ニュース
» 2012年10月12日 21時54分 UPDATE

追跡:サイバー犯罪者に迫る最新セキュリティ技術――トレンドマイクロ技術セミナー (1/2)

トレンドマイクロのセキュリティエキスパート「Forward looking Threat Research」チームが来日し、サイバー犯罪者の素顔に迫る最新技術を解説した。

[ITmedia]

「Forward looking Threat Research」の取り組み

og_ftr_001.jpg 「Forward looking Threat Research」チーム(FTR)を紹介するマーティン・ルースラー氏。FTRは20余名のセキュリティエキスパートで構成され、世界各国に点在している

 トレンドマイクロがサイバー犯罪の実態を解説するセキュリティセミナーを実施。同社の「Forward looking Threat Research」チーム(FTR)に所属するトップリサーチャーが来日し、「Luckycat」と呼ばれる標的型攻撃と、オンラインバンキングを狙ったトロイの木馬「Tinba」の事例から、サイバー攻撃の背後にいる犯罪者自身を浮き彫りにしていくFTRの取り組みを紹介した。

 FTRは、Windows 8やNFC(Near Field Communication)といった最新技術のセキュリティ研究をはじめ、エンドユーザーのインターネット利用動向や、サイバー犯罪者の活動などを日々調査している専門組織だ。

 FTRを率いるマーティン・ルースラー氏(Martin Rosler)は「FTRはいわばトレンドマイクロの“スカウト”(斥候)」と表現し、「後に続く軍に先んじて、相手の規模や戦域の情報を収集するのに似ている。将来どのようなセキュリティリスクが起こりうるか、トレンドマイクロの今後の意思決定に影響するインテリジェンスをトップに提供することがミッションだ」と説明する。また、FTRは各国の警察組織とも積極的に連携しており、その活動はサイバー犯罪者の逮捕や起訴にも貢献している(ちなみに日本では警察庁と京都府警が関係しているそうだ)。

 その土台となっているのが、トレンドマイクロの中核を担うクラウドインフラ「Trend Micro Smart Protection Network」(SPN)と、そこで収拾したセキュリティ情報に基づくビッグデータ分析である。SPNでは1日に6Tバイトのデータ(160億のクエリ)を処理し、さまざまな脅威からエンドユーザーを保護しているが、この膨大な情報をもとにサイバー攻撃の傾向(利用されるツールやコンポーネント、C&Cサーバなど)を分析、その相関関係をマッピングすることに成功したという。

攻撃の全体像を捉えることで効果的な対策を実現

og_ftr_002.jpg FTR シニアスレットリサーチャーのナート・ヴェルヌーヴ氏

 シニアスレットリサーチャーのナート・ヴェルヌーヴ氏によれば、特定の企業・組織を継続的に狙う標的型攻撃には大きく分けて6つの段階があるという。まず1つ目は情報収集の段階。ここではFacebookなどインターネット上の公開情報をもとに標的にカスタマイズした攻撃を準備する。

 続く第2段階では不正なファイルを添付したEメールなどを用いて、標的への侵入を試みる。これらのメールは第一段階で収集した情報が利用されるため、ターゲットとなった組織の従業員が興味を持つ内容となっている(例えば、日本の宇宙航空産業を狙ったとされる標的型攻撃「Luckycat」では、「福島」を題材にした標的型メールも使用されたという)。

og_ftr_003.jpg 標的型攻撃の段階

 その第2段階で不正なプログラムにうまく感染させることができれば、外部サーバ(C&Cサーバ)を通じて感染端末をコントロール下に置く、これが第3段階だ。その後、侵入したネットワーク内で水平的に感染を広げて攻撃の可能性を増やし(第4段階)、価値のある情報が保管されているサーバを特定(第5段階)、目的の情報を窃取していく(第6段階)という流れになる。

 ヴェルヌーヴ氏は、「これらを個々の攻撃として見るのではなく、一連のキャンペーン(作戦)として捉えることが重要だ」と強調する。例えば、Luckycatでは「少なくとも5つ以上のマルウェアファミリーが使われていたことが分かっている」が、これらは相互に関係している。また、「攻撃には無料のホスティングサービスが多用されていたが、その一方で専用の仮想サーバ(VPS)も用いられていた。標的型攻撃は複雑な階層構造になっており、(攻撃の段階に応じて)人の手を介して修正されているのがボットネットと大きく異なる点だ」と説明する。ヴェルヌーヴ氏は、SPNを背景にした相関分析でこれらの攻撃の「点を結ぶ」ことにより、攻撃の全体像を可視化し、今後の攻撃に効果的に備えていくことができると語る。

og_ftr_004.jpgog_ftr_005.jpg 標的型攻撃の初期段階では、ソーシャルエンジニアリングを利用したメール攻撃などが行われる。Luckycatでは「福島」を題材にしたメールが用いられた(写真=左)。Luckycatの攻撃で利用されたインフラ(コンピューターネットワーク)全体の相関図。まったく別の攻撃が実は関連しており、同一のキャンペーンを構成していることが分かるという(写真=右)

       1|2 次のページへ

Copyright© 2018 ITmedia, Inc. All Rights Reserved.

この記事が気に入ったら
ITmedia PC USER に「いいね!」しよう