Content
攻撃の特徴
悪質な攻撃者グループによって組織化された標的型サイバー攻撃が社会的にも注目度が高まっています。これまでも軍事機関、政府機関、軍部のコンピューターはもちろん世界的な企業も対象とされてきました。(関連ブログ)
はじめに、攻撃に関する目的、動機から特徴を区分します。特に注目度が高まっている昨今の深刻な標的型のサイバー攻撃の特徴は特定組織や個人の持つ機密情報を得るために詳細な事前調査をしていることです。今回は特定組織、個人の機密情報搾取、重要機能の停止などを目的とするようなサイバー攻撃を取り上げます。
| 目的や動機による標的型攻撃の違い | |||||
| 目的 | 動機 | 対象範囲 | 事前調査 | 特徴的な手法 | |
|---|---|---|---|---|---|
| 驚かせる、困らせる 例:旧来のウイルスなど |
技術力を誇示 | 不特定 | 主に技術要素 | ソーシャルエンジニアリング | |
| 自動実行機能の悪用 | |||||
| 脆弱性を攻撃 | |||||
| 金銭に繋がる情報の搾取 例:アドウェア、スパイウェア フィッシング(標的型攻撃) |
金銭 | 特定サービスの利用者を対象にするもの、不特定多数もあり | 利用形態、利用環境 | ソーシャルエンジニアリング | |
| 自動実行機能の悪用 | |||||
| 脆弱性を攻撃 | |||||
| 機密情報、重要機能の停止 例:Operation Aurora, Night Dragon |
組織間の競争優位 | 特定組織、特定個人 | 対象の詳細な調査 | ソーシャルエンジニアリング | |
| 自動実行機能の悪用 | |||||
| 脆弱性を攻撃 | |||||
| 組織内部の弱点 | |||||
マカフィーは機密情報を狙ったり、重要機能の停止を目論むサイバー攻撃に関しても以下のようなレポートや白書を提供しています。
長い期間にわたる攻撃でも気づかない、わかりづらいという点からも、脅威が深刻化している状況を理解することができます。
マカフィーの脅威レポート一覧
- Virtual Criminology Report 2009 サイバー戦争の時代が到来(2009年)
- 重要な資産の保護 「Operation Aurora」から得た教訓」(2010年)
- 世界のエネルギー産業を狙うサイバー攻撃:“Night Dragon”(2011年)
- Operation Shady RATの全貌(2011年)
標的型サイバー攻撃の仕組み
深刻化する脅威の代表例として近年見られた標的型サイバー攻撃を解説します。
今回の対象は特定のターゲットに対して持続的に実行される深刻なサイバー攻撃です。目的も経済的、または政治的な利益であり「テロ組織」「活動家団体」「犯罪者組織」などに実行される場合もあります。ターゲットは、主流メディア、政府、軍事企業、学術機関などの組織や、需要が多く機密性の高い情報を管理する権限を持つ個人です。攻撃に遭った組織は、機密情報が盗み出されると共に、あらゆる通信が監視され、業務妨害などの被害を受けます。特に洗練された攻撃には、未公表の「ゼロデイ」の脆弱性を悪用することもあり、修正プログラムの適用や従来のブラックリスティング技術だけで対処することが難しくなっています。
こうした攻撃の特長には主に3つの段階があります。これまで確認されているOperation Aurora、Stuxnet、 Night Dragonを含め、攻撃の多くがこれら3段階に分けられます。
- サービスまたはアプリケーションの脆弱性を利用
- メモリーまたはディスクにペイロードを作成して実行
- 制圧完了
では、これらの攻撃から企業を守るためのソリューションは存在しているのでしょか。パターンマッチング型のブラックリスティング技術では、ビヘイビアの検出は100%ではなく、ゼロデイの脆弱性のシグネチャが常に利用できるわけではありません。そして多くの攻撃者は、「ゼロデイ」の脆弱性を利用して、ステップ2に進みます。実際に、Stuxnetでは4件の「ゼロデイ」の脆弱性が使用されました。脆弱性を悪用することで、攻撃者はペイロードを実行して指揮統制の中枢に接続し、キーロガー、スニファーなど、さらに悪質なコードをダウンロードします。
このような攻撃をすべての段階において防ぐために、ホワイトリスティング技術も有効です。まずは、バッファオーバーフロー検知/保護により攻撃者が脆弱性を利用できないようにします。また、攻撃者が脆弱性の利用に成功しても、ペイロードがホワイトリストに記載されていないため、ディスクやメモリーから実行されることはありません。このような攻撃に対するセキュリティモデルには、ホワイトリスティングとブラックリスティングの両方のソリューションの検討も有効です。
セキュリティ対策確認のポイント
このような攻撃の対策は技術のみに頼らず、注意を促したり現状の確認など、基本を見直すことが重要です。そして、その取り組みをセキュリティ運用の中に取り込むことができれば、攻撃による被害を小さくできる可能性が高まります。マカフィーが推奨する主な確認事項を以下にまとめました。
| 分類 | 対策 | 詳細 |
|---|---|---|
| メール | 社員に注意喚起および確認 | 自分の所属部署や名前がメールに記載されているにも関わらず、送り主が明確ではないメールが来ていないか?そのようなメールの添付ファイルを開いたり、URLをクリックするようなことが無いよう注意喚起を行うとともに、不審なメールが届いた際には、添付等を開かずに管理者へ連絡するよう徹底します。 |
| Web | 社員に注意喚起および確認 | 最近では、ブログの作成ツールの脆弱性を突き、悪意のあるものがそのサイトにウイルス等を埋め込むことがあります。アクセスすることで自動的にスクリプトが実行され、ウイルスに感染する可能性があります。このようなユーザーが知っておくべき情報を浸透させるとともに、Web閲覧によるPCの不審な動作や、ウイルスが検知された際の報告の周知が利用者に対して必要です。 |
| サーバー、クライアント | エンドポイントおよびネットーワクシステムの評価 | システムに含まれる脆弱性を確認します。パッチが適用されていないシステム、アクセス制御の甘い設定など悪用される可能性を評価します。脆弱性診断ツール、セキュリティスキャナーと呼ばれるようなツールを利用することで、評価作業の負担を軽減することができます。利用者のクライアントのブラウザ、Adobe Reader、Java、他にもドキュメント(Word, Excel, PowerPoint, WordPad, 一太郎)を扱うソフトウェア等の脆弱性を利用した攻撃が増えています。セキュリティパッチの適用状況の確認は非常に重要で、セキュリティ運用への取り込みは必須です。 |
| 通信状況 | 社外と通信を行うシステム、および通信する範囲は限られているはずです。サーバーが意図しないサービスの通信を発生させていないか、意図しないような国/地域との通信が発生していないか確認します。ファイアウォールのログ、IDSやIPS、Webプロキシなどのログの監査も有効です。 |
有効な対策のポイント
状況確認の次に必要なのは対策です。高度な標的型攻撃は対象を詳細に調査した上で攻撃を実施するため、常に完璧に防御するのは難しいことを理解する必要があります。
この事実は対策の手を抜いても良いと言う意味ではありません。
- 多層の防御手段を講じること
- 攻撃の一部が成功しても完了させないこと
- 攻撃が成功し被害が発生しても、被害が小さいうちに食い止める発想や工夫をすること
各、対策ポイントを以下からご確認ください。
まとめ
大切なことは情報収集にとどまらずに調査を行うことです。また、一度の調査で終わりではなく、定常的にシステム全体の脆弱性を把握しコントロールする仕組みを運用に取り込むことです。セキュリティの世界では多層防御の重要性は昔から認識されています。特に脅威が深刻化するに従い、ネットワークセキュリティとシステムセキュリティ、ブラックリスト型とホワイトリスト型の組み合わせなど多層の防御手段を講じること、攻撃の一部が成功しても完了させないこと、また攻撃が成功し被害が発生しても被害が小さいうちに検知し食い止めるという発想や工夫が必要になります。
組織内部の弱点をねらう攻撃対策
- 攻撃が成功しにくい環境の構築
- 一部の攻撃が成功しても被害が大きくなる前に検知し対策できる仕組み
- 教育の徹底
- ポリシーの管理
- 脆弱性の効果的な管理
- 機密データの保護
- 異変、セキュリティ関連アラートの管理と対応プロセスの確立
関連ブログ
- 標的型サイバー攻撃から重要資産を守るために、いま企業がやるべきこと:第4回 標的型サイバー攻撃の新たな対策の導入その前に(最終回)(2012/02/02)
- 標的型サイバー攻撃から重要資産を守るために、いま企業がやるべきこと:第3回 自社の被害を想定した対策の検討を(2012/01/25)
- 標的型サイバー攻撃から重要資産を守るために、いま企業がやるべきこと:第2回 本当の多層防御を考える(2012/01/18)
- 標的型サイバー攻撃から重要資産を守るために、いま企業がやるべきこと:第1回 検知名だけとらわれず、感染手法や自社における被害の想定が重要 (2012/01/12)
- Operation Shady RATの全貌:フレームワークでより強力な対策を(2011/09/02)
- 世界14カ国、72組織をターゲットにしたOperation Shady RAT(2011/08/09)
- 世界のエネルギー業界を狙った「Night Dragon攻撃」について(2011/02/14)
- ロッキード・マーチン、EMC、ソニー、相次ぐAPT攻撃から守るために(2011/06/16)
- Stuxnetワームの拡大で考えるAPT攻撃対策(2010/09/30)
- Stuxnetワームの最新情報(2010/09/29)
- Stuxnet攻撃がエネルギー業界にもたらした意味(2010/07/29)
- Operation Auroraのターゲットはソースコードリポジトリーと判明(2010/06/18)
- 「グーグル社Windows使用中止」へのメッセージ:Operation Auroraは、テクノロジーでもOSの問題でもない(2010/06/03)
