特集

最新のIT技術情報や旬な話題をお届けいたします

Macnica Networks DAY 2013 特別講演レポート
最近の標的型攻撃の脅威動向について

スピアフィッシングが成功しているその理由とは

Macnica Networks DAY 2013特別講演レポート

去る2013年7月9日に行われたセキュリティの一大イベント「Macnica Networks DAY 2013」。そこで注目を集めたのがFireEyeのセキュリティ・エンジニアであるAlex Lanstein(アレックス・ランスティン)氏による特別講演「最近の標的型攻撃の脅威動向について スピアフィッシングが成功しているその理由とは」だ。FireEyeといえば、仮想環境で疑わしいファイルを実際に動作させて分析するサンドボックス型セキュリティのパイオニア。セッションでは、現場に立つセキュリティ・エンジニアの立場から、最新の標的型攻撃の脅威動向について、具体的な事例を交えながら語ってくれた。今回はその特別講演の内容をご紹介する。

移り変わる脅威動向、国家の情報が盗まれる時代に

ランスティン氏

ランスティン氏は今から6年前にFireEyeへ入社したそうだが、当時の脅威に対する認識は現在とまったく違っていたという。当時、大きな脅威といえば広範囲に影響を及ぼすインターネットワームやDDoS攻撃、あるいは銀行の信用情報を盗み出すというものだった。FireEyeをはじめとするセキュリティベンダは、こうした脅威の根絶に向けて努力しており、実際、大きなスパムボットなどは根絶され、グローバルなスパムの状況もここ5~6年の間で顕著に減少した。
「代わって増えてきたのが、国家や競合関係にある企業・団体の情報を盗む脅威です。大きな資金を投じて個人が非常に重要な情報を盗む傾向が顕著になりました。個人の場合成功すれば数百万ドルという利益を生みますが、ロシア、中国、米国など、国家がサイバー空間で戦いをするという場合には、何十億ドルというまさに桁違いの資金が動きます」とランスティン氏。

移り変わる脅威動向、国家の情報が盗まれる時代に

標的型攻撃の担い手はあくまで“人間”

続いてランスティン氏は、主な標的型攻撃の代表的な手法を紹介した。多くの場合、標的型攻撃はフィッシングメールから始まる。メールには実行ファイルやZipファイルが添付されており、それを実行するか、あるいはメール本文にあるリンク先のWebサイトを訪れることでウイルスに感染する。また、数多くのユーザーが訪れるサイトを改ざんする「水飲み場攻撃」というものもある。ちなみに標的型攻撃の多くはメールあるいはWebを介したものとなっていると述べた。

「Internet Explorerなどのブラウザには、Java、Flash、PDFなどのキットが組み込まれており、キットにはさまざまな分散処理のメソッドが入っています。悪意あるWebサイトにアクセスすると、これらソフトウェアの脆弱性を突かれ、セキュリティが破られてしまうのです。例を挙げると、Javaスクリプトに実行パッカーが入っていて、いろいろな形で各レイヤーの中でペイロードを埋め込んでいくという攻撃があります」

しかし、とランスティン氏は指摘する。
「実際の標的型攻撃はアルゴリズムを用いて自動的に行われるものではありません。人間によって行われているのです。攻撃者はターゲットがアクセスしているデータは何なのか、どういったプロジェクトなのか、誰がテクノロジーをデザインするのか、そこまではわからない。そのため、基本的には狙いやすいところから攻撃するのです」。

最初に狙われるのはアドミニストレータ

続けて、攻撃者が最初にフィッシングメールを送るとき、どのように標的を特定し、メールを送るのか、という点についてRSAの事例を挙げた。標的型攻撃のメールの大半は、ITの監督権限のある方、あるいはネットワークドメインのアドミニストレータを標的に送られる。まずExchangeのアドミニストレータを弱体化するわけだ。ここを攻略すれば社内ネットワークにマルウェアを広げることができる。アドミニストレータの権限を使って“マルウェア”をバックドアから入れ、最終的に信用情報を盗む。そしてWindowsの正当なツールを使ってネットワークに侵入するのだ。

「実際にEMCへ送られたRSAからのメールをご紹介しましょう。このKevin Brissonというのが最初にメールを送られた人です。彼以外のターゲットもEMCで同じような役割にありました。メールには未知の脆弱性があるExcelのスプレッドシートが添付されていて、その中に悪意あるFlashファイルが埋め込まれていたのです。Flashの脆弱性をついた攻撃で、技術的には非常に高度なもので、これを作成するには特定のスキルが必要です。しかしながら…攻撃者にとっては残念なことに…メールの文章は英語のネイティブスピーカーであればすぐに『おかしい』と気づくレベルで、こちらはあまりにお粗末でした」とランスティン氏。

最初に狙われるのはアドミニストレータ

国家も攻撃を行い、また攻撃を受ける

ランスティン氏

攻撃のレベルには種類があり、そのターゲットもさまざまだ。これが国家レベルの攻撃となると、何がターゲットとなるのだろうか。そこでランスティン氏は、日本の内閣官房がターゲットとなった最近の事例を紹介した。内閣官房は特に知財を持っていないし、データベースに飛行機や武器、衛星などの設計書があるわけでもない。しかし重要情報、たとえば首相や高級官僚が今どこにいるか、これからどこへ行くかという情報は持っている。特定の人物をターゲットとしたスパイ行動を開始するにあたり、内閣官房は標的型攻撃をしかけるターゲットに値するとランスティン氏は警告する。

また攻撃者は、攻撃を成功させたいのと同時に、被害者に攻撃を受けたことを知らせたくないという思いがある。そこで、ほとんどの標的型攻撃ではターゲットが不審に思うものではなく、興味を引くようなコンテンツが攻撃メールに組み込まれている。ランスティン氏は実際の攻撃で使用されたExcelのファイルを紹介した。

国家も攻撃を行い、また攻撃を受ける

さらにランスティン氏は、国家レベルの攻撃者が誰を攻撃するのかを考察した。抑圧的な国家であるシリア、中国、サウジアラビアなどの政府機関は、任務としてハクティビスト(=政治的ハッカー)を監視している。彼らは自らの体制を脅かすもの、たとえば、人権、言論の自由、宗教の自由、法輪功、チベット問題…などに携わる人々をモニタリングしているのだ。シリア騒乱においては、Facebookを通じてハクティビストが集まってきた。そこでシリアでは、インターネット上の抗議運動を止めるため軍が動員されている。

攻撃者にとって“価値”があれば何でも狙われる

続いてランスティン氏は、人権問題に取り組む弁護士に送られてきたメールを紹介した。
「攻撃者は、ターゲットが何を行っているのか、リアルタイムな情報が欲しいと思っています。そこで狙われるのがメールボックスです。たとえば企業はシステムのセキュリティに大きな投資を行っています。では従業員の自宅はどうでしょう? この種の攻撃では職場と自宅の両方がターゲットとされているケースが多いのです」。

攻撃者にとって“価値”があれば何でも狙われる

こうした攻撃は常に起こっている。しかも、ターゲットにされる人たちは必ずしも特級の知財を持っているわけではない。Fortune 500(全米における企業の総収入上位500社のこと)の会社でなくても、攻撃者が欲しい情報を持っていればターゲットとなり、持続的な攻撃を受ける可能性があるのだ。
「これは2~3週間前にあった攻撃例ですが、日本のテレビ局、エレクトロニクス企業がターゲットとなりました。メールのタイトルや内容、添付ファイルに至るまで、非常によくできています」

攻撃者にとって“価値”があれば何でも狙われる

この事例ではターゲットは特定の人物であり、メールはおそらく5分で作成できる。メールフィルタリングは人海戦術で回避しているようだ。メールフィルタリングでは、差出人と内容の分析、ウイルスが添付されていないか等をチェックするが、Yahooなどのサービスで作成した新しいアカウントからメールを送れば、この手の対策は回避できる。

たとえ攻撃に失敗しても罪には問われない

さらにランスティン氏は興味深い事例として、米国防総省の仕事をしている「LaserMotive」という小さな会社の名前を挙げた。
「LaserMotiveではレーザー光線を使ってワイヤレスで送電する興味深い技術を開発中です。こうした会社では多くの場合、CEOが中心となってイノベーションを推進しており、製品や機能、ロードマップなどを管理しています。彼を攻撃するにはどうすればいいか。まずGoogleで検索すれば、同社のCEOの名前がわかります。続いてYahooへ行きメールアカウントを作成。これは30秒でOK。そして『論文を書いているので見てもらえないか』という内容のメールを書き、難しい技術に関する文書ファイルを添付して送信する。結果、この攻撃は侵入に失敗しました。しかし、失敗したからといって罰則はないので、逮捕されることはない。中国へ逃げる必要もありません」

攻撃を受けた側は、攻撃されたからといって訴訟もできない。殺人未遂であれば警察に逮捕されるかも知れないが、サイバー攻撃が未遂に終わった場合は逮捕されない。攻撃者は翌日、またトライすればいい。失敗したからといって罰則はないのだ。これは米国でも例外ではなく、中国人のハッカーが侵入を試みようとしているからといって、逮捕もできないし制裁も不可能。攻撃者は基本的に捕まることを気にしなくていいのだ。

スキルが低くても攻撃を成功させることは可能

そしてランスティン氏は稀なケースとして、攻撃者がターゲットとなる組織の求人に応募したケースを紹介した。人事の担当者は、応募者のレジュメを開いて内容を見ることが仕事。それを悪用すれば、細工したメールによって担当者のPCにバックドアを作ることは容易だ。人事の担当者たちは基本的に盗む価値のあるデータは持っていない。しかし、そこを通じて他の部署を攻撃することは可能だ。攻撃者は人事にアクセスすることで、組織図を把握できる。この情報にもとづき、攻撃を横展開していくのだ。

スキルが低くても攻撃を成功させることは可能

さらにランスティン氏は、「Pingbed(APT1)」と呼ばれる攻撃について詳細な説明を行った。
「APT1は多くの人や組織が標的となった攻撃ですが、攻撃者はそれほど才能のある人ではありません。グループとしてのスキルはあっても、メールを送った人のスキルはそれほどではないのです。APT1についてまとめたレポートによれば、大半の攻撃はゼロデイもエクスプロイトも使っておらず、ただ実行可能なファイルをリンクとして送っているだけで、そこに高度な技術は見られません。しかしながら、必要なレベルでは高度化され、実際に攻撃は成功しています。攻撃者がPDFファイル、あるいはWordドキュメントを武器化する際には、18人のメンバーがポイントのクリックツールを使用し、フロントラインにスクリプトのキットを使っています」

ランスティン氏は武器化したPDFファイルを示した。
「これには特定のエクスプロイトが使われており、PDFを開くと実行されます。ただしこれは自分たちの手でエクスプロイトしているわけではなく、ツールを使っています。スキルの高くない、むしろ低い人たちが何百という組織にダメージを与えうることが可能というところが特筆すべき点ですね。また、攻撃の各段階で数多くの人が関わっているようです。最初の攻撃は実行ファイルを送るだけなので、高度なテクニックは必要ありませんが、いったんネットワークに入り込むと攻撃は高度化し、ペイロードを送り込みます。ここは非常に高度なやり方です」

FireEye製品について

最後にランスティン氏は、FireEyeの基本的な製品を紹介した。FireEyeでは、インバウンドのメールとWebフローを監視する2つの製品を提供している。メールサイドでは、添付ファイルを独自の仮想環境で展開し、解析する。Webサイドでは、メールを通して入ってくるコンテンツをメールサイドと同様にチェックする。また、URLをクリックした際のコンテンツについても分析する。ほとんどの攻撃は多段階で行われるので、最初のページだけでなく、そこからのリンクや、遷移された先も調べ上げる。これにより既知/未知の攻撃に関わらず、不審な挙動がないかをみていくのだ。「当社はMcAfee、RSA、Blue Coatなどとパートナーを組んでおり、脅威データを周辺機器のセキュリティデバイスとともに確認しています。今後も、皆さんの会社の防御態勢をよりいっそう改善していきたいと思っています」として、ランスティン氏は講演を締めくくった。

いつか見た景色 from Staff's Albums