サイバー攻撃者は侵入から2年の間に何をしていたか――調査で分かること：セキュリティ事故の被害を回避するインシデントレスポンス（2/2 ページ）

[國谷武史，ITmedia]

なぜ基本的な対策が大事なのか

　シム氏によると、標的型のサイバー攻撃では攻撃者が最初の侵入を図るために、新種のマルウェアや一般には知られていない脆弱性（ゼロデイ脆弱性）といった高度な手法を用いる。その理由は企業のセキュリティシステムに検知されないためだ。攻撃全体の中でも、攻撃者が特に時間と労力を費やすところになる。

　侵入に成功して“踏み台”にする端末を増やす段階になると、攻撃者は既に知られているマルウェアや脆弱性などを利用することが多いという。攻撃者には、最初の侵入で費やした労力をまた掛けたくないという思惑があるようだ。その後の動き方についても、攻撃者によっては一定したパターンがみられる。

　「攻撃する側も大変なので、効率化できるところはしています。2015年に対応した別のケースでは2008年のサイバー攻撃と同じマルウェアが使われていました。攻撃者によっては仲間の間で『このディレクトリを使う』といったルールを決めているケースもあります。対策側がそうした攻撃者の特徴を把握していれば、兆候を検知したり、攻撃者を特定したりするできる場合があります」（シム氏）

　こうした特徴からは、攻撃者の初期侵入を防ぐセキュリティ対策は難しくても、脆弱性をできる限り解消し、マルウェア検出の定義ファイルを常に最新の状態にするといった基本的な対策を着実に実施すれば、侵入した脅威の拡大を食い止める効果は高められるだろう。

　また、攻撃者は目的のシステムへアクセスする際に、システム管理者が通常業務に使うWindowsのコマンドを使ってセキュリティシステムの監視を逃れるケースがあり、従来のソリューションでは検知が非常に難しいという。この場合は、別の監視手段を活用したりや監視ポイントを増やしたりするなどの検知能力を高める方法を検討する必要はあるが、監視や検知のノウハウを蓄積していけば、高度な手口を使う攻撃者の初期侵入の検知や防御の強化につながる。

Mandiantがインシデント調査で用いるという手法。侵害の可能性がある兆候の痕跡（侵害インジケータ）を集めてさまざまな分析を行い、蓄積している脅威情報を加味して実態を可視化していく

“火の車”にならないように

　シム氏によれば、脅威の実態を把握するためのこうした調査には2、3カ月ほどを要するという。そして、調査の結果をもとにセキュリティ対策が機能している部分と足りていない点を見極め、機能している部分を維持させながら、足りていない部分を強化していく。状況によってはその対応に時間がかかる。

　しかし、外部からの通報で事故が発覚するような事態になれば、もっと短い時間の中で被害拡大の阻止から調査による実態の把握、再発防止策の検討と実施までをしなければならず、対応の現場が“火の車”になることは明らかだ。攻撃者の“踏み台”が残存するなど対応に漏れがあれば、再び攻撃から脅威が広がり、堂々巡りの対応を強いられ続けることになる。

　インシデント対応において、事故発生時ばかりではなく平時の対策や再発防止の取り組みも重視されるのは、事故発生によって最悪の状況に陥らないためだ。最悪の状況を避けて被害を抑止するには、まず社内で起きている状況を知ることから始める必要があるだろう。