特集

最新のIT技術情報や旬な話題をお届けいたします

【Mpressionサイバーセキュリティセミナーレポート】世界のNew Standard 攻撃を止めないサイバーセキュリティ(後編)

世界のNew Standard 攻撃を止めないサイバーセキュリティ(後編)

2016年2月26日と3月11日に都内でマクニカネットワークス主催「Mpressionサイバーセキュリティセミナー ~攻撃のブロックは未知の攻撃を呼ぶ~ 世界のNew Standard 攻撃を止めないサイバーセキュリティ」が開催された。このセミナーでは、サイバー攻撃には「見つけたら止めるべき攻撃」と「見つけてもすぐには止めるべきではない攻撃」があり、対処済みの攻撃も継続的に調査し続けることが世界の新常識になっていると訴えた。「見つけても止めない」とはどういうことか。調査を「続ける」の意味とは何か。その疑問に対して、マクニカネットワークスが擁するセキュリティ分野のキーマン5人が攻撃の事例と分類、攻撃者の技術・戦略による裏付け、対策案などについて解説した。 今回は本セミナーのレポートの後編をお届けする。(前編はこちら)

Mpression
凌 翔太

語り手
凌 翔太

柳下 元

語り手
柳下 元

畠山 義秀

語り手
畠山 義秀

佐藤 将樹

語り手
佐藤 将樹

森 重憲

進行役
森 重憲

凌 翔太

語り手
凌 翔太

柳下 元

語り手
柳下 元

森 重憲

進行役
森 重憲

畠山 義秀

語り手
畠山 義秀

佐藤 将樹

語り手
佐藤 将樹

膨大なアラートから本当の脅威を見つけ出し調査を進めるトリアージ

前編では、サイバー攻撃をむやみに止めずに、Strike Zoneに入ったら一気に止めるという戦略を紹介したが、コモディティとAPTの境界のグレーゾーンもあり、適切なタイミングを見極めることは難しい。

ではどうしたらいいのか。

畠山は、「トリアージ」という方法を推奨する。トリアージとは、インシデントが発生した時にそれが脅威か否かを判断し、脅威であれば何をすべきかを優先順位をつけて考えるプロセスをいう。「日々数多くのアラートが発せられているが、それら全てに対応することは時間的・コスト的に不可能です。トリアージは本当に脅威だと思われるものをピックアップして対応することがポイントになる。攻撃を検知した後、初期判断でCommodityと判断した場合は即対応(駆除)するが、それ以外は個別調査とする。個別調査は、検知したKill Chainのフェーズを起点に、遡って原因究明を行う一方で、その時点での影響範囲の特定を行う。」(畠山)
個別調査は、「ネットワークフォレンジック(パケット解析、ネットワーク機器のログ解析)」、「コンピュータフォレンジック(ハードディスク解析、メモリ解析)」、「マルウェア解析(プログラムの実行解析、リバースエンジニアリング)」、「インテリジェンス(自社インテリジェンスとサードパーティインテリジェンスのマッチング)」の4つのカテゴリで総合的に実施することが必要となる。
トリアージのポイントとして畠山は、「明らかなCommodity以外のグレーゾーンは全て迅速に調査すべきで、初期判断が遅れれば感染が広がる。また、インテリジェンスと継続的に照合することが重要。」と話す。インテリジェンスは時間とともに変化するため、照合結果も変化する。そうすることで精度も向上するという。

世界のNew Standard 攻撃を止めないサイバーセキュリティ トリアージとは

攻撃キャンペーンの目的達成を困難にして攻撃者を欺く

続いて、攻撃キャンペーンを見つけるための方法について、柳下が解説した。
「一般的な対策としては、多層防御で検知・ブロックすることが常識になっている。キャンペーンの発見には、これら多層防御の各対策製品が残すログが重要だとした。Kill Chainの「3)配送」以降のフェーズで、IPSやサンドボックス、アンチウイルス、EDR(Endpoint Detection and Response)といったセキュリティ製品を導入し、そこからC&CサーバのIPアドレスや脆弱性番号、攻撃名、ファイルのハッシュ、マルウェアバイナリ、実行コマンドなどのログやマルウェア(ファイル)を1箇所に保存する。それを、自社やサードパーティの脅威インテリジェンスと照合・分析することで、攻撃キャンペーンを見つけることができる。」(柳下) 具体的には、マルウェアの機能や名称・種類、含まれる文字列、コンパイル時間、特徴的なリソース、ハッシュ値、通信先ドメイン、IPアドレス、URLなどをマッチングさせていくという。

攻撃キャンペーンを見つけるシステムができたら、攻撃キャンペーンを発見したときの備えとして、システム警戒レベル「Information Operation Condition」(INFOCON)を設定し、そのレベルごとにどのようなオペレーションを行うのかを決定しておく。
INFOCONとしては、疑わしい標的型サイバー攻撃(例:未知のRAT)が検知されたという警戒レベルを設定し、そのオペレーションとして、重要サーバのロギング強化や、パッチ適用監査頻度の向上、センサーアラートレベルの強化、RATのTTP収集、おとりシステムへの誘導と監視、有識者・提携事業者への連絡などを行うといったものを例としてあげた。また、明らかな標的型サイバー攻撃の場合は、VPNの遮断、パッチ未適用システムの遮断、重要サーバのアクセス制限、システムバックアップの強化などをあげた。
このオペレーションの背景は、戦略的な防御にあるとした。a)情報/システムの防御:攻撃に応じてシステムの秘匿性を高めるなどのセキュリティレベルを上げ、目的達成を難しくする。b)インテリジェンスの収集:過去の侵入分析や将来検知パターンの作成などTTPの1次収集と、攻撃を安全に監視し侵入後の活動や目的を把握する2次収集などを行う。また、攻撃を安全に監視する事で、攻撃が成功しているように思わせて攻撃者を欺き、攻撃をすぐにエスカレートさせない事もできるとした。

柳下は、「これらの施策はすべて、目的のある持続的な標的型攻撃であれば、防御側で攻撃や攻撃キャンペーンを止(と)める事は難しく、攻撃者が攻撃を止(や)めるようにしていくことを目的としている。」と強調する。

世界のNew Standard 攻撃を止めないサイバーセキュリティ 攻撃者を欺く

「過去の攻撃」「現在のリスク」「将来のリスク」を事前に調査

ここまではインシデントが発生した場合の対応だったが、インシデントが発生する前にできることとは何かについて畠山が解説した。それには3つのポイントがあるという。

1つは「過去の攻撃」。標的型サイバー攻撃対策の実施前に感染していた可能性や、対策をすり抜けて感染した可能性を考え、最新のインテリジェンスでチェックする。
2つ目は「現在のリスク」。システム・体制の脆弱性や攻撃試行による成功の可能性などの潜在的リスクを実際のTTPを使って調査する。
3つ目は「将来のリスク」。標的になる可能性を客観的な観点(公開情報やブラックマーケットの情報、同業他社への攻撃など)で調査する。畠山は「これら3つを事前に調査しておけばリスクを大幅に減らすことができる。」と述べる。

マクニカグループには、このセミナーの冠でもある「Mpression」(エムプレッション)というオリジナルの技術ブランドがあり、マクニカネットワークスが提供するサイバーセキュリティサービス群の「Mpression Cyber Security Service™」もそのひとつだ。このサービスは、既に受けている攻撃がないか調査する「コンプロマイズド・アセスメント」、特定の攻撃者の手法を用いて現状の防御力を調査する「ネクストジェネレーション・ペネトレーション・テスト」、企業特有の脅威を外部からの情報のみで分析する「カウンター・スレット・アセスメント」、個別のイベント(例:国際大会のスポンサーになった、など)によって発生する脅威を分析する「タクティカル・インテリジェンス」といった、過去の攻撃~現在のリスク~未来のリスクを調査分析するメニューが揃っている。また、検知したマルウェアの危険性を判定する「クイックトリアージ」、インシデントの原因と影響範囲を調査する「インシデント レスポンス」、将来のインシデントの予防策を調査する「再発防止策」といったサービスもある。

世界のNew Standard 攻撃を止めないサイバーセキュリティ Mpressionの主なメニュー

その中の、クイックトリアージについて、セキュリティ第1事業部 プロダクト第2営業部 佐藤将樹が概要を紹介した。
「このサービスは、マルウェアを検知したり疑わしいファイルを検出したりしたら、その検体をマクニカネットワークスに送ってもらい、攻撃の動的解析やインテリジェンスの照合、外部ソースの活用、人の手などで総合的に判断し、迅速にマルウェアの概要や動的解析結果、攻撃者の概略を報告します。」と説明する。1検体あたり年間4万円で調査が可能なので、高度なインシデントレスポンスを行う前に利用するのもひとつの方法だと佐藤は言う。
しかし、クイックトリアージサービスで調査した結果がAPTではないと過去に判断された場合でも、最新のインテリジェンスではAPTに判定されるケースがあるため、オプションの「クイックトリアージ継続サービス」の利用を佐藤は推奨する。これは、週1回のインテリジェンスチェックを継続的に実施するもので、危険性の判断に変更が行われた場合は即時に報告されるため、グレーゾーンへの対応として利用できる。

APT対策に有効な3つの処方箋

次に、APT対策に代表的なソリューションを紹介した。1つ目が前編でも紹介した「FireEye」。標的型サイバー攻撃やゼロデイ攻撃に対応するためのアプライアンス型サンドボックス製品だ。独自の仮想実行エンジン「MVX」(Multi-vector Virtual eXecution engine)で実環境と同じ環境内でマルウェアを活動させ、C&Cサーバへの通信やメモリへ直接ロードするモジュールなどの動きを再現させてトレースすることで、怪しい振る舞いを検知することができる。また、攻撃のステップに応じたマルチフロー解析により多段階攻撃に対抗することも可能だ。「FireEyeは明らかにAPTと判断したものはシグネチャを作ってふるいにかける。グレーゾーンはサンドボックスでチェックし、確定しないものは自社インテリジェンスにフィードバックし、確定的にAPTと判定したらグローバルのインテリジェンスとして反映させる。」と畠山は説明する。
また、リモート監視サービス「FireEye as a Service(FaaS)」や、「Compromised Assesment」、「Incident Response」といったサービスも提供している。

世界のNew Standard 攻撃を止めないサイバーセキュリティ FireEye

2つ目はCrowdStrike社の各種製品。標的型Threat Intelligenceを提供する「Falcon Intelligence」は、攻撃キャンペーンのインジケータ情報や攻撃者のTTPレポートを提供する。ワールドワイドに標的型サイバー攻撃組織やハクティビスト、金融犯罪組織など約80グループの攻撃組織のインテリジェンスを収集している。
標的型サイバー攻撃対策の「Falcon Host」は、エンドポイントに2MBのFalconセンサー(エージェントソフト)をインストールし、プロセスやネットワークなどのアクティビティを常時収集・監視する。振る舞いによる検知・ブロックと、Overwatch(CrowdStrike社のエキスパートによる監視)が危険な攻撃の発見とインシデント対応支援を行うことで、最高度の標的型攻撃対策とインシデントレスポンスを低コストで実現する。

世界のNew Standard 攻撃を止めないサイバーセキュリティ CrowdStrike

それらに加えて、マクニカネットワークスはサイバーリスク保険の代理店として保険商品の取り扱いも行っており、インシデントが発生した際の損害賠償、事故対応、喪失利益などにかかる費用へのファイナンシャルな対策も提供している。

脅威を一瞬で検索する技術と攻撃者を騙して企業を守る技術

その他、最新のソリューションも紹介された。1つ目が、リアルタイム脅威検索プラットフォーム「Tanium」(タニウム)。エージェントをエンドポイントに配置する製品で、大規模なエンドポイント(運用実績50万台)の情報をP2P通信の技術を取り入れて高速(十数秒)で取得し、何が起こっているのかをGoogle検索のような手軽さで突き止めるシステムだ。

世界のNew Standard 攻撃を止めないサイバーセキュリティ Tanium

膨大な数のエンドポイントを調査することは非常に困難であり、実現できていないケースが多い。Taniumは質問を検索フィールドに入力するだけでネットワーク上のエンドポイントを検索して、結果を管理コンソールに表示する。インシデントレスポンスで使う場合は、ハッシュ値からエンドポイントかを特定し、リモートでプロセスをKillすること等が高速に実現できる。

2つ目が「Attivo」(アティーボ)。凌は、マクニカネットワークスに新たに加わったこの製品について次のように表現する。「サイバーセキュリティでは、Kill Chainの中の内部偵察と侵入拡大の部分の対策が手薄になっているケースが多い。Attivoは『Deceptionテクノロジー』、つまり“騙す技術”を用いて標的型サイバー攻撃の攻撃者から企業を守るという点で非常にユニークな存在だ。」
Attivoは、実環境の中におとり領域「BOTsink」を用意し、おとり環境に攻撃者を誘導する“撒き餌”となる偽のアカウント情報「IRES」を使っておとり領域の認証情報を実際のユーザクライアントにインストールし、攻撃者をBOTsinkに誘導する。BOTsinkに攻撃者を誘導できれば、管理者にアラートを上げるとともに、二度と実際のネットワークに戻ることはできない仕組みとなっているため、安全に攻撃者を泳がせて攻撃の手法を監視したり推察したりすることが可能となる。

世界のNew Standard 攻撃を止めないサイバーセキュリティ Attivo

最後に、森は、「サイバー攻撃を止めないことで、その後のプロセスをモニタリングしながら被害拡大を最小限に抑え、対策をさらに強化していくクレバーな戦略が実現する。また、それにAttivoの“騙す戦略”が加わればTTPがおとり環境で安全に深く調査できる。ご興味があればぜひマクニカネットワークスにお問い合わせいただきたい。」と語り、Mpressionサイバーセキュリティセミナーを終了した。

いつか見た景色 from Staff's Albums