APTを食い止めるヒントは通信のログにある：Maker's Voice

米Blue Coatのセキュリティ研究者、クリス・ラーセン氏は、「不正な通信を早く見つけることが、APTの被害抑止につながる。それは自分たちでするしかない」と指摘する。

[國谷武史，ITmedia]

　ベンダー任せのAPT対策は無理だ。自分でした方が早い――米Blue Coat Systems マルウェア研究所アーキテクトのクリス・ラーセン氏は、特定の企業や組織の機密情報を狙う「APT（高度で持続的な標的型サイバー攻撃）」の対処について、こう言い切る

　APTは、攻撃側が幾重もの手法や段階を組み合わせ、長い時間を費やして行う。対策製品に検知されないことにも長けているので攻撃側が圧倒的に有利だ。ベンダーでの対応も遅れがちになり、そこで同氏は、企業が自前でAPTの不正な通信を見つけるしかないと指摘している。

Blue Coat Systems マルウェア研究所アーキテクト クリス・ラーセン氏

　ラーセン氏は、長年インターネットベースのマルウェア攻撃の仕組みを可視化することに取り組んできた。その経験から、ユーザーの行動を通じてAPTを見つけ出すアプローチを見出した。企業においてその手掛かりになるのが、「危険な社員」だという。

　企業では既に幾重ものセキュリティ対策が講じられている。しかし、社員の中には「アダルトサイトが見たい」「人気ソフトをタダで入手したい」といった動機から、対策機器が繰り返し警告しても、そうしたWebサイトにアクセスしようとする。「その執念深い行動はAPTを仕掛ける攻撃者にも似ている」とラーセン氏。こうした危険な社員の行動がAPT発見の糸口になる可能性が高いとのことだ。

　まず危険な社員を特定し、特定した危険な社員の行動を追跡していく。危険な社員にみられる習性が、異常なトラフィックの量やパターンだ。これらの特徴をもとに、危険な社員がどのようなWebサイトなどにアクセスを試みているのかを観察する。その際には、観察するアクセス先サイトのある程度絞り込んでおく。ラーセン氏によれば、マルウェアサイトやボットネット、不審サイト、アダルトサイト、ベンダーによる判定がないWebサイト、ダイナミックDNSなどが注目される。

　ラーセン氏は、Blue Coatで提供しているWebフィルタリングソフト「K9 Web Protection」のユーザーを対象に、上述のアプローチでAPTの追跡を試みた。ユーザーが悪質サイトにアクセスした数を「ヒット数」としてカウントし、ヒット数に応じてグループ分けする。グループごとにアクセス先での様子（マルウェア感染）などとの相関を調べていく。

　その結果、例えばある日にヒット数の多いユーザーを分析すると、上位（グループ1とする）ではほぼ共通して同一サイトにアクセスしていることが分かり、このアクセス先が既知のボットネットだった。グループ1よりヒット数の少ないグループ（グループ2とする）ではボットネットのジャンクドメインにアクセスし、それより少ないところ（グループ3）はConfickerワームのIPシンクホールだった。この中で1人のユーザーがどのグループにも分類されないアクセスを見せた。

　「グループ1〜3については順番にマルウェア駆除などの対処をしていく。唯一のユーザーについては、APTに関係しているかもしれないと分かる。そこで対処をせずに監視を継続し、注意深く見ていく」（ラーセン氏）。なお、上述の観察すべきWebサイトの中で、ダイナミックDNSと分かった場合は、即時遮断すべきだという。ダイナミックDNSはAPTやボットネットの温床になっており、観察のために対処を遅らせると、逆に被害拡大を招きかねない。

　ラーセン氏によれば、こうしたトラフィックの監視では平時とは異なるものを早く見つけられるかが、APTの被害抑止を左右する。

　「『平時とは異なるもの』はユーザー企業にしか分からない。今のベンダーにできるのは、そのためのツールや活用のためのアドバイスの提供だ。それも活用し、毎日少しの時間でも良いのでトラフィックのログを監視しておく。『平時のトラフィック』を理解しておくことが大切だ」（同氏）とアドバイスしている。