侵入を許した標的型サイバー攻撃の脅威を見つける手掛かりとは？（1/2 ページ）

機密情報を搾取するサイバー攻撃では脅威の侵入を防ぐ対策に重点が置かれてきたが、今では侵入していることを前提にした対策が重要だと言われる。脅威を見つけ出すための手掛かりとは何か――。

[國谷武史，ITmedia]

　企業や組織の機密情報を狙う標的型サイバー攻撃は、攻撃者が巧妙な手口を幾重にも組み合わせて仕掛けられるため、その脅威の検知は困難だといわれる。例えば、トレンドマイクロが2008〜2012年に国内で確認したバックドア型の不正プログラム「PoisonIvy」で利用されるポートは、40％がHTTPSなどの「443」、30％がHTTPなどの「80」であり、インターネット接続の必要性からファイアウォールでは閉じられないポートが使われていた。

　このため、標的型サイバー攻撃対策では例えば、「不審なメールを開かない」といった脅威の侵入を防ぐ点に着目した提言がなされがちだ。しかし、攻撃の初期段階である攻撃者のなりすましメールも非常に巧妙に作成されているため、セキュリティ対策に詳しい人でもそれを見抜くのは難しい。

　トレンドマイクロでセキュリティエバンジェリストを務める染谷征良氏は、「標的型サイバー攻撃対策のキーワードは『C&C（コマンド＆コントロール）サーバ』」と話す。標的型サイバー攻撃対策では攻撃者が、侵入先の組織のコンピュータにマルウェアを送り込んだり遠隔操作したりするほか、コンピュータから搾取した機密情報を収集するために、ほぼ必ずC&Cサーバを使う。このC&Cサーバによる通信が、標的型サイバー攻撃を発見するための手掛かりになるという。

手口を変えても通信パターンは一定

　染谷氏によると、標的型サイバー攻撃に使われるマルウェアやC&Cサーバといった攻撃インフラは、攻撃の機会に応じて既存もしくは新たなものが使用される。しかし、そこでの通信には一定のパターンを継続しているケースが多いという。

　2010年に台湾の行政機関を狙った「Taidoor」という攻撃イベントの場合、トレンドマイクロでは30個の不正プログラムの検体と29のC&CサーバのIPアドレスを発見したが、不正プログラムC&Cサーバの通信には「5つのランダムな文字列」と特定の文字列、「6つのランダムな文字列」「暗号化された標的端末のMACアドレス」という

共通のパターンが認められた。

　また、2009年に世界各国の政府機関や大手企業を狙った「IXESHE」という攻撃イベントでも、不正プログラムC&Cサーバの通信には必ず「ACD」「EW」のどれかアルファベット文字の組み合わせと特定の文字列、暗号化された特殊なBase64形式のデータという通信パターンが見つかった。上述のPoisonIvyでもC&Cサーバと感染マシンの間で通信が成立した直後に、256バイトのChallengeを含むリクエストが発行され、チャレンジレスポンスで認証がなされた後に特定の4バイトのデータを送信するというパターンの存在が確認された。

PoisonIvyのサーバとクライアント間の初期通信（トレンドマイクロより）

　通信パターンが一定している背景には、攻撃者がこのパターンを変更してしまうと攻撃インフラを再構築しなくてはならず、そのために多くの時間とコスト、手間を伴うからだという。攻撃インフラの構築には多大な投資を要するといわれ、攻撃者としてはいったん構築したインフラをできるだけ利用して利益を得ようとする。しかし、攻撃する度にインフラを構築しているのであれば、搾取した情報を換金したところで利益は少なく、攻撃を仕掛ける意欲も無くなるだろう。

　染谷氏によれば、こうした通信パターンを見抜くには、個々の不正プログラムやC&Cサーバに着目するだけでなく、攻撃の全体像を捉えていくアプローチが重要だと解説する。

　ただ、攻撃者側はこうした“弱点”も把握しているといい、最近の攻撃ではC&Cサーバを侵入先のネットワーク内にも設置してC&Cサーバの構成を複雑なものにしたり、正規のWebメールやソーシャルメディアなどのサービスをC&Cサーバの代わりとして悪用したりケースなどが見つかった。

　こうした手法の変化に対しても、組織ネットワーク内部の通信の監視を強化するなど、監視ポイントの拡充や従来の検知手法なども組み合わせた多層的な検知体制を整備することで、十分に対応していけるという。標的型サイバー攻撃を発見する手掛かりとして、現時点では「通信パターン」を見破ることが最も有効的な手段の1つと言えそうだ。