「実態解明」から考える標的型サイバー攻撃への対応策（1/3 ページ）

標的型サイバー攻撃が想定される状況に直面した場合、企業や組織ではどのような対応が必要になるのか。そのためのアプローチとして、「インテリジェンス」の活用が注目されている。

[國谷武史，ITmedia]

　巧妙な手口を使い、企業や組織へ持続的に仕掛けられるサイバー攻撃――「APT」とも呼ばれるサイバーセキュリティの脅威が深刻な問題になっている。この1月には、内閣官房情報セキュリティセンター（NISC）がAPTの発生やその被害を念頭にした対応策を講じるよう政府省庁などに呼び掛けた。セキュリティベンダーなどは、脅威に関する情報の収集や共有、分析を通じて実践的な対応を講じるための「インテリジェンス」の活用を打ち出す。

　トレンドマイクロは、2月に発表した2012年の国内におけるAPTの分析レポートで、APTを仕掛ける攻撃者に着目した対策の必要性を提起した。APTではごく限られた範囲の企業や組織が狙われ、多種多様な手口が複合的かつ段階的に用いられることから、個々の企業や組織がAPTに気付くのは難しい。そこで「インテリジェンス」を使ってAPTの実態を解明し、実践的な対応策を講じるというアプローチを推奨している。

インテリジェンスで何をしているのか

　セキュリティでの「インテリジェンス」は、マルウェアやスパムといった個別の脅威だけでなく、その脅威を仕掛ける側が何を狙い、そのためにどのような手口を使うのかを解明して、脅威を無効化させることがゴールになる。

トレンドマイクロ セキュリティエバンジェリストの染谷征良氏

　セキュリティベンダー各社は「インテリジェンス」の仕組みを長年掛けて構築、運用してきた。最近では一般の企業や組織が自前でこの仕組みを構築、運用する「ローカルインテリジェンス」も注目され始めたが、ここでは基本的に自前のネットワークやシステムにおける脅威の可視化に重点が置かれる。トレンドマイクロでセキュリティエバンジェリストを務める染谷征良氏は、「ベンダーのインテリジェンスではより広範な視点から脅威の可視化に取り組んでおり、APTのような脅威の可視化には、個々の企業や組織における情報との連携が不可欠」と話す。

　同社の場合、インテリジェンスの仕組みとしては、長期的な対策に必要な脅威分析に当たる「フォワードルッキングリサーチ」、国内の脅威分析を主とする「リージョナルトレンドラボ」、企業や組織のネットワーク環境における脅威を常時監視、分析する「スレッドモニタリングセンター」の3つの組織がある。APT対策ではこの3組織が連携する「スレットインテリジェンス」を構築。標的型メールに代表される攻撃の手口などから共通項を探り、共通項をもとに個々の攻撃事案の関連性を探っていくことで、攻撃者の特性を明らかにする。

　「標的型メールの送信元や、標的型メールなどから侵入するバックドアの構造や通信先（C&C：コマンド＆コントロールサーバ）、C&Cサーバの管理者などに着目して共通項を見つけ出していく。一見して異なる個々の情報でも、あるポイントが一致すれば、そこからさらに分析を進めていく」と染谷氏。2012年の国内におけるAPTでは攻撃者の「継続」「隠ぺい」「変化」の3つの特性が分かってきたという。

　例えば、2012年7月には幾つかの組織に標的型メールが送り付けられ、「PoisonIvy」と「PlugX」という異なる種類のバックドアが組織に侵入した。バックドアの種類だけに注目すると、それぞれの組織に対する攻撃に関連性はみられないが、PoisonIvyとPlugXが通信するC&Cサーバを追跡していくと、ある同一のIPアドレスのサーバにたどり着いた（C&Cサーバのネットワークは複数の経路で構築されていることが多い）。

　「PoisonIvyはセキュリティベンダー側の対応が進んでいるので、攻撃者は途中からPlugXを用いるようになったと思われる。バックドアが異なっても攻撃インフラ自体は同じだと分かり、攻撃者が継続的な活動を行っていると予想される」（染谷氏）

　また別のケースでは、「IXESHE」と「BKDR_PROXY.AYC」という異なるバックドアを同一人物が作成したとみられる共通項が、コードの類似性から確認された。IXESHEは、通信にHTTP/HTTPSを用いるのに対して、BKDR_PROXY.AYCではTCPを用いるなど異なるように見えるが、幾つかのコマンドは「作成者のクセ」を思わせる似たコードで記述されていた。「偶然の一致とは考えづらい」（染谷氏）という。