標的型攻撃の後始末、感染PCを回収してフォーマットするだけ？：セキュリティ、そろそろ本音で語らないか（21）

この1〜2年で標的型攻撃に対する関心は急速に高まった。その結果として「対策ソリューション」の導入も進んでいる。それに伴ってセキュリティ担当者が抱えるようになったある「悩み」とは……？

[三輪信雄（S&Jコンサルティング株式会社），＠IT]

「セキュリティ、そろそろ本音で語らないか」連載目次

　最近、標的型攻撃として受け取ったメールは、非常に精巧に作られていて、以前のような稚拙さが感じられないものだった。

　以前であれば、盗んだメールをそのまま、あるいは、一部をコピペして送り付けてくるだけだったため、日本語に不自然さがあったが、今回受け取ったものは日本語として全く不自然ではなく、最新の内容に更新されていた。これには日本人が関与している可能性も考えられる。

順調に進む「標的型攻撃対策ソリューション」の導入

　このように巧妙化が進む標的型攻撃によって社内のパソコンがマルウェアに感染していても、情報が抜き取られるだけで、それ以外の目立った被害がないために対策が進んでいない、と言われることが多い。一方で、マルウェアに感染した場合に、自社では気付くことはなくても、他社への攻撃に使われることによって顕在化することがある。

　実際、マルウェアによるサイバー攻撃の被害に遭っていることを知るきっかけは、他社からの指摘であることがはるかに多いのだ。

　例えば、社内のPCが感染してメールが盗まれて、そのメールの内容を用いて関係者への標的型攻撃が行われることは珍しくない。他社からの指摘によって被害が発覚した場合、相手方によってはそれなりの経営的な損失が生じることがある。

　このような標的型攻撃に対する関心は、この1〜2年で急速に高まってきている。新聞やテレビなどのメディアでサイバー攻撃や脆弱性などについて報じられることが多くなり、経営者自身が「うちは大丈夫なのか」と危機意識を持つようになってきた。

　その結果、標的型攻撃に用いられるマルウェアへの感染を検知したり防いだりする製品の導入が順調に進んでいる。いわゆる「未知のウイルス」の対策ソリューションであるが、大きく分けて、以下の種類がある。

• ネットワークの出入口に設置して、メールやWebアクセスを監視するタイプ
• PCなどのエンドポイントにインストールして、従来型のウイルスワクチンの機能補完あるいは置き換えをするタイプ
• さまざまなログを収集して分析し、マルウェア感染の兆候を検知するタイプ

　これらの製品にはそれぞれ特徴があり、どれか1種類だけで十分である、ということはない。

　出入口に設置するタイプは非常に効率よく検出を行うことができるが、一定の誤検知や見逃しは避けられない。エンドポイント製品はこれまでに見つけられなかった未知のウイルスであっても検出が可能になるが、誤検知と見逃しのバランスが難しい。SIEM（Security Information and Event Management）はさまざまなログを収集して分析するために、感染後の活動を検知することができるが、一方で、その検出ロジックは複雑で、自社のネットワークに適応させるための設計や設定、継続的なチューニングが欠かせない。

標的型攻撃が見えるようになった結果、増える負荷

　標的型攻撃に対する意識が高く、これらのソリューションを導入した組織の多くは、ある悩みを持つことになる。

• 攻撃や感染が見えるようになり、1つ1つのイベントに対応する業務が発生した
• 対策ソリューションから送信される検知イベントが大量で、イベントの真偽を見極めなければならないが、専門家でないと判定が難しい

　各ソリューションには特徴があり、「検知イベントが少なく精度も高い」ものもあれば「検知イベントが大量に発生し、対応に追われる」ものもある。中には「検知イベントは少ないがほとんど見逃している」という製品も売られているのが現状であるが、それらをユーザー企業が短い評価期間で見極めることは難しい。

　そして、いくつかの製品を導入しても、以下の課題が重くのしかかることになる。

• 対策ソリューションがあっても見逃しが発生してしまい、見逃しの検知が課題となる

　標的型攻撃には「波」がある。「キャンペーン」と呼ばれる一連の活動期間が過ぎると対象の企業や政府組織には攻撃が来なくなる現象が観測される。攻撃側にも都合があり、ある程度のスコープと期間で攻撃を仕掛けてくるので、その期間から外れると攻撃は来なくなる。感染したマルウェアが自己消滅してしまうことも珍しくない。

　ところが、標的型攻撃に一度感染した企業では、複数回感染活動が検知されることが珍しくない。駆除したはずなのに再度発生する場合には、再び新しく感染している場合と、潜んでいたマルウェアが一定期間後に再度活動を開始する場合がある。

　また、出口対策といわれるWebアクセスの監視によって動きを把握しようとしても、「コールバック」といわれる外部への情報流出の通信を確実に捕らえることは非常に困難である。暗号化されている場合には特に見極めが難しい。通信先となるC＆C（Command and Control）サーバーは動的に短期間で変化するために、C＆Cサーバーの登録による検知の確率は高くない。

　つまり、標的型攻撃への対策には、継続的な監視や分析が欠かせないのである。標的型攻撃の対策製品からのイベントだけでなく、PC、ファイルサーバー、AD（Active Directory）、プロキシサーバーなど多くのデバイスからログを収集し、さまざまな角度から分析することが必要となる。

これからの「セキュリティ運用」に必要なポイント

　標的型攻撃の対策製品を導入した多くの企業から求められるものが、こうした「セキュリティ運用」のサービスである。しかしながら、旧来と変わらない「イベントが出たらお知らせします」「セキュリティ機器が稼働監視をします」という運用サービスが多く出回っていることから、ユーザーのニーズを満たせていないのが現状と考えている。

　標的型攻撃の対策を行っている組織においては、以下のような観点で対応を行わなければならない。

• セキュリティ機器からのイベントが発生した場合
• 定常的なログの分析によるマルウェア感染の兆候の有無の監視

　多くの企業では、セキュリティ機器からのイベントに十分に対応できていないことが多く、定常的なログ分析には至っていないのが現状である。

　セキュリティ機器からイベントが発生した場合、まず、感染が疑われるPCの特定とネットワークからの隔離、フォレンジックなどの作業が必要となる。これはセキュリティ運用の基本となるものであるが、以下のような事柄について判断を下すのは非常に困難な課題だ。

• 本当に感染していたのか
• 他のPCやサーバーに感染を広げていないか
• 情報が流出していないか
• 他社への攻撃を行っていないか
• 回収したPCの中にある業務関係書類を返していいのか
• 過去のメールを返していいのか

　これらを日々の運用でカバーしなければならないので、セキュリティ機器からのイベントに基づいて単純にPCの回収、フォーマットを繰り返すだけでは、根本的な解決にならない上に、二次被害を防ぐことはできない。

　そもそも、回収した感染の疑われるPCのフォレンジックと検体の抽出だけでも、高度な技術を必要とする。未知のウイルスの検体を抽出した「後」に詳細解析を行う技術者やサービスは多く存在するが、未知のウイルスの検体の抽出そのものができる技術者を有するサービスベンダーはまれである。

　だが、この検体抽出が行われないと、感染経路の特定や同じウイルスが他のPCやサーバーに潜んでいないか、という感染被害の調査はできない。

　そして、検体抽出の作業と共に実施しないといけないのは、各種ログの調査による感染活動の確認である。例えば、プロキシサーバーとADサーバーのログの確認は、最初に速やかに行わなければならないが、多くの組織では実現されていない運用である。

　さらに、操作ログ、PFW（パーソナルファイアウォール）や各種社内サーバーへのアクセス、接続している他の組織へのアクセスなども確認しなければならない。

　このような複数の調査を日常的に行いながら、業務への影響を最小限に抑えなければならない。ある企業では、セキュリティ機器からのイベントを検知すると、PCを回収してフォーマットをして返却する……ということを繰り返していた。だが、ある日マルウェアが埋め込まれたWebサイトを多数のPCが閲覧したというイベントが発生して、回収とフォーマットの作業が追いつかず、しかもその検知イベントは誤報であったということが起きた。

　セキュリティ機器のイベントをうのみにしないで、感染活動の有無を速やかに確認していれば、業務に影響を与えるような多数のPCの回収などは行わなくてもよかったのである。

「毎日がインシデントレスポンス」に備えて

　標的型攻撃の対策には「セキュリティ運用」が欠かせないが、社内のComputer Security Incident Response Team（CSIRT）だけで対応できる組織は極めてまれである。CSIRTには高度な知識と経験、そして正しい判断ができる技術力が求められるが、それらを全て社内のリソースでまかなえるケースは、特殊な組織を除いてほとんどないだろう。そして、その実現にはセキュリティサービス会社を保有するくらいのコストが掛かるはずである（関連記事）。

　セキュリティ機器からのイベントを適切に分析することによって、標的型攻撃の早期警戒を行うことができ、感染の広がりや潜伏などを防ぐことが可能になる。このような高度な分析には、専任のアナリストが必要である一方、企業内でのCSIRTの構築も欠かせない。つまり、全て丸投げではなく、専任アナリストなどを活用するエスカレーションサービスと一体となったCSIRTの構築が欠かせないのである。

　CSIRTが機能しないと、感染PCの隔離や業務ファイルの返却、必要なログの抽出などはできない。当社では、顧客内のCSIRTの構築のための支援も行っている。

　標的型攻撃の手法や技法は常に変化している。ターゲットとなる企業や組織によって、あるいは、攻撃キャンペーンによっても常に変化を続けているので、多くの組織での経験を有することも必要とされる。

　「インシデントレスポンス」は滅多に起きないセキュリティ事故に対応するもの、というイメージを持たれていることが多い。だが、標的型攻撃対策ソリューションを導入すると、攻撃や感染が見えるようになるために、「毎日がインシデントレスポンス」となる。つまり、日常的なインシデントレスポンスを効率的に行うことが、ソリューション導入の次のステップなのである。

　ちなみにS&Jコンサルティングでは、独自のツールなどを用いながら、これまでの経験を元に、セキュリティ機器からのイベントの分析や各種ログの分析などを行っている。さらに、定常的にログの分析、監視を行うことで、導入済みのセキュリティ製品により見逃したマルウェア感染を検出するサービスやデトックスサービスも提供している。6月6日に開催するセミナー「『セキュリティ運用による早期警戒対応』〜最新のサイバー攻撃に対応したセキュリティ運用について〜」ではその一部を紹介する予定だ。

「セキュリティ、そろそろ本音で語らないか」連載目次

三輪　信雄（みわ　のぶお）

S&Jコンサルティング株式会社

代表取締役

チーフコンサルタント

1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。

そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。

また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。

上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。