Tweet

パッチ管理による入口対策に加え出口対策と可視化を

標的型攻撃の大半は既知の脆弱性を狙う――トレンドマイクロが説明

2012/01/27

　脆弱性を修正するパッチを、OSだけでなくアプリケーションも含めきちんと適用し、電子メールに添付された実行形式のファイルはフィルタリングするか、実行しないよう留意するだけで、大半の標的型攻撃は防ぐことができるかもしれない。

　トレンドマイクロは1月26日、「持続的標的型攻撃」、いわゆる標的型サイバー攻撃に関する説明会を開催した。同社 リージョナルトレンドラボ 課長の原良輔氏によると、持続的標的型攻撃には、単に「特定の組織や個人を狙う」以上に3つの特徴がある。1つは、国家や企業の機密情報を狙うこと。2つ目は、事前にターゲットの環境やユーザー情報などを綿密に調査すること。そして3つ目は「目的を達成するまであきらめず、継続的かつ執拗に行われること」（原氏）だ。

　現在、持続的標的型攻撃で最も多いパターンは、知り合いなどを装った電子メールの添付ファイルを介して、不正なプログラムに感染させるというもの。いったんPCに感染すると、攻撃者と通信してアカウント情報、さらにはサーバ内の機密情報などを盗み出してしまう。きっかけとなるメールには「本物」が利用される。別の感染したPCから盗み取った本物のメールを利用し、実在する差出人や社内用語を利用するため、ユーザーの注意だけでは見破るのは困難だ。

　同社の調査結果で興味深いのは、侵入口の作成に利用される攻撃手法についてだ。標的型攻撃メールに添付されていた不正プログラムを調査したところ、実行形式のファイル（exe）を利用したものが26.7％あった。最も多いのは文書ファイルの脆弱性を利用するもので、pdfは31.7％、docは18.3％、xlsは10.0％を占めた。

　まとめると、攻撃の約70％は既知の脆弱性を悪用する攻撃で、約30％は脆弱性は利用しないで感染する実行形式のファイルということになる。未知の脆弱性を悪用したゼロデイ攻撃は、わずか約5％だ。

　「未知の脆弱性を使わずとも、既知の脆弱性を狙うだけで攻撃が成功してしまう。ゼロデイを使うまでもなく感染を広げることができている」（原氏）。この調査結果を踏まえると、少なくとも文書関連アプリケーションも含めてPCの脆弱性を修正し、パッチマネジメントをきちんと実施するだけでも、効果はありそうだ。

　一方で、持続的標的型攻撃は目的を達成するまであきらめず、手を変え品を変え、何度も攻撃してくる性質を持つ。パッチマネジメントをはじめとする入口対策に加え、出口対策と可視化といった対策も必要だと同社は説明した。

　具体的な入口対策としては、前述のパッチの適用や実行ファイルの受信拒否に加え、IPSでの防御や送信者認証、レピュテーションによる受信拒否といった手段がある。一方、不正プログラムに感染したとしても被害を最小限に抑えるための出口対策では、プロキシを利用して通信を集中制御するほか、ファイアウォール／アプリケーションファイアウォールによる「非標準」の通信のブロック、DLPによる情報漏えい防止などの策が挙げられるという。

　さらに、不正プログラムと攻撃者との通信を把握し、外部への漏えいを防止するために「いち早く攻撃を察知し、機密情報までたどり着けないように、外に持ち出させないようにするため、可視化が必要」（同社 セキュリティエバンジェリスト 染谷征良氏）とした。

　原氏が示した調査結果によると、PCに感染した不正プログラムが外部へ通信を試みる際、50％は正規のWeb通信に見せかけてHTTPを使っており、出口対策や可視化が有効と見られる。ただ、13.3％はHTTPS暗号化通信を利用しており、可視化や制御が難しい。このような、攻撃者による「隠れる」テクニックがあること、常に手法を変えしつこく攻撃して来るという事実を認識して対策することが重要だという。