特集

最新のIT技術情報や旬な話題をお届けいたします

【レポート】
Macnica Networks DAY 2015 基調講演
「Hand-to-Hand Combat
with a Targeted Attacker」

2015年7月8日に、東京・品川で開催した「Macnica Networks DAY 2015」。今年も引き続きサイバーセキュリティにフォーカスをあて、複雑化・高度化する標的型サイバー攻撃から日本企業を守るため、最新の攻撃手法をはじめ、先進のセキュリティ技術などさまざまなセッションをお届けした。

基調講演では、米国CrowdStrike(クラウドストライク)社よりセキュリティの第一人者であるGeorge Kurtz(ジョージ カーツ)氏が来日し、最新の標的型サイバー攻撃やActive Defenseに基づくセキュリティ対策の手法について解説した。

今回は、基調講演で解説された内容をご紹介する。

CrowdStrike社は、セキュリティ業界の著名人からなるサイバーインテリジェンスのリーディングカンパニーです。Forbes の最も将来性の高い企業「Most Promising Companies」ランキングにも選ばれました。同社は、独自のインテリジェンス機関を有しており、最近では「仮想マシン(VM)エスケープ」の脆弱性「VENOM」を発見したことでも注目されています。その他、「PUTTER PANDA」や「DEEP PANDA」など世界中のさまざまな攻撃者を突き止めています。

George Kurtz氏は、同社の共同創業者 兼 CEO で、以前はMcAfeeのワールドワイドCTO でした。「Washington’s 100 Top Tech Leaders」に選ばれています。


毎日発生するセキュリティインシデントの
約60%はマルウェアを使わない攻撃

冒頭、Kurtz氏は、「企業や組織へのセキュリティ侵害の事例のうち、69%が警察など第三者の外部機関から指摘を受け、初めてその事実を知ったという調査結果がある。また、その指摘を受けるまで平均200日以上も経過しており、1度セキュリティ侵害があれば約760万ドルの損害が発生し、失った1人当たりの被害額は平均214ドルになっている。毎日のようにセキュリティインシデントが報じられているが、マルウェアによるセキュリティ侵害は40%に留まり、マルウェアを伴わない原因が多いことも重視して欲しい」と訴える。

テロリストから、ハクティビスト/サイバー自警団、サイバー犯罪者、さらには私企業、そして国家に至るまで、脅威を生み出すグループや組織は高度化していくが、高度化すればするほどマルウェアを使わないサイバー攻撃の割合が増えるという。

Why is this happning - the GAP

60%を占めるマルウェア以外の攻撃には、アカウント情報の搾取や、ソーシャルエンジニアリング、インサイダー脅威などがある。しかし、セキュリティ対策はアンチウイルスやサンドボックスなどマルウェアの検出・検知に偏っており、攻撃者は、それらをすり抜ける技術を開発する“セキュリティギャップ”が今、問題になっているという。

そこでKurtz氏は最近の報道記事からセキュリティギャップの事例を紹介した。風力発電など再生可能エネルギーの高度グリッドシステムを開発するある企業は、他国の風力発電機製造企業から標的型攻撃を受け、風力発電技術を盗まれ、1日にして時価総額の10億ドルを失い、受注高もゼロとなり、結果的に500人もの従業員を解雇する事態となった。

Kurtz氏は「これはマルウェアによる被害のレベルではなく、まさに会社の利益や財産を狙った悪質な標的型攻撃であり、被害企業はそれを十分に警戒すべきだった」という。

従来の多層防御は意志を持った標的型攻撃には無力

次に、最近の新しいトレンドについて、Kurtz氏は「破壊とダンプ」というキーワードを説明した。記憶に新しいところでは、2014年のサイバー攻撃事件がある。国家が関与した可能性が指摘されたその一連のサイバー攻撃はアンチウイルスに検知されず侵入し、気付かれないまま大量の情報を盗み、それをインターネットにダンプして(ばらまいて)、最後にコンピュータシステムを徹底的に破壊した。

「これは典型的な例だ。今後こうした事件が次々と発生するだろう」とKurtz氏は警告する。また、将来的には、データをダンプして破壊するのではなく、攻撃者が企業のデータを人質にして“1億ドルを送金しなければデータを破壊する”とCFOやCIO、顧問弁護士などを脅迫する事案が増加する可能性があると予測する。「心配なのは人知れず身代金を支払う企業が出てくること。過去のセキュリティ対策は役に立たなくなっている」

従来のWebゲートウェイ、IPS / IDS、アンチウイルスなどによる多層防御は、日和見型の攻撃やさほど悪意がない攻撃には一定の効果があるものの、明確な意志を持った攻撃者による標的型攻撃は、静かに気付かれないまま侵害してくるため無力だ。Kurtz氏は「マルウェアはあくまでも“弾丸”であり、それを作っている人間、組織や会社に向けて銃口を向けている人間がいるはず。そうした敵対者がネットワークに侵入できないような対策を考えるべき」という。

事後対応のIOCではなくIOAを想定した防御を考える

またKurtz氏は、高度な攻撃の前には伝統的なIOC(Indicator of Compromise;侵入インディケータ)防御だけでは無力だという。IOCとはマルウェアのシグネチャや、ファイル名、IPアドレス、レジストリのエントリなど、侵入の痕跡を探す事後的対応を意味する。だが、痕跡を見つけたところで既に侵入されており、重要な情報は盗まれ、データは破壊されている可能性が高い。それよりもIOA(Indicator of Attack;攻撃のインディケータ)を考えるべきだとKurtz氏はアドバイスする。IOAとはコード実行やシステムへの常駐、偵察、通信と制御の確立、ラテラルムーブメント(マルウェアの侵入拡大ステップ)などをいう。

「IOCはクルマのバックミラーで過ぎ去った風景だけを見ながら運転をするようなもの。フォレンジックや痕跡探しでは事前の防御につながらない。IOAによってフロントガラスから前方を見て危険を予測しながら運転する必要がある」

ここでKurtz氏は銀行とITの世界との違いを説明する。まず、銀行窃盗団の手口を細かく分析する。

  • (1) 銀行の外を歩き回って出入り口をチェック
  • (2) 銀行に侵入
  • (3) 変装してこっそり作業
  • (4) 監視カメラを回避/無効化
  • (5) 金庫を開く
  • (6) 金庫から現金を取り出す
  • (7) 現金を持って銀行から脱出
  • (8) 車で逃走

銀行窃盗団の手口には、これら8段階がある。1~2までは泥棒か銀行員かは判断できないが、3以上の行為には悪意があるとわかる。

Is the bank being robbed?

これをITセキュリティに当てはめてみると、

  • (1) Webサーバがプロセスを実行
  • (2) プロセスによって権限が昇格
  • (3) プロセスがネットワーク偵察行為を実行
  • (4) プロセスがWindowsシステムのプロセスにスレッドをインジェクション
  • (5) インジェクションされたスレッドがシステムのプロセスメモリからアカウント情報を読み取る
  • (6) ダンプされたアカウント情報を使用してExchangeサーバにログイン
  • (7) ユーザのメールボックスをExchangeの外にエクスポート
  • (8) メールボックスを環境外にFTP送信

このような一連の行為になる。しかしKurtz氏は、これらの行為のどこに明確な悪意があるのだろうかという。

Is there an intrusion?

「ひとつひとつの痕跡に対する判断では悪意のある行為か通常の行為かの区別がつかないが、これら一連の行為を関連付けて考えれば悪意のある行為だと推定できる。これこそがIOAのパワーだ」

チェスでは先手の作戦パターンはわずか20通りに限られる。同様に、セキュリティでも攻撃者の先制的な動きは現実的な数に過ぎない。IOAでは従来は未知だった攻撃もリアルタイムで知ることができる。CrowdStrikeではこうした分野に注力しているという。

侵害が必ず起こることを前提に計画を事前に策定しておくことが重要

続いて、Kurtz氏はマルウェアを伴わない侵入の例を紹介した。CrowdStrikeのインテリジェンスチームでは常に世界中でモニタリングやトラッキングを行っているが、全世界で8地域ほどに攻撃者の勢力が存在し、それぞれ国別に名前をつけているという。中国は「◯◯◯Panda」(パンダ)、ロシアは「◯◯◯Bare」(熊)、イランの場合は「◯◯◯Kitten」(猫)、北朝鮮なら「◯◯◯Chollima」(馬)という具合だ。

その中の「Hurricane Panda」(ハリケーン・パンダ)は、2013年後半頃から米国や日本をターゲットに活発に活動を開始し、電気通信やテクノロジー業界のハイテク企業を狙った非常に能力の高いサイバー攻撃集団だ。ChopperWebshell、PlugXなどを使用し、窃取した証明書を使用してマルウェアに署名し検出を回避する、マルウェアとWebshellを使用してリモートアクセスを実行する、アカウント情報をダンプするツールと権限昇格によってラテラルムーブメントを実行するなどの行為を行っている。

ある企業では1年以上もHurricane Pandaからの攻撃を検知できなかった事例があった。この企業はユーザネームもパスワードも適切に管理し、ドメインコントローラから定期的に全ユーザーのパスワードのリセットも行うなど標的型攻撃に対応してきたが、埒が明かずCrowdStrikeにサポートを求めてきたという。すぐさまCrowdStrikeではインシデントレスポンスチームを派遣し、どのような攻撃が行われているのかを調査したところ、バックドアのWebshellが仕込まれていることが判明。Webshellは見た目が単純なテキストファイルでWebサーバの一部として実行されるため検出が難しく、リモートからアクセス権の獲得やシステムへのアクセスを維持する。実際にWindows PowerShell を使ってWebサイト上に4つのコマンドコントロールを持っており、ファイルのアップロード/ダウンロードを自由に行っていたという。マルウェアを使っていなかったため大手ベンダーのサンドボックスも機能しなかった。

「重要なことは、侵害に備えた計画を事前に策定しておくこと。残念なことに、現在はそうした侵害が起きるか起きないかではなく、必ず起こる前提で、いつ起きるのかを想定する段階に来ている」とKurtz氏は警告する。

敵対者は企業内のシステムにあるギャップを見つけて攻撃してくる

同氏は、「IOCの痕跡のみ収集する活動を改め、IOAという新たな検知方法に基づいて、アカウント情報搾取を発生と同時にリアルタイムまたは準リアルタイムに検知する必要がある」という。また、特権アカウントの管理方法も考えるべきだともいう。ユーザドメイン情報を管理するための製品を導入したり、複数の特権アカウントを用意して普段使わないアカウントが使われた場合に侵入を検知できるハニートークンというものを活用したりすることも有効だとアドバイスする。さらに、復旧計画の立案はIRで最初から行う必要があるという。Webshellの排除やアカウントのリセットなどは全体のダメージを調査して復旧することが一般的だったが、その間に企業の知財がどんどん流出していく可能性があるため即座に手を打つ必要があるからだという。

そして、Kurtz氏が最も推奨したいこととして、敵対者のネットワーク侵入を検知し封じ込める365日/24時間対応の専門のアナリスト集団(マネージドハンティングサービス)を育成することを提案する。

「サンドボックスやバーチャルコンテナ、バーチャルデトネーションで発生する現象とエンドポイントで発生する現象は大きく異なる。実際の侵入はシステムやサーバ、エンドポイントであるため、サンドボックスの技術だけを使ってセキュリティは万全だと考えるのは適切ではない」

最後にKurtz氏は、F1界伝説のレーサーであるアイルトン・セナ氏の言葉、「レーシングドライバーであるということは、他のドライバーと競っているということだ。そこにあるギャップを埋めようとしないのなら、レーシングドライバーではない」を引用し、「敵対者も皆さんの企業内のシステムにあるギャップを見つけて攻撃してくる。従来のマルウェアを中心とした対策もギャップ。マルウェアを使わない攻撃もギャップ。敵対者の侵入を可視化できないこともギャップである。それらギャップを埋める活動をぜひ日本でも行っていただきたい」と語りかけ、基調講演のまとめとした。

いつか見た景色 from Staff's Albums