2016年2月23日
2016年2月23日
2016年2月23日(火)
サイバー セキュリティー インシデントからみた"興味深い"攻撃手法
日本アイ・ビー・エム株式会社 セキュリティー事業本部 セキュリティー
サービス デリバリー セキュリティー シニア スペシャリスト 戴 開秋
2015年は私にとってエマージェンシー レスポンス 支援サービス(ERS)に携わる"新人"一年目でした。2015年一年間、私は様々なサイバー セキュリティー インシデントを経験し調査に参加しました。対応したサイバー セキュリティー インシデントから攻撃者が攻撃の成功率を高め、マルウェアを検出させないように攻撃手法を工夫していることを痛感しました。今回は私がサイバー セキュリティー インシデントからみた六つの”興味深い”攻撃手法をご紹介いたします。
1. アクティブ ディレクトリー (AD)サーバーと感染端末にバックドア経由で通信させ、イベント ログを残さない
攻撃者は感染端末を利用して被害者のネットワーク構成などを学習し、重要なサーバー(例えば、AD サーバー、ファイル共有サーバー、データベース サーバーなど)に侵入して秘密情報などを窃取します。あるインシデントでは、AD サーバー上にのみ保存されているはずの機密情報が、ある遠隔操作型マルウェア (RAT)に感染した別の端末に保存されていました。しかし、その機密情報がいつ、どのように感染端末に保存されたかを特定するイベント ログは見つかりませんでした。調査したところ、攻撃者がその AD サーバーと感染端末にバックドアを埋め込んでいました。攻撃者が埋め込んだバックドアを利用して AD サーバー上の機密情報を収集し感染端末に保存したためログが残らなかったのではないかと考えられます。
ちなみに、AD サーバーに埋め込んだバックドアは Windows の netsh.exe コマンドを起動する機能も持っていました。攻撃者は netsh.exe コマンドを利用して被害者のネットワーク構成を表示または修正できるため更なる攻撃を進めることが可能になります。
2. AD サーバーにおいてタスクを追加して埋め込んだバックドアを定期的に起動する
感染端末にレジストリ キーを追加して、感染端末が起動するたびにマルウェアを起動させるという手法は良く耳にしますが、あるインシデントでは、攻撃者は RAT 感染端末を経由して AD サーバーにバックドアを埋め込んでタスクを追加し定期的にそのバックドアを起動させていました。AD サーバーが滅多に再起動しないため攻撃者はタスク スケジューラでそのバックドアを起動させるタスクを追加したのでしょう。
ちなみに、RAT 感染端末において攻撃者が起動時に RAT マルウェアを起動するレジストリ キーを追加していました。その感染端末は一般ユーザーが使用する PC で、頻繁に再起動するため、攻撃者はレジストリ キーでマルウェアを起動する手法を取ったのでしょう。
3. 複数の感染端末に Proxy 経由でコマンド アンド コントロール (C&C)サーバーと通信させる
あるインシデントにおいて、攻撃者は RAT 感染端末に Proxy ツールを埋め込んで、複数の感染端末にその Proxy 経由でコマンド アンド コントロール (C&C)サーバーと通信させていました。これは、攻撃者が C&Cサーバーと通信するソースを少なくし、ゲートウェイでの発見を困難にするためだったのでしょう。
4. 感染端末に C&C サーバーとゆっくり通信させる
あるインシデントの一つの特徴は、RAT 感染端末に C&C サーバーと非常にゆっくり通信させることでした。そのインシデントにおいて、お客様の Proxy サーバーのログを調査したところ、各感染端末は数十秒間おきに HTTP POSTメソッドで各 C&C サーバーに数十バイトのデータのみ(ビーコン パケット)を定期的に送出していました。感染端末に C&C サーバーとゆっくり通信させることで、お客様ネットワークにおいて通信量の異常がみられなくなり、マルウェアが検出されにくくしたのでしょう。
5. 感染端末に複数の国にまたがる複数の C&C サーバーと通信させる
多くのインシデントにおいて、感染端末が複数の国と地域(例えば、日本、アメリカ、中国、香港など)にまたがる複数の C&C サーバーと通信することが確認されました。感染端末に複数の国と地域にまたがる C&C サーバーと通信させることで、攻撃者は感染端末を有効に制御し、機密情報窃取の成功確率を高めるためと考えられます。
6. 設定ファイルで標的を絞って攻撃する
2015年に、多くの攻撃はマルウェアの設定ファイルで標的(例えば、特定の国の複数の銀行)を絞って行われていました。攻撃が一気に広範囲で行われると、検知されやすくなりすぐ対応されるため、攻撃者は闇の中で情報やナレッジやツールなどを共有し合って標的を絞って攻撃を行うという傾向が見られます。
このように、攻撃者は攻撃の成功率を高め、マルウェアを検出させないように絶え間なく攻撃手法を変化させています。高度化・巧妙化し続けるサイバー攻撃から企業を守るためには、言うまでもなく、多層防御のセキュリティー ソリューションを導入し常に最新状態にすることも大切であるほか、従業員のスパム メールまたは標的型攻撃メールなどを識別する能力と意識を高める教育も欠かせません。さらに、サイバー攻撃を受けた場合に、素早く検知し被害を広めないための体制とプロセスなどを事前に確立することも必要でしょう。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年2月23日(火)
スマートIoT時代のセキュリティ
北陸先端科学技術大学院大学 情報科学研究科
教授 丹 康雄
ここのところ、IoT(Internet of Things)という単語がやたらと目につくようになり、IoTセキュリティということばも聞くようになった。私は1990年代の中頃から「ホームネットワーク」に関わりはじめ、まさしく現在IoTと呼ばれている分野にどっぷりと浸かっている感がある。その立場からみたIoTセキュリティに関して意見を述べさせていただきたい。
まず、IoTセキュリティを語るにあたって、大きく異る二つの問題があまり分化されずに扱われているように思う。ひとつめの問題とは、IoT機器が、パソコンやスマホなどの従来からあるネットワーク機器と比較してセキュリティ対策が十分ではなく、いわばインターネットの一員として適切に振る舞えていない、という問題である。機器自体が直接何か悪さをするというよりは、踏み台にされたりサービス妨害攻撃の一員として使われてしまうというもので、これに対する対策としては「インターネットにつなぐ資格のある機器」のような概念を導入するのが一番ではないかと思っている。自動車の車検制度のように一台一台調べる必要はないかもしれないが、少なくとも機種ごとに現在の脅威に対して適切に対応できるものか年次ごとにでも調査し、利用者の責任で対処をするような仕組みがあってもよかろう。
ひとつめの問題は、極めて多くの機器がネットワークに接続されうることを考えると大いなる脅威ではあるものの、枠組みとしては従来のサイバーセキュリティの範疇であろうが、もうひとつの問題はもっとややこしい。IoT機器は我々人間が存在している実空間とのやりとりを行なう能力を持っており、機器が直接人間に危害を加える可能性がある、という問題である。今でもスマートハウスが夏の夜中にこっそりと自分の主を熱中症で殺すことも原理的には可能である。映画「ターミネーター」のような世界にならないためには、アシモフのロボット三原則のようなしくみを実現する必要があるかもしれない。これは、実のところ単体の機器だけの対処では解決せず、複数の機器がネットワーク化されている状況において、システム全体が何をやっているかを認識しながら対処をするしくみを必要とし、これから研究を始めねばならない問題である。組込みソフトウエアの世界では「機能安全」という概念が定着しているが、ネットワーク化されたシステムレベルで同様の概念を実現するための方策を考えねばならない。
これらの問題、何れもうまく解決すれば、国際競争力にもなるのではないかと思っている。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。