名和氏が語る、サイバー攻撃激化プロセスを加速させているのは誰か? その要因は?ITmedia Security Week 2022 秋

2022年9月に開催された「ITmedia Security Week 2022 秋」において、Day3の基調講演として、「IT環境をゼロトラスト・アーキテクチャーに移行せざるを得ない深刻なサイバー脅威を受け入れてしまうサイバー環境の変化について」と題するセッションが開催された。サイバー攻撃の現状を紹介するとともに、“高度かつ巧妙”と表現されることの多いサイバー犯罪者の攻撃プロセスの激化がなぜ行われてしまうのかを語るセッションとなった。サイバーディフェンス研究所 専務理事 上級分析官の名和利男氏は、攻撃者の行動の源泉となってしまう、企業のとある部署をズバリと述べる――。意外にも、それは経営層ではない?

» 2022年10月19日 05時00分 公開
[宮田健@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

名和氏の試行錯誤の末、厳選された「10枚のスライド」

サイバーディフェンス研究所 専務理事 上級分析官 名和利男氏

 いま、サイバー攻撃は高度かつ巧妙化している――。その言葉は聞いたことがあっても、それを「完全に理解した」とまでは言えない方も多いだろう。また、理解していたとしてもコストをかけられない、人員がいない、訓練できないなどの理由で動きが止まっていることも考えられる。しかし、その間、サイバー攻撃者は歩みを止めてはくれない。

 名和氏はこれまで、主に経営層に向け、サイバー攻撃の現状を多数の講演で解説してきた。回を重ねるたびに文字数は減り、図は増え、片仮名が減っていったという。名和氏は講演冒頭で、その経験の中で「厳選された10の項目をピックアップする」と述べる。これらはITに強い人だけではなく、ネットにつながる全ての人に理解を求めるためのものであり、成功した例え話や事例を含めたものだ。本稿では、その10のスライドを中心にレポートする。

1.正規の更新機能を利用するマルウェア

 ITユーザーに最低限理解してほしいサイバー攻撃の仕組みとして名和氏が最初に紹介するのは、「正規の更新機能を利用するマルウェア感染」だ。各種アップデートの仕組みを攻撃することで、これまでのメール、Web、デバイスではない新たな経路が作られている。

図1 正規の更新機能を利用するマルウェア感染(名和氏の講演資料から引用)

 「しかし、そう説明しただけでは身に迫るようなものを感じてもらえない」と述べる名和氏は、これに加えて“相手に響く、身に迫るような最近の事例”を紹介する。

 この事例においては2019年、台湾ASUSが提供する自動更新システムが乗っ取られたこと、そして2022年2月にはウクライナをカバーする衛星通信システム「Viasat」において、地上のシステムが乗っ取られた事例を紹介した。特に後者においてはかなりの数の地上局モデムが機能を破壊され、本攻撃の仕組みが攻撃者にとって有効だと示している。これは米国の企業におけるインシデントではあるものの、フランスの企業からサービス事業を譲受したもので、さらには同サービスの保守はイタリアの子会社が行っていたという。その子会社のVPN設定ミスが、本インシデントのきっかけだった。

 「ソフトウェアの説明をしてはいけない。5W1HにおけるWhatではなく“Who”、いったい誰がやったのか、どうなったのかを背景説明すると、ビジネスリスクとして想像してもらいやすい」(名和氏)

2.正規(有名)サービスを踏み台にするC2攻撃

図2 正規(有名)サービスを踏み台にするC2攻撃(名和氏の講演資料から引用)

 続いて名和氏は、新たなC2(Command&Control)攻撃を紹介する。「C2」というと、ITに詳しくない人が拒否反応を示すので、名和氏はこれを「親分/子分の関係」と表した。攻撃は、子分を大量に感染させ、親分の指示を待たせる仕組みをとる。一般にC2サーバを攻撃者自身が用意している。日本ではかつて総務省と経産省が連携し「サイバークリーンセンター」を設置。C2サーバを無効化する取り組みが諸外国でも評価され、海外でも同様に進展してきた歴史がある。

 これを踏まえ攻撃者は、C2サーバを有名な正規サービス上に、時間差で次々と用意する手法に変化させつつある。この手法が増えているので、これまでの策が通用しなくなっているのが現状だ。

3.スクリプト実行環境を利用した正規プログラムによる挙動

図3 スクリプト実行環境を利用した正規プログラムによる挙動(名和氏の講演資料から引用)

 次は「スクリプト実行環境を利用した正規プログラムによる挙動」だ。これはいわゆる「ファイルレスマルウェア」と表現されるものだが、名和氏はこの片仮名言葉を使わず、次のように表現した。

 「これまでの泥棒だと、拳銃やナイフを持ち込もうとするタイミングで警備員に職務質問されたり、防犯カメラに見つかったりして捕まっていた。しかし、いまは手ぶらで、普通の格好でやって来て、建物の中にある包丁や堅いものを使って犯行に及ぶ。それに近いことがサイバー攻撃で行われている」(名和氏)

 名和氏は、2014年に『Wall Street Journal』紙が報じた、当時Symantec 上級副社長Brian Dye氏の「ウイルス対策ソフトは死んだ」発言を引用しつつ、排除から検知への移行が求められていること、常識が変わったことを説明すると、「経営層にも理解されるようになってきた」と話す。

4.正規(有名)サービスの同期機能を利用するC2通信

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。