検索
ニュース

予兆を捉えてサイバー攻撃を防ぐ、新サービスをSecureWorks Japanが提供自社に対する脅威を実行前から監視(5/5 ページ)

標的型攻撃を予防し、企業の風評被害を防ぐサービスの提供をSecureWorks Japanが開始した。攻撃に至る予兆を捉えることで、実際の攻撃に備える時間的な余裕を生み出すという。

Share
Tweet
LINE
Hatena
前のページへ |       

手広く感染、盗んだ後も潜伏

 「当社はSSCVを利用した攻撃が、特定の攻撃グループの手によって実行されていることを解析によって確認した」(中津留氏)。

 具体的な攻撃手法はこうだ。脆弱性が残ったままのSSCVを使っていても、それだけでは感染の対象とならない。このPCを外部に持ち出して、インターネットに直接接続するという条件がある。

 攻撃者はかなり広範囲にスキャンをかけており、このようなPCが持ち出されて接続するとすぐに発見してしまう。標的型攻撃を目的としているものの、まずは幅広く広範囲なスキャンによって侵入する。侵入後に組織内に入り込み、その後、標的かどうかを判定している。標的でなければ特に何もしない。

 感染後の動作もずるがしこい(図9)。「1台だけに感染するマルウェアが多いものの、この攻撃では横断的にどんどん浸食して、数十台単位で感染する。組織内に深く入り込んで最終的な目的を達成しようとする。当社の持つ標的型攻撃ハンティングの手法で感染端末をあぶり出すとこのような結果が出ることが珍しくない」(中津留氏)。

図9
図9 侵入後に組織内部を浸食していく

 ドメインコントローラーなどの管理者権限を持ち、組織内を管理するサーバに到達し、目的を達成する。「機密情報を盗み出した後、感染端末を少しだけ残して潜伏を続ける。感染端末が減ると横断的な侵害を再開して、感染端末が0にならないように動く。組織にずっと居座り続けることが特徴だ」(中津留氏)。

 組織内の全端末に侵入しようとするため、組織内の全てのコンピュータが対象となる。「全てをフォレンジック調査によって解析するのは時間的にもコスト的にも不可能だ。対策を打ち、根絶するには効率良く感染端末を調べる能力が必要だ」(中津留氏)。

侵入を100%防ぐことはできない、侵入後の対策が必要

 「この攻撃を防ぐのは難しい。なぜなら侵入の手口が複数あるからだ。先ほど説明したSSCVを使うゼロデイ攻撃だけではない。標的型のメールやWebサイトを改ざんしてアクセスしてきたユーザーを攻撃するなど、各種手法を切り替えてくる。侵入を100%防ぐことは困難と言わざるを得ない。パッチを当てる、ソフトウェアをアップデートするという対策は予防策として実行しなければならない。さらに実際に侵入された後の対応策を用意しておかなければならない」「侵入された形跡をたどる情報が必要だ。エンドポイントの監視と通信の監視を組み合わせて、検知しなければならない」(中津留氏)。

 侵入後の対応方法は大きく4つある(図10)。最初に取り組むべきなのは、社内にインシデント対応窓口を設け、体制を整備することだ。「日本年金機構が『Emdivi』によって攻撃されたケースが参考になる。多くの場合、警察かJPCERT/CCからの報告で被害に気付く。そのような組織から適切に連絡が来るようにしないといけない。来たときに適切に対応する体制が必要だ」(中津留氏)。

図10
図10 侵入を見越した対策は大きく4つある

 図10にあるログ設定の見直しはなぜ必要なのだろうか。「ログが残っていないと連絡後の対応が取れない。第三者からの報告で気付く場合、過去にさかのぼって調査を進める。そのときログが残っていない、または不完全だと、調査が行き詰まる。攻撃者が通信に使うマルウェアは基本的にHTTPを使って通信するので、proxyログなどの設定によって、リクエストの文字列が取得できているかどうか、このような観点でログ設定を見直す必要がある」(中津留氏)。

 JPCERT/CCは「高度サイバー攻撃(標的型攻撃)において、Active Directoryを乗っ取る事例を多数確認している」という。つまり、Active Directoryのセキュリティが重要だ。「このような機能を攻撃者が掌握し、どの端末にもアクセスできるようになった後、おもむろに攻撃活動が始まる。JPCERT/CCはActive Directoryに関する技術文書を幾つも公開している。これを参考にして強化するという対策が最低限必要だ」(中津留氏)。

 ログ設定やActive Directoryの強化だけではまだ対策が不足している。「通信を監視するだけでは不十分だ。エンドポイントも監視する必要がある。なぜならこの攻撃は通信パターンも『変化する』から。自分たちで検知するためにも、感染端末を特定するためにもエンドポイントを監視しなければならない」(中津留氏)。

確認のカギをつかんだ

 同氏が図10で示したログ情報はそのままエンドポイントの確認に使うことができる。「SSCVへの攻撃は広範囲に無差別に行っているので、被害規模は大きいと想定される。被害が起きているかどうか、まず、このログを確認してほしい。マルウェアが実行されるとSSCVのログファイルに『00000001.BINが実行された』という記録が残る」(中津留氏)。

 SSCV以外の侵入経路が使われた場合は、マルウェアの通信をログから確認して、検知が可能だ。「図11は当社が確認した攻撃者との直接的な通信パターンだ。DaserfやxxmmといったマルウェアのURLのパターンとユーザーエージェントが分かる。Datperはかなりユーザーエージェントが変化するのでここには載せていない」(中津留氏)。

図11
図11 通信ログを使って検知する

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  6. Google Chromeの拡張機能を安全に使用するには? Googleが解説
  7. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る