“アラートなし＝順調” は誤り 「100％の防御」を前提としないセキュリティ対策をサイバーリーズンが提唱

サイバーリーズン・ジャパンで上級セキュリティサービスディレクターを務める専門家によると、特に日本をターゲットにした攻撃が質、量ともに悪化の一途をたどっている。一方で、企業の現場が大慌てかというとそうでもない。そもそも「自社が攻撃されている」ことに気付かない企業が多いからだ。この現状を改善するヒントとは。

[PR／ITmedia]

PR

サイバーリーズン・ジャパン 上級セキュリティサービスディレクター アサフ・ダハン氏

　日本におけるサイバー攻撃の状況に関して、残念ながら良いニュースはほとんどない――。それが、サイバーリーズン・ジャパンで上級セキュリティサービスディレクターを務めるアサフ・ダハン氏の見方だ。ここ数年、日本をターゲットにした脅威の分析にフォーカスしてきた同氏によると、状況は悪化の一途をたどっているという。

　サイバーリーズンは、イスラエル軍の情報収集部隊である 8200部隊でサイバーセキュリティに携わったメンバーが立ち上げたセキュリティ企業だ。ファイアウォールやアンチウイルスといった「防ぐ」ための手だてをどれだけ講じても100％の防御はなく、侵入は起こり得るという前提に立つ。そこで脅威の検知、対応をリアルタイムに行うEndpoint Detection＆Response（EDR）製品を開発、提供している。さらに日本を含め、複数のSecurity Operation Center（SOC）を構築して最新の脅威動向を収集し、企業のインシデントレスポンスを支援している。

　ダハン氏は、同社でSOC運用に携わるリサーチャーだ。かつてイスラエル国防軍でサイバー防衛を担う「8200部隊」に所属した経歴の持ち主で、複数のセキュリティ企業を経て現職にある。

標的型＋ランサムウェアという複合攻撃

　同氏によると、日本を狙う攻撃のトレンドの1つは、いわゆる「標的型攻撃」。政府や企業、特定の組織を狙って仕掛けられる攻撃だ。外国政府またはそれに近い組織によって政治的な意図で行われるものもあれば、知的財産や特許情報を盗み出して経済的な利益を得ようとするものもある。

　一方で、オンラインバンキングサービスを狙うトロイの木馬やランサムウェアといった一般的な攻撃も多い。ニュースなどで「ばらまき型」と呼ばれる攻撃だ。

　「こちらも日本にフォーカスし、カスタマイズされている。日本人は英文のメールを読み飛ばしてしまうことが多いので、フィッシングメールはきちんと日本語化されている。さらに日本の銀行が展開するオンラインバンキングシステムを分析して、そこで用いられている乱数表などの仕組みに合わせた攻撃を行っている」（ダハン氏）。

　中には、感染後に動作環境を調べ、日本語キーボードでなければ動作を停止して防御製品をかいくぐろうとするものも登場している。

　だからといって、グローバルな脅威が日本を素通りすることはない。WannaCryが示した通り、世界中へ展開する攻撃は日本にもやってくる。同時に日本の企業や個人、すなわち攻撃者にとっての「日本市場」を狙ってカスタマイズされた攻撃も観測に掛かる。

　最も興味深いトレンドは、「標的型ランサムウェア」の登場だ。2017年、ランサムウェア、「ONI」が国内の多数の組織に被害を与えた。その手口は「ばらまき型」に近かった。

　だが、ダハン氏によると「特定の組織をターゲットにしたランサムウェア『MBR-ONI』を最近発見した」という（詳細を説明した同社のブログを参照）。詳細を説明した同社ブログ＊）によると、巧妙な手口やソーシャルエンジニアリングを組み合わせて侵入し、長期にわたってシステム内に潜伏するのはまさに標的型攻撃の手口そのもの。だが、ファイルなどを暗号化したり、金銭を要求したりするランサムウェアや、データを消去するワイパーとしての動きも取るという、厄介な攻撃だ。

大多数の企業が“自社が攻撃を受けていること”に気付かない

　日本を狙う標的型攻撃にしても一般的な攻撃にしても頻度が増加し、多様化の一途をたどっている今、さぞ顧客企業は大騒ぎでは……と思えば、意外やそうでもない。なぜなら、攻撃が横行しているにもかかわらず「そもそも自社が攻撃されていることに気付いていない企業が大多数だからだ」（ダハン氏）

　実際のところ、サイバーリーズン・ジャパンが自らのSOCで脅威を検知し、企業に指摘、それを受けて初めて攻撃に気付くケースが多い。「中にはマルウェアハンティングを行い、プロアクティブに調べている企業もある。だが大半の企業は自社が安全だと考えており、攻撃下にあることを認識していない」（同氏）

　サイバー攻撃による被害が度々報じられるにつれて、企業内、グループ内に対応チームCSIRTを構築する動きが広がってきた。だが、自ら侵害に気付く企業はいまだ少数派。捜査機関や顧客など、外部からの通報によって初めてセキュリティインシデントを認識するケースが多い。連絡を受けて慌てて調査し、侵害された可能性のある端末を見つけてひとまず対処したとしよう。実際には社内の別のシステムにも被害が広がっており、泥縄の対応に追われ、情報流出のような致命的な事態に陥ってしまう。

　ダハン氏が指摘するような、日本市場にカスタマイズされた攻撃が増加すればするほど、自力で侵害に気付くことが難しくなり、被害拡大につながる恐れがある。汎用の攻撃ならば、アンチウイルスやファイアウォールといった従来の対策でも検知できる可能性がある。だが、特定の企業や個人を狙って作り込まれ、時間をかけて侵害を試みる攻撃の検出はかなり難しい。

　このような状況では、攻撃に対する防御を固めるだけでなく、不審な動きをいかに素早く検出し、致命的な事態に陥る前に被害を食い止めるかが、ポイントになる。まさにそうした部分を支援するのがサイバーリーズン・ジャパンだ。

静的な情報ではなく「振る舞い」に着目して悪意ある動作を検出

　サイバーリーズン・ジャパンのEDR製品「Cybereason Endpoint Detection and Response （Cybereason EDR）」は、エンドポイントにインストールした「Cybereasonセンサー」を通してあらゆる情報を収集。同社のクラウド基盤に集約して、相関分析を行う。ファイルやプロセス、ネットワーク接続やメモリといったあらゆる情報を収集し、リアルタイムに解析を行う独自のAIエンジン「Hunting Engine」が特徴だ。このようにして悪意あるオペレーション「MALOP（MALicious OPeration）」を見つけ出す。

　解析の特徴は、ビヘイビア分析にあるという。アンチウイルスやファイアウォール、IDS、IPSといったさまざまなセキュリティ製品を導入済みの企業は多い。だが、多くはシグネチャ、あるいはファイルのハッシュ値やダウンロード元のドメインといった静的な情報に基づいて脅威を検出する。しかし「こうした脅威情報は常に変化している。守る側は変化に付いていけず、脅威を見つけることができない」とダハン氏は指摘した。

　Cybereason EDRは違う。既存のセキュリティ製品が参照する脅威の痕跡情報（IOC：Indicators of Compromise）やブラックリストに加え、「振る舞い」に着目する。文字列やIPアドレスのマッチングだけではなく、セキュリティ製品をかいくぐろうとするマルウェア特有の動作や、攻撃者が設置した外部のC＆Cサーバと通信する際のパターンなど、脅威の「動き」そのものを分析することで、攻撃の前兆を検知していく。

　サイバーリーズンは近々、さらに新たな機能を追加搭載する計画だ。それが「次世代アンチウイルス機能」で、解析エンジン同様、機械学習を最大限活用して悪意あるソフトウェアをブロックする。

　これまでもランサムウェアに限り、ファイルの暗号化前に動作を停止させる機能を備えていた。今後はより多くのマルウェアについて、同様の対応を可能にしていく。

　「現時点でも疑わしい動きがあればリモート操作で隔離し、プロセスを停止することはできる。今後は次世代アンチウイルスとの統合により、検知だけでなくリアルタイムに停止できるようになる。いずれの機能も機械学習技術をベースにしていることが特徴だ。EDRと次世代アンチウイルスが一体化することで、より高い効果を発揮できる」（ダハン氏）

　海外では既に発表済みの機能で、著名なウイルス確認サイト「VirusTotal」に対応する。

アラートが出ていない時こそ攻撃への疑いを

　サイバーリーズン・ジャパンではこうしたソリューションを、グローバルなセキュリティに関するナレッジを活用しながら提供し、顧客のセキュリティ対策を支援していく。

サイバーリーズン・ジャパンのSOCで説明するダハン氏

　セキュリティ専門家の立場から、ダハン氏のアドバイスはこうだ。

　IT担当者に対しては、メールのフィルタに加え、グループポリシーによるマクロ機能やPowerShellの制限などを実施し、攻撃側が利用可能な手段を減らすことが防御の手助けになるという。さらに、ランサムウェアに備えてバックアップを取り、パッチ管理を行うといったベストプラクティスの徹底も効果的だとした。

　ただ技術的手法と同じぐらい重要なのは、教育だと指摘。「セキュリティに対する認知度は高まっているが、それでもソーシャルエンジニアリング攻撃は発生しており、引き続き教育が必要だ」

　「私はいろいろな国で働いてきたが、日本には他国と比べて1つ大きな違いがある。『アラートさえ出ていなければ全て順調』と考えることだ。海外では、アラートが出ていないけれど、ただ気付いていない、検知できていないだけかもしれない、そのような可能性を頭に入れていることが多い。常に攻撃の可能性があると考え、疑いを抱くようなマインドセットへの転換が必要だ」

　そのためにサイバーリーズン・ジャパンでは、自社のアナリストはもちろん、顧客のトレーニングにも取り組む。「日本にも優れた専門家はいるが、数がまだ足りない」と述べ、セキュリティ専門家の教育、成熟に向け、サイバーセキュリティ教育により多くのリソースを投入すべきとした。

　最後に「攻撃者は、ここを攻撃すると決めたら必ず道を見つけ出す。どれほど強固な守りでも必ず破られる。だからこそ検出が重要だ」と述べ、日頃からぜひ危機意識を持ってほしいと呼び掛けた。