DNS技術の“悪意によらない変化”で多くのものが失われる理由――AVAR 2019 基調講演：セキュリティ・アディッショナルタイム（42）

20年という時間がたてば、インターネットの環境も、サイバーセキュリティの動向も様変わりする。AVARはその間ずっと、セキュリティコミュニティーのナレッジ共有の場として機能してきた。

[高橋睦美，＠IT]

　スロバキア生まれのセキュリティ企業ESETは、統合セキュリティソフト「NOD32」に始まり、EDR（Endpoint Detection and Response）製品やクラウドベースのセキュリティサービスを展開すると同時に、マルウェアや脅威の動向に関するリサーチを展開し、ブログなどで公開してきた。

　さらに、そうしたナレッジを広くコミュニティーで共有し、意識の向上を図り、脅威に対抗するための場として「AVAR」（Association of Anti-Virus Asia Researchers）を1998年に設立し、長年にわたって国際カンファレンスを開催している。AVARは、2019年11月には大阪で開催され、各国のセキュリティリサーチャーが集合し、Emotetをはじめさまざまな脅威のリサーチ結果を披露した。

　2009年の京都以来10年ぶりに日本で開催されたAVARだが、ESETのCTO（最高技術責任者）を務めるユーライ・マルホ氏によると、「AVARが始まった頃は、世界中を見渡しても、セキュリティに関するカンファレンスは年に2回もあるかどうかといった感じだった。だが、今や状況は様変わりし、連日あちこちで開催されるようになっている」という。

　この20年間で、脅威も大きく変化した。単純ないたずらや、拡散を目的とした単純なワームに代わり、サイバー犯罪者による金銭目的の攻撃や、特定の組織・企業からの情報詐取・スパイ活動を狙いとした攻撃が増えてきた。中には、政府やそれに近い組織によるものと思われる攻撃も増えている。「ただ、技術上のリサーチや協力は、政治的文脈とは異なる文脈で語るべきだ。こうした時代だからこそ、昔から行われてきた通り業界全体で情報を共有し、協力していくことが重要だ」（マルホ氏）

対策を見越し、正規のソフトウェアやプロセスを悪用する攻撃が増加

　この数年、サイバーセキュリティの世界で特に話題を振りまいてきたのがランサムウェアだ。「ランサムウェア自体は急に現れたものではなく、以前から存在していた。ただこの数年でより洗練され、より危険な形に変化し、多くの個人や企業に影響を与えている」と、ESETのCRO（Chief Risk Officer）、ローマン・コバチ氏は指摘した。

ESET CTOのユーライ・マルホ氏（右）と同社 CROのローマン・コバチ氏（左）

　もっと注意が必要なのは、特定の会社や組織を狙う標的型攻撃だ。「高い技術を用いて、気付かないうちに何年にもわたって情報を盗んでいる恐れがある」とコバチ氏は述べ、併せて「IoTや暗号通貨といった、これまでに存在しなかった新たな技術に関連した脅威にも注意が必要だ」とした。

　これに関連してマルホ氏が懸念しているのが、正規のソフトウェアを悪用した攻撃だ。「2010年前後、『Rootkit』と呼ばれる攻撃手法がポピュラーになった時期があったが、防御側が進化し、Rootkitによる悪意あるペイロードやマルウェアを検知できるようになってきた。すると攻撃者はそれを踏まえて、今度はクリーンなソフトウェアをまねしたり、正規のソフトウェアの中にコードをインジェクション（注入）したりする手口が増えている」（マルホ氏）

　「こうした“いたちごっこ”が続くからこそ、AVARのような場でナレッジを共有することが重要だし、セキュリティベンダーとしては、検知方法を進化させ、また組み合わせて多層防御を実現する必要がある」と両氏は述べた。

　例えば、さまざまなセンサーやハニーポットで収集した「IoC（Indicator of Compromise：セキュリティ侵害インジケーター）」と呼ばれる脅威情報は、共有知に基づいて攻撃を検知するアプローチだが、「残念ながらIoCの共有、特に単なるMD5ハッシュ値の共有だけでは、強固な手段とは言い難い」とマルホ氏は述べた。前述の、正規のソフトの偽装や改ざんを検知するには、コードそのものの分析という伝統的な手法に加え、アプリケーションの振る舞い分析やシステム、さらにはプロセスのモニタリングを行い、「アノーマリ」（異常）を見つけ出すことが重要だという。

　残念ながら、破壊的な攻撃やサボタージュ目的の攻撃など、いくら多層防御を積み重ねても対処が難しい攻撃はある。「そうした限界を知った上で、攻撃をより困難にして、攻撃者のコストを上げていくことが大事だ。そして、銀行と個人の家とで警備に費やす投資や装備が異なるのと同じように、守るべきものの価値とのバランスを考えながら対策を検討する感覚を持つことが重要だ」（マルホ氏）

　さらにAPT（Advanced Persistent Threat：持続的標的型攻撃）対策を考えるなら、「人と人との戦いである」ことを踏まえ、ある種の「攻撃的な防御」が必要だという。「ドアに鍵が掛かっていれば、ずっと安全というわけではない。それを打ち破って侵入を試みる人もいることを認識するのが大切だ」（マルホ氏）

　具体的には、エンドポイント保護製品とEDRを連携させ、疑わしい振る舞いをトリガーにして素早く分析を進め、正規の動きではないなら対応していく――そんな具合に、検知と対応、分析という一連のプロセスを統合的に、またできる限り自動的に進めることが必要であり、そのための機能を新バージョンで追加しているという。

モジュール化やプロセスホローイング、難読化で解析や検知をより困難に

　マルホ氏らが述べた“脅威の変化”は、AVARで行われた複数のプレゼンテーションでも言及されていた。

AVASTのAdolf Streda氏「モジュール化や検知・解析を拒む仕組みが高度化している」

　例えばAVASTのAdolf Streda氏は、Netflixを含む世界各国のWebサービスや銀行をターゲットにした攻撃キャンペーン「Guildma」についてのリサーチ結果を発表した。「Guildmaは、今までにない高度にモジュール化されたマルウェアで、広く世界中に拡散している。クレジットカード情報やオンラインバンクのアカウントといったさまざまな情報を盗み取り、第三者に売りさばくことを目的にしている」（Streda氏）

　やはり、セキュリティ企業や研究者による解析を困難にするためか、感染先の正規プロセスに不正なコードを埋め込む「プロセスホローイング」という手法を用いている。さらに、「リバースエンジニアリングによる解析を困難にするため、さまざまな難読化を行い、暗号化されたコードを復号するためのキーの抽出方法も複雑だ」とStreda氏は説明した。

　Guildmaのキャンペーンで遠隔操作ツールを埋め込み、コントロール下に置いたPCを制御したり、他のモジュールをダウンロードしたりする先のC2（Command＆Control）サーバについても、「ドメインを申請・購入し、基盤を作りダウンロードするという一連の処理を『バッチ化』『自動化』しており、次々使い捨てながら使っている」とのことだ。

インターネットを支えるDNS技術の変化が「統治」をゆるがす？