ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

【レポート】Macnica Networks DAY 2015
B-3:攻撃はエンドポイントで起きている!
気づいている人は始めている一歩先の標的型対策を解説

B-3:攻撃はエンドポイントで起きている! 気づいている人は始めている一歩先の標的型対策を解説

2015年7月8日に、東京・品川で開催した「Macnica Networks DAY 2015」。今年も引き続きサイバーセキュリティにフォーカスをあて、複雑化・高度化する標的型サイバー攻撃から日本企業を守るため、最新の攻撃手法をはじめ、先進のセキュリティ技術などさまざまなセッションをお届けした。

セッションB-3では、マクニカネットワークスの矢野、羽田野、柳下が「攻撃はエンドポイントで起きている! 気づいている人は始めている一歩先の標的型対策を解説」と題した講演を行い、エンドポイントでの対策について解説した。

最新の攻撃手法と対策の課題

矢野

サイバー攻撃によって企業が狙われる事件が続いている。ご存知のとおり、標的型サイバー攻撃は、標的の企業・団体などに限定してサイバー攻撃を仕掛けるものである。例えば、問い合わせ窓口などへの質問を装い、企業に対してメールでやり取りを行いながらマルウェアを送り込み、感染させる。そしてシステムへの侵入が成功すると企業・団体内の様々なシステムへ不正にアクセスしたり、情報を盗みだしたりするといった手口である。

セミナー冒頭に矢野は「日々巧妙化する攻撃を完全に防ぐことは難しいのです。100%侵入を防ぐことは非常に難しく、これからは侵入されることを前提に対策を考える必要があります。」と指摘してから、実際の標的型サイバー攻撃を例に挙げ、その対応の難しさと注意ポイントを解説した。

まず、情報漏えい事件で注目されたマルウェア「Emdivi(エムディヴィ)」だ。これは、文書ファイルを装ったファイルが添付されたメールを送りつけられ、ファイルを開くと通常の文書が開く。しかし、それは“おとり”であり、バックエンドでEmdiviが実行され端末が感染、リモートでの攻撃が可能になる。このEmdiviを、事件が起こる前の2014年からマクニカネットワークスでは確認しており、セキュリティ研究センターブログでも取り上げていた。

「覚えておいていただきたいのはEmdiviも日々バージョンアップしているという事。セキュリティ各社は“Emdiviを検知できます”という謳い文句を使うと思いますが、それはあくまでも“その時点”での話であり、必ずしも日々更新される最新版のEmdiviを検知できますという事ではないのです。そういった謳い文句に騙されず、どのような仕組みでEmdiviを検知するのか?といったように正確な情報を把握したうえで対策を選んでほしい。」と矢野は語った。

また、最近のロシアの攻撃者が利用する手法はかなり複雑化している。サンドボックスや仮想実行エンジンを検知すると動作を止めるといったような対策が施されている。アンチウイルスツールやデスクトップファイヤーウォール、認証プロキシなどを迂回するような複雑な要素も含んでいる。

この攻撃者のターゲットにされているのは政府機関が最も多く、ついでシンクタンクだ。マルウェアの最新機能だけでなく、このような攻撃の傾向までを含めた情報分析が、対策には重要となる。

さらに、標的型サイバー攻撃で攻撃者が標的とした企業・団体のシステムに侵入したあとに、IDやパスワードといったクリデンシャル情報を取得するためによく使うツールとして「mimikatz」というものがあると矢野は紹介した。これは中国や朝鮮の攻撃者がよく使うツールで、パスワードが容易に取得されるため、被害が拡大することになる。

「標的型サイバー攻撃対策のポイントは、侵入されたこと、そして被害が拡大していることを迅速に把握できるか、そして迅速に被害箇所を特定して、対策を講じ、被害を最小限に食い止められるかどうかです。世の中の流行に惑わされず、攻撃の本質を捉えて本当に有効な対策を選ぶ必要があります。」と矢野は指摘した。

攻撃が起こっているのはエンドポイント

侵入、被害の状況を把握するには、攻撃がどこで発生しているかを理解することが重要だ。矢野は「攻撃はエンドポイント、つまり、PCやサーバで起きています」と語った。

標的型サイバー攻撃への対策は、ゲートウェイ製品を使用するものが多かった。ゲートウェイ製品をネットワーク上に設置し、通過する通信をチェックして、不正なアクセスなどを見つけたら対策を講じていく。また、標的型サイバー攻撃の場合は、社員がメールなどでやり取りする過程で、マルウェアに感染するケースが多いことから、社員教育も重視されてきた。

もちろん、ゲートウェイ製品での対策や社員教育も重要だ。しかし、それだけではカバーしきれない。標的型サイバー攻撃を100%防ぐことは難しいのだ。そこで、通信経路だけではなく、エンドポイントへの対策が重要となる。「エンドポイントに着目すると、さまざまな対策上のメリットが見えてきます」(矢野)

従来のエンドポイントにおける対策は、アンチウイルスソフト、ヒューリスティック検知、HIPS(振る舞い検知)などを組み合わせていた。しかし、これからは、EDRと呼ばれる新しいソリューションを用いるほうが防御力は高い。EDRとは、Endpoint Threat Detection and Response Toolの略で、ETDRとも呼ばれる。マルウェアや、異常な通信などを端末上で検知し、対策に必要な情報を収集し、迅速、かつ複数の端末を横断的に管理できるソリューションだ。検知からブロック、フォレンジック、対処まで一元的に実現できる特徴がある。

マルウェア侵入後、迅速な対処が可能になるEDR

Kill Chainで分類すると、標的型サイバー攻撃は「偵察、配送、攻撃、インストール、遠隔操作、侵入拡大、目的実行」という流れで行われる。 そして、それぞれの段階で、「予防、ブロック、検知、フォレンジック」という対策がある。それぞれに相当するソリューションを整理したのが下図である。

マルウェア侵入後、迅速な対処が可能になるEDR

このうち偵察から遠隔操作までの部分を担うのが、いわゆる「入口対策」である。しかし、前述のようにセキュリティ対策を回避するために進化しているのが最近の標的型サイバー攻撃である。

そして「侵入拡大と目的実行部分を見ると、網羅しているのはEDRということが分かります」と矢野は、標的型サイバー攻撃に対するEDRの効果を述べた。

検知、調査、対処のフェーズで効果が高いEDR

矢野はEDRの効果を、対策のフェーズごとに紹介していった。
 
まずは、検知フェーズである。社内システム内に設置する従来型のゲートウェイでは、外出時など社外からインターネットにアクセスする際は、通信がゲートウェイを通らないため検知できない。また、侵入時にサンドボックスを検知すると動作を停止するマルウェアもある。

検知、調査、対処のフェーズで効果が高いEDR

EDRを用いた対策は、ゲートウェイよりもメリットが多い。「EDRは、実端末でアクティビティをモニタリングしているため、検知力が向上します。例えば侵入拡大フェーズの攻撃も検知できます。ゲートウェイから外れる、持ち出したモバイル機器の場合は、端末でモニタリングしていることの利点が活きます。サンドボックスを回避するようなマルウェアも検知可能です。このようにEDRによる対策は、さまざまなメリットがあります」と矢野はその利点を解説した。

次に調査フェーズで比較に移った。ゲートウェイは、大量のアラートの中から重要なインシデントを瞬時に判別することが難しい。さらにアラート検知後、状況調査のためにさまざまなセキュリティ機器からのログを組み合わせる必要があり、複雑、かつ、かなりの時間を要するなどのデメリットがあった。

一方EDRで対策を施した場合は、実際に攻撃が起きているエンドポイントの状況をリアルタイムに把握することが可能になる。その結果、感染端末や盗まれたデータの特定、感染拡大の状況、攻撃手法などが瞬時に把握でき、対応へ迅速に移ることができる。

感染端末の利用者の理解を得て対処を進められるEDR

「最後に対処フェーズでも比較した。従来型とEDRの違いは、情報量の差とリアルタイム性である。従来は、感染端末や被害状況を特定するまでに時間を要し、実際の対処に移るまでに、手間と時間をかけすぎるデメリットがあった。さらに端末の所有者に連絡する手間、状況を説明する手間が必要となる。

その点、EDRは実端末でモニタリングするため、収集できる情報量が多くなる。その膨大な情報を元に、素早くピンポイントに対策を施すことが可能だ。そして感染端末を迅速に隔離し、拡大を早い段階で阻止し、マルウェアを端末から削除できる。しかも、検知から対処まで数分で取り掛かることが可能になる。標的型サイバー攻撃は、マルウェア感染から攻撃者が情報を取得するまでの時間が短いのが特徴だ。被害発覚から対処までの時間を短縮できるメリットは大きい。

「端末の所有者は、PCを取り上げられると仕事に支障が出ますから、あまり協力的ではありません。なかなか理解を得られないわけです。EDRを使えば、何のファイルがマルウェアに感染したか、どのファイルが流出したかなどの説明ができます。仮に機密情報を窃取された場合でも、このファイルが流出したと具体的に伝えれば、所有者も協力的にならざるを得ません」と、標的型サイバー攻撃を受けた場合の対処のしやすさを、矢野は説明する。

EDRソリューションのデモ

標的型サイバー攻撃と、その対策としてFalcon Host(ファルコン ホスト)とTanium(タニウム)の2製品によるEDRソリューションのデモを実施した。

会場に設置した矢野が実際に業務で使用するPCに対して、攻撃者役の柳下がマルウェアを添付したメールを送り、それを開いた矢野のPCがRATに感染、リモート・コントロールされる状態になった。スクリーンには、攻撃者の画面が移され、矢野のPCが自由に操作できるようになったことが示された。攻撃者・柳下は、矢野のPCの中を自由にアクセスして見せ、アカウントの権限、システム情報などの詮索を始める。その後、 パスワード取得ツール「mimikatz」を送り込み、パスワードなどを取得する。そして攻撃者・柳下は矢野のPCからデータを窃取した。

EDRソリューションのデモ

このようにして、標的型サイバー攻撃を受けたらどのような事態が起こるのかを、来場者の目の前で実演してみせた。

その後スクリーンは、米CrowdStrike(クラウドストライク)社の提供するFalcon Hostの管理画面に切り替わる。Falcon Hostの画面では、攻撃を受けているというアラートが上がり、攻撃を働いたマルウェアの挙動情報やC2(コマンド&コントロールサーバ)への通信や、流出したデータなど、さまざまな危険な痕跡が記録されていた。

「EDRは、エンドポイントで情報を収集しているからこそ、これだけの情報がリアルタイムですぐに収集できるのです。さらに侵入拡大の動きも検知できています」と矢野が説明した。

羽田野

続いて、羽田野よりTaniumを用いた対処フェーズのデモに移った。Taniumはリアルタイムにエンドポイントの情報を取得、対処ができるツールである。Falcon Hostで検知をした情報を用いて、すべてのエンドポイントから攻撃の痕跡を検索し、矢野のPC以外に同じマルウェアに感染しているPCを即座に把握した。その後、羽田野は即座に、感染端末上で動作しているプロセスに対してKillの操作を行い、マルウェアの機能を停止させた。つまり、感染端末のユーザに連絡し、感染端末回収することなく、リモートですべての対処を終えてしまったのである。

デモを終えたあと、「侵入されることを前提に標的型攻撃の対策を考えましょう。それには、エンドポイント対策としては、アンチウイルスだけではなく、EDRという新しいカテゴリのソリューションが有効です」と矢野は締めくくった。

いつか見た景色 from Staff's Albums