦として必要なものである。
  • 国家間での争いに使用されたサイバー攻撃Stuxnetから学ぶこと
    • インターネットに繋がらず、閉ざされた環境であるがゆえに、安全だと信じて疑われなかったイランの核施設であってもStuxnetの様に侵入される事件が発生している。よって、物理セキュリティへの信頼を今一度疑う必要がある。
    • また、攻撃者は自分達よりも詳しい情報を持っている。非公開に頼ったセキュリティを元にセキュリティインフラを作っていると、仕様に基づいたコマンドなのに世界中で初めての攻撃の様に捉えられかねないので、こちらも今一度見直す必要がある。

また、福森氏は次のように説明した。

「Stuxnetのようなサイバー攻撃に対して、我が国も何とか対策を講じられないかと模索していますが、現段階で企業の助けとなるような有効な解決策はまだ出てきていません。また、イランの原子力施設では、非常に厳しい入退室管理が行われていたと思いますが、それでもウイルスを送り込まれました。つまり現在では、今まで常識とされていたセキュリティ対策が効かなくなっているということです。攻撃者は常に進化しています。我々防ぐ側も、定期的に既存のセキュリティ対策を疑い続け、随時対応を改めていかなければ、相手の攻撃に対応することはできないでしょう。」

また、実際に攻撃を受けてから対応策を考えるのでは遅すぎる。万一の場合に備えて、事前にインシデント発生時の対応体制や連絡体制を確立しておくことも重要だ。

「例えば、ロシアが日本を攻撃する場合、今までは言葉の壁があり、なかなか攻撃対象にはなりませんでしたが、攻撃者は日本企業には大きな穴があるということに気付き始めました。日本語を勉強する“コスト”を払ってでも、それ以上の“儲け”を期待することができるということで、今、海外からどんどん攻撃が来ています。形だけ、何かのセキュリティ認定を取って安心しているような時代は既に終わりました。先に述べたように、本当に有効な対策は何なのかを、企業自身が考えていかなければならない時期に来ているといえるでしょう。」

福森氏はこのように総括して警鐘を鳴らし、講演は幕を閉じた。

当日は、サイバー攻撃をいくつかに分類し、それぞれの攻撃手法に対して事例や具体的ソリューションを盛り込んだセッションが基調講演の後に続いた。また、閉会の挨拶では、APT対策への新しいソリューション「アクティブディフェンス」についても紹介された。『自身が標的になっているかどうか知る』ことが重要という考え方だ。その上で、『誰が』『何を』『どうやって』攻撃するか解明する。そして、日本の個人情報、知的財産、そして国家機密を守ることがマクニカネットワークスの使命だと結んだ。今回のセミナーが高い関心を集めていることを踏まえた上で、弊社は今後もこのようなセキュリティに関するイベントを定期的に開催していく予定だ。

いつか見た景色 from Staff's Albums