パッチ管理による入口対策に加え出口対策と可視化を
標的型攻撃の大半は既知の脆弱性を狙う――トレンドマイクロが説明
2012/01/27
脆弱性を修正するパッチを、OSだけでなくアプリケーションも含めきちんと適用し、電子メールに添付された実行形式のファイルはフィルタリングするか、実行しないよう留意するだけで、大半の標的型攻撃は防ぐことができるかもしれない。
トレンドマイクロは1月26日、「持続的標的型攻撃」、いわゆる標的型サイバー攻撃に関する説明会を開催した。同社 リージョナルトレンドラボ 課長の原良輔氏によると、持続的標的型攻撃には、単に「特定の組織や個人を狙う」以上に3つの特徴がある。1つは、国家や企業の機密情報を狙うこと。2つ目は、事前にターゲットの環境やユーザー情報などを綿密に調査すること。そして3つ目は「目的を達成するまであきらめず、継続的かつ執拗に行われること」(原氏)だ。
現在、持続的標的型攻撃で最も多いパターンは、知り合いなどを装った電子メールの添付ファイルを介して、不正なプログラムに感染させるというもの。いったんPCに感染すると、攻撃者と通信してアカウント情報、さらにはサーバ内の機密情報などを盗み出してしまう。きっかけとなるメールには「本物」が利用される。別の感染したPCから盗み取った本物のメールを利用し、実在する差出人や社内用語を利用するため、ユーザーの注意だけでは見破るのは困難だ。
同社の調査結果で興味深いのは、侵入口の作成に利用される攻撃手法についてだ。標的型攻撃メールに添付されていた不正プログラムを調査したところ、実行形式のファイル(exe)を利用したものが26.7%あった。最も多いのは文書ファイルの脆弱性を利用するもので、pdfは31.7%、docは18.3%、xlsは10.0%を占めた。
まとめると、攻撃の約70%は既知の脆弱性を悪用する攻撃で、約30%は脆弱性は利用しないで感染する実行形式のファイルということになる。未知の脆弱性を悪用したゼロデイ攻撃は、わずか約5%だ。
「未知の脆弱性を使わずとも、既知の脆弱性を狙うだけで攻撃が成功してしまう。ゼロデイを使うまでもなく感染を広げることができている」(原氏)。この調査結果を踏まえると、少なくとも文書関連アプリケーションも含めてPCの脆弱性を修正し、パッチマネジメントをきちんと実施するだけでも、効果はありそうだ。
一方で、持続的標的型攻撃は目的を達成するまであきらめず、手を変え品を変え、何度も攻撃してくる性質を持つ。パッチマネジメントをはじめとする入口対策に加え、出口対策と可視化といった対策も必要だと同社は説明した。
具体的な入口対策としては、前述のパッチの適用や実行ファイルの受信拒否に加え、IPSでの防御や送信者認証、レピュテーションによる受信拒否といった手段がある。一方、不正プログラムに感染したとしても被害を最小限に抑えるための出口対策では、プロキシを利用して通信を集中制御するほか、ファイアウォール/アプリケーションファイアウォールによる「非標準」の通信のブロック、DLPによる情報漏えい防止などの策が挙げられるという。
さらに、不正プログラムと攻撃者との通信を把握し、外部への漏えいを防止するために「いち早く攻撃を察知し、機密情報までたどり着けないように、外に持ち出させないようにするため、可視化が必要」(同社 セキュリティエバンジェリスト 染谷征良氏)とした。
原氏が示した調査結果によると、PCに感染した不正プログラムが外部へ通信を試みる際、50%は正規のWeb通信に見せかけてHTTPを使っており、出口対策や可視化が有効と見られる。ただ、13.3%はHTTPS暗号化通信を利用しており、可視化や制御が難しい。このような、攻撃者による「隠れる」テクニックがあること、常に手法を変えしつこく攻撃して来るという事実を認識して対策することが重要だという。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。