特集

最新のIT技術情報や旬な話題をお届けいたします

【Mpressionサイバーセキュリティセミナーレポート】世界のNew Standard 攻撃を止めないサイバーセキュリティ(前編)

世界のNew Standard 攻撃を止めないサイバーセキュリティ(前編)

2016年2月26日と3月11日に都内でマクニカネットワークス主催「Mpressionサイバーセキュリティセミナー ~攻撃のブロックは未知の攻撃を呼ぶ~ 世界のNew Standard 攻撃を止めないサイバーセキュリティ」が開催された。このセミナーでは、サイバー攻撃には「見つけたら止めるべき攻撃」と「見つけてもすぐには止めるべきではない攻撃」があり、対処済みの攻撃も継続的に調査し続けることが世界の新常識になっていると訴えた。「見つけても止めない」とはどういうことか。調査を「続ける」の意味とは何か。その疑問に対して、マクニカネットワークスが擁するセキュリティ分野のキーマン5人が攻撃の事例と分類、攻撃者の技術・戦略による裏付け、対策案などについて解説した。
今回は、本セミナーのレポート前編をお届けする。

Mpression
凌 翔太

語り手
凌 翔太

柳下 元

語り手
柳下 元

畠山 義秀

語り手
畠山 義秀

佐藤 将樹

語り手
佐藤 将樹

森 重憲

進行役
森 重憲

凌 翔太

語り手
凌 翔太

柳下 元

語り手
柳下 元

森 重憲

進行役
森 重憲

畠山 義秀

語り手
畠山 義秀

佐藤 将樹

語り手
佐藤 将樹

Threat Intelligence、TTPの意味とは?

セミナーの冒頭、進行役を務める取締役 事業戦略統括室 室長の森重憲は、標的度合いによるサイバー攻撃の3分類について紹介した。

世界のNew Standard 攻撃を止めないサイバーセキュリティ_語り手

  • 「Commodity Attacks」
    1. 不特定多数への攻撃
    2. マルウェアをばらまいたり、Webサイトに仕掛けたりする攻撃
    1. 例:バンキングマルウェア、ランサムウェア
  • 「Group Targeted Attacks」
    1. 複数の標的への攻撃
    2. 全部の攻撃に成功する必要はない
    3. 踏み台、情報収集、情報窃取、など
    1. 例:個人情報窃取、イベント関連攻撃、マルウェア「Emdiviエムディビ)」
  • 「Individual Targeted Attacks」
    1. 特定組織を標的にした攻撃
    2. 知財、財務情報、その他営業機密
    3. 重要インフラ
    1. 例:米国エンターテインメント企業への攻撃、国内公的機関への攻撃(Emdivi)

森は、「国内公的機関への攻撃で一躍名前が知られたEmdiviは、1)で広くばらまき、2)で攻撃に成功して情報が得られそうと分かれば、3)でその組織を徹底的に攻撃して成果を得るといった、攻撃のエスカレーションを行っていった」と分析する。また、「Aurora Panda」や「Numbered Panda」といった日本を狙う中国の攻撃組織も近年ますます活動を活発化させ、危険度が高まっているという。

続いて、サイバー攻撃に関連する用語の定義を、セキュリティ第1事業部 プロダクト第4技術部 課長の柳下元が行った。柳下は、「まず『Threat Intelligence』(脅威インテリジェンス)とは、個人・組織への脅威に対して確かな根拠に基づく判断と実行が可能な確信的情報のこととした。実行可能とはセキュリティ機器やツールに適用でき、脅威に対して迅速かつ的確に対応できること」と説明。
Intelligenceは1)機器に適用可能なフィード(検知ルール)の量と質、2)フィードの形態、3)攻撃を判断・分析するコンテキスト、4)提供形態(無償/有償)の4つの視点で捉えると、下図のように4つのIntelligenceに分類できるとした。

  • a)「レピュテーション」:既知のブラックリスト(マリシャスなIPアドレス、ドメイン、URL、ハッシュ値などのリスト)
  • b)「マルウェア」:マルウェア解析情報、動作挙動と種類、通信先情報など
  • c)「キャンペーン」:1回の攻撃キャンペーンに利用された標的型マルウェアの解析情報
  • d)「攻撃者」:複数の攻撃キャンペーンに利用されたマルウェアの解析情報と、背景にある攻撃組織の情報や目的
4つのIntelligence

特に標的型攻撃に対して、確かなる分析や判断の元となるコンテキストは、攻撃者Intelligenceがもっとも優れている。
また、“攻撃組織のTTP”という表現がよく使われているが、TTP(Tactics, Techniques, and Procedures)とは、攻撃者が攻撃に使用する戦術・技術・プロシージャ(攻撃の流れ)のことを意味し、他の攻撃キャンペーンと識別可能な攻撃の特徴と考えればいいと柳下は言う。例えば、先に紹介した中国の攻撃組織「Aurora Panda(APT17)」は、日本や米国、ドイツといった先進国の政府、航空、防衛、エネルギー、金融、ハイテク、メディアなど多岐にわたる産業を標的とする。この組織のTTPとして、配送手段はOfficeの添付ファイルや水飲み場攻撃、利用するマルウェアはデジタル署名付きのHikit、9002 RAT/Hydraq、ZxShell、PoisonIvyなどを使ってホワイトリストを回避して攻撃する。また、攻撃活動の休止中は、C&CサーバのIPアドレスの第1オクテットの値を変更するといったTTPも持っている。そして攻撃者は、このTTPを変化させてくる事もあると強調した。

“沈黙の千里馬”がリアルワールドに与えた影響

柳下はもう1つ特徴的な攻撃事例を紹介した。北朝鮮の「Silent Chollima」(沈黙の千里馬)と名付けられた攻撃組織は2009年7月に最初の攻撃を米国と韓国に仕掛け、その後も2011年、2013年と韓国に打撃を与えた後、2014年11月に米国のエンターテインメント企業を標的にして3万台のPC・サーバのディスクをワイプし、基幹システムを停止させた。原因は、北朝鮮をパロディ化した映画公開を強行した報復だといわれている。その影響で同社は決算発表を延期し、クラスアクション(集団訴訟)にも対応することとなった。Silent Chollimaはその直後の2014年12月にも韓国の原子力発電関連企業への攻撃を行った可能性があり、成功はしなかったものの、リアルワールドへの重大な影響を与えかねない脅威として話題となった。

「Silent Chollimaは、Jokra/DarkSeoul RATというマルウェアを使い破壊攻撃を行う」と柳下は言う。そのTTPは、SSHクレデンシャル(アカウント情報)を取得してUNIXサーバへログオンし、データをdd/rmコマンドで上書き・削除を行う。また、Windowsに対しても同様にクレデンシャルを取得してPCのデータを上書き・削除し、MBR(マスターブートレコード)も上書きして起動できなくする。

この米国エンターテインメント企業への侵入から破壊に至る攻撃の手順について、米国のセキュリティ企業CrowdStrike社は、“まずネットワークに侵入し、ユーザアカウントを手に入れ、そのアカウントを使ってシステム内を移動し、機密データを盗み、最後に破壊タイプのマルウェアをばらまいた”と分析している。また、CrowdStrike社は、こうしたサイバー攻撃の侵入を100%防ぐことはほぼ不可能だと主張している。その前提に基づき、柳下は「システム内を移動させてしまうユーザアカウントを盗まれないようにすれば、その後の情報窃取や大規模な破壊行動を止めることも可能になる。それが大変重要なポイント」と述べた。

個別のターゲットへ持続的に攻撃を行うAPT

次に、セキュリティ研究センター 主任技師 凌翔太が攻撃の分類について説明した。その中で凌は、「Emdiviほど、セキュリティベンダーが多くの検体を集めたり多くの被害事例を見たりしたケースは稀だ」と断言するほど、命名された2014年から、あるいはもっと前からEmdiviによる被害は数多いという。そのTTPはアイコン偽装により一太郎やFlashの脆弱性を突く攻撃が行われ、公的機関や商社、防衛関連、医療機関、報道機関、製造業とターゲットを次々と変えていった。

2015年5月の国内公的機関への攻撃では、8日(公開メールアドレス)、18日(個人メールアドレス)、19日(個別メールアドレス)、20日(公開メールアドレス)と4回に分けてEmdiviが送り込まれた。1回目でNISC(内閣サイバーセキュリティセンター)が発見しC&Cサーバへの通信を遮断したため、2回目と3回目は不発に終わるが、4回目で攻撃者はTTPを変更し認証サーバも乗っ取られてしまった。

また、凌は攻撃の分類として、バンキングマルウェアやランサムウェアなどの「Commodity」は単発、無差別の攻撃であり、EmdiviやSilent Chollima、産業スパイなどの「APT(Advanced Persistent Threat)」は個別のターゲットに対して持続的に攻撃を行うという違いがあり、Commodity、APTとも、既知の脅威、検知可能な未知の脅威、検知不可能な未知の脅威の3つでマトリクス化し、合計6分類で考えるべきだという。

攻撃を止めず攻撃者を泳がせ、未知の攻撃パターンを可視化

さらに、サイバー攻撃において、強い目的意識を持ち高い能力と豊富な資金力を備えた攻撃者が行う「Kill Chain(キルチェーン)」という手法についても言及した。Kill Chainとは、1)偵察:SNSや公開情報などからターゲットの情報を収集、2)武器化:マルウェアの作成およびC&Cサーバの構築、3)配送:メールやWeb経由でマルウェアを送る、4)攻撃:被害者がドキュメントを開くことで脆弱性を突く、5)インストール:RATがダウンロードされて常駐、6)遠隔操作:RATがC&Cサーバ上の命令を実行、7)侵入拡大:他の端末に侵入、8)目的実行:機密情報をC&Cサーバにアップロード、といった8つのフェーズで一連に攻撃が実行されていくことをいう。攻撃者から見て、こうしたキルチェーンを仕掛けていくことを「攻撃キャンペーン」と表現する。

攻撃は見つけても止めない

「APT攻撃のキャンペーンはKill Chainのステップ全てを踏襲して初めて成功するため、マルウェアを検知できればブラックリストに乗っていないドメインと通信していることも分かる。見つけたものから過去の被害を洗い出すだけではなく、今後どのような攻撃が行われるかを予測することもできる。だたし、即時ブロックしてしまうと今後の予測も難しくなるため、攻撃は止めないことが重要になる」と凌は強調する。ここでようやく“攻撃は見つけても止めない”という理由が明らかになった。

Kill Chainのどこかで攻撃を検知してブロックした場合、攻撃を防ぐことには一時的に成功するが、それ以降の攻撃パターンや脆弱性が未知数のままになってしまう。攻撃者はブロックされない(検知されない)マルウェアを作り次から次へと攻撃を行ってくる。そうすると防ぐことがますます難しくなる。そのため、攻撃はすぐには止めずに、漏れてはならない情報を攻撃者に気付かれないようにネットワークから隔離して守り、攻撃者を泳がせることで未知の攻撃パターンや脆弱性を洗いざらい可視化することが有効だという。

では、いつ止めるのか。

凌は「Strike Zone」があるという。「攻撃の時間経過とともに収集するTTP情報が増えていき、新しく見つかるTTPが減ってきた、つまり、攻撃者のTTPの大部分を入手したという時が一気に止める(撲滅する)タイミング」だという。従来はマルウェアを見つけ次第、駆除していたため、TTPが不足したまま対処する状態になっていたわけだ。

また、重要な判断がある。CommodityとAPTの境界「グレーゾーン」だ。RATやBOTにはCommodityからAPTへ発展するタイプもあるため、それらは初めからグレーゾーンに含めることが必要だという。

CommodityからAPTへ変化したEmdiviの認識

その例として、セキュリティ第1事業部 事業部長代理の畠山義秀がEmdiviにおける認識の変化を解説した。「マクニカネットワークスが提供する標的型サイバー攻撃対策『FireEye』では、世界中のユーザから攻撃の情報を収集し、脅威インテリジェンスを蓄積してきた。FireEyeがおとり文書情報やC&Cサーバの情報などを蓄積していく一方で、マクニカネットワークスも独自にマルウェアの検体を研究センターで収集・調査していった。その中で、Emdiviの作成日やバージョンに傾向が見られた」(畠山)

あるタイムゾーンでマッピングすると、土日や昼休みには作成されず、バージョンも毎週変わるなど、規則的に作業を行っていたことなどから組織的に管理された活動と見られる形跡があったという。それが後にEmdiviの攻撃キャンペーンとして確認されたものだった。Emdiviは2014年5月に観測されたが、しばらくはCommodityとして扱われており、10月頃から組織的な攻撃に移行してグレーゾーン化。C&Cサーバの情報が公表される頃にはAPTへと変化していった。そして国内公的機関の事件が発生した。

後編へ続く)

いつか見た景色 from Staff's Albums