ビッグデータ分析から読み解く日本企業のセキュリティ脅威

標的型サイバー攻撃の新たな対策の1つとして、システムの大量ログの分析から攻撃を発見する「SIEM」が注目されている。毎日200億ものログを分析しているというIBMがまとめた報告書から、日本企業を狙う脅威状況を探ってみたい。

» 2013年06月27日 08時00分 公開
[國谷武史,ITmedia]

 企業や組織の重要な情報を搾取する標的型サイバー攻撃は、近年にますます巧妙化が進み、従来型のセキュリティ対策技術では検知が難しくなりつつある。その理由は、従来型の対策技術の多くが悪意ある攻撃特徴の定義したデータベースを使って検知する仕組みであるためだ。攻撃側は対策技術に精通して検知を逃れるために、ターゲットに気付かれない手法を幾つも駆使している。情報漏えいの発覚によって初めてターゲットが攻撃に気付くケースも多い。

 そこで、高度な標的型サイバー攻撃を検知するための新たな仕組みも開発されている。その一つが「SIEM(セキュリティインシデント・イベント管理)」と呼ばれるものだ。SIEMでは情報システムが吐き出す大量のログデータの相関関係をサイバー攻撃者の視点から分析することによって、攻撃の事実を突き止めていく。近年のビッグデータ処理技術の進化も相まって、企業でもSIEMに取り組めるようになってきた。

 それでは、SIEMによって企業は具体的にどのような事実を把握できるのだろうか。これを実践しているのがセキュリティベンダーである。例えば、IBMでは世界10カ所のセキュリティオペレーションセンター(SOC)において、1日に約200億件(毎秒23万件)もの顧客企業のログをリアルタイムに相関分析している。同社が発行しているこの分析レポートから浮かび上がった日本の企業や組織を狙う攻撃の事実を読み解いてみたい。

 IBMが都内に設置している「Tokyo SOC」では主に日本の顧客企業の環境を監視している。Tokyo SOCが発行した最新版の2012年下期(7〜12月)の分析レポートでは、標的型メール攻撃、ドライブバイダウンロード攻撃、Webアプリケーション攻撃の3つの攻撃について、企業が把握すべき事実や対策の指針が示されている。

日本企業に合わせた標的型メール

 攻撃者がターゲットに気付かれない手口としてよく用いるのが「標的型メール」だ。ターゲットに関係のある人物や内容になりすましたメールを送り付けて相手に開封させ、メール内のリンクもしくは細工した添付ファイルによって、マルウェアに感染させることを狙う。

 レポートによると、2012年下半期にTokyo SOCで検知された標的型メールは、上半期の1.4倍、前年同期比では2.5倍に増えている。国内では2011年にテクノロジー系企業や重工系企業、官公庁での情報漏えい事件が多発して、標的型サイバー攻撃の脅威が広く知られるようになった。2012年はそれを上回る規模で攻撃が発生している。

 この期間に検知された標的型メールの内容は、政治の話題に触れたものから日常業務の書類に見せかけたものまで、幅広くみられた。特にファイルを添付した標的型メールでは脆弱性を悪用してコンピュータに不正プログラムを感染させる細工をしたものが多く、85.0%がWordファイル、13.6%がExcelファイルに偽装されていた。いずれのケースでも同年上期に報告されたWindowsのコモンコントロールの脆弱性(MS12-027)の脆弱性を悪用する細工が仕掛けられていた。

 同社によると、標的型メール攻撃には(1)単一の組織や個人が対象のもの、(2)複数の組織に跨るもの――の2パターンに大別される。2012年下期は(1)のケースが多く、送信元アドレスや悪用する脆弱性が同一ながら、異なるファイル名を添付したメールがほぼ同時に4通送られたケースもあった。また、メールが送信された時間帯は日本時間の午前9時から翌日の午前1時までに集中し、午前1時〜午前8時には確認されなかった。

ドライブバイダウンロード攻撃の成功率

 攻撃者がターゲットにマルウェアを感染させる手口としては、ターゲットをWebサイトに誘導し、そのWebサイトを踏み台にターゲットのコンピュータへマルウェアを送り込む「ドライブバイダウンロード」がある。ドライブバイダウンロードの際に、ターゲットのコンピュータに脆弱性が存在していると、それが悪用されてマルウェアに感染してしまう。

 期間中に検知されたドライブバイダウンロード攻撃をみると、62.1%がAdobe Readerの脆弱性、32.2%がJRE(Java Runtime Environment)の脆弱性を悪用していた。マルウェア感染の成功率は26%で、そのうち62.5%がJREの脆弱性を悪用していたことが分かった。

 攻撃全体ではAdobe Readerの脆弱性を悪用するケースが多いものの、マルウェア感染の成功率はJREの脆弱性を悪用するケースの方が高い。脆弱性別で分析すると、Adobe Readerの脆弱性を悪用するケースの成功率は11.0%、JREの脆弱性を悪用するケースは51.9%に上っている。

SQLインジェクションが最多

 Webアプリケーションに対する攻撃は、攻撃者がドライブバイダウンロード攻撃の踏み台など使う目的で正規のWebサイトと改ざんする、あるいは、Webアプリケーションの裏側にあるデータベースへ侵入して機密情報を漏えいさせる目的で行われる場合が多い。

 期間中にTokyo SOCで検知したWebアプリケーションに対する攻撃の89.8%は、SQLインジェクションと呼ばれるWebサイトと連携するデータベースの不正操作を可能にする手法であった。特にMicrosoft SQL Serverを狙う攻撃が増加(SQLインジェクション全体の39%)がしたという。最も多いものは、「ブラインドSQLインジェクション」という、SQL命令に対するデータベースからの応答をもとにSQL命令を繰り返し送り付けることでデータベースの情報を取得するものだった。

 SQLインジェクションでは従来のように広範囲のターゲットに仕掛けるケースもみられたが、特定のターゲットに短期集中型の攻撃を仕掛けるケースが増加しているという。広範囲のターゲットに仕掛けるケースは、攻撃者が攻撃の踏み台に使えそうなWebサイトを探す目的で不特定多数の相手に実行するが、特定のターゲットに短期集中型の攻撃を仕掛けるケースは、情報の搾取が目的であるという。後者が増えていることは、情報搾取を狙うサイバー攻撃へのシフトをうかがわせる。

既存と新規の対策を多層的に講じるべし

 同社の分析から分かるのは、巧妙化する標的型サイバー攻撃が日常的に横行しているという現状だろう。レポートでは、ドライブバイダウンロード攻撃の成功率をみるに、従来型対策を容易にすり抜けられてしまっている事実を指摘している。

 ただ、従来型対策の有効性が無くなったわけではない。ネットワークの入口から内部、出口おける各ポイントで悪意ある攻撃を発見するには、まず従来型対策が適切に機能していることが前提だ。その上で従来型対策を回避する攻撃を見つけ出すために、SIEMなどの新たな手法を組み合わせて検知体制を強化していく。もちろん、これによって完璧な検知を実現できるわけではないが、攻撃を検知できる確率は間違いなく高まるはずだ。

 SIEMというセキュリティ対策を目的としたビッグデータの分析処理技術が登場したことで、企業自身の手でこうした対策強化に着手できるようにはなってきた。しかし、現在課題になっているのはこの技術を利用できる人材の不足である。また、SIEMの導入と機能させるための環境整備にも、ある程度の投資は必要だ。

 標的型サイバー攻撃を仕掛ける側は、多額の投資を行って高度に組織化、専門化されているといわれる。それだけに守る側にも相応の体制を構築しなくてはならず、やはり外部の専門家の知見やサポートを活用していくことが近道になるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ