国内標的型サイバー攻撃解説セミナー/トレンドマイクロ不正活動を正規プロセスに“隠ぺい”
ネットワーク監視の重要性を指摘

トレンドマイクロは、「国内標的型サイバー攻撃分析レポート 2018年版」を公開。これに合わせて、都内で記者向け解説セミナーを開催し、標的型攻撃の傾向と対策を分析しました。今回は、その内容をレポートします。

依然として続く標的型攻撃

解説セミナーで登壇したのは、トレンドマイクロのセキュリティエバンジェリストである岡本勝之氏。「標的型サイバー攻撃とは、組織の持つ重要情報の入手を目的に標的組織に特化して行われる一連の攻撃」と定義を再確認し、「2017年は標的型攻撃の報道が少なかったため沈静化した印象を受けているかもしれないが、攻撃は続いている。しかも手口はさらに巧妙化しており侵入に気づいていないケースがとても多い」と語りました。

●「標的型サイバー攻撃」の攻撃段階。大きく「侵入時活動」と「内部活動」があり、今回のセミナーでは内部活動の変化が注目された(セミナー資料より引用)

標的型サイバー攻撃では、遠隔操作ツール(Remoto Access Tool:以下、RAT)や遠隔操作サーバー(Command & Control Server/以下、C&Cサーバー)を使い、標的組織内の端末の制御から情報窃取まで、さまざまな内部活動が行われます。

2017年において、トレンドマイクロによる法人顧客のネットワーク監視活動で、標的型サイバー攻撃の兆候である内部活動の疑いが確認された割合は71%。また、標的型サイバー攻撃で利用されるRATによる活動が確認された法人組織も26%に及んだとしています。これは、端的にいえば「4社に1社で標的型サイバー攻撃に利用されるRATが確認された」ことになります。

●法人組織71%で、標的型サイバー攻撃の疑いを示す内部活動を確認(セミナー資料より引用)
●26%の法人組織で、標的型サイバー攻撃で利用されるRATによる活動を確認(セミナー資料より引用)

正規ツールやサービスを利用して攻撃を“隠ぺい”

岡本氏が、2017年の大きな特徴として挙げたのが攻撃の巧妙化です。「2017年に当社が確認した攻撃の大半において、ソフトからインターネットまで、さまざまな正規のツールやサービス、Windowsの標準機能を悪用したり、正規通信に紛れ込ませたりといった隠ぺい工作が見られた」とのこと。攻撃に気づくことが、以前にも増して難しくなってるといえます。

例えば、C&Cサーバーの存在場所です。サイバー攻撃では、侵入した端末(組織内のネットワークとつながるPCなどにRATを仕込むこと)に対してC&Cサーバーから操作や攻撃の指示を行うことで、情報窃取などが実行されます。2015年頃までは、改ざんされた国内の正規WebサイトをC&Cサーバーとして悪用するケースが確認されていましたが、2017年は「クラウドやホスティングなどの正規サービス上に攻撃を指示するC&Cサーバーが設置されるケースが83.3%も確認された」とのことで、大きく傾向が異なっています。

「正規のサーバーに紛れ込んで設置されているため、ネットワーク監視者からは普通に使われているサーバーから正規に通信しているようにしか見えない」(岡本氏)というわけです

●正規サービス上への攻撃基盤(C&Cサーバー)の設置(セミナー資料より引用)

また、RATによる内部活動を隠ぺいする手法も巧妙化。トレンドマイクロが確認したサイバー攻撃に利用されたRATのうち、94%が内部活動で正規ツールなどが攻撃の隠ぺいに悪用されていることが判明しました。隠ぺいにより、表面上は正規ツールによる正規プロセスに見えるため、セキュリティツールやサービスによる検出を回避し、システム管理者による攻撃の特定を難しくしています。

●正規を隠れ蓑にした内部活動(セミナー資料より引用)

手法はさまざまですが、岡本氏が一例として挙げたのは不正コードを正規プロセスの一部として実行することにより、RATの存在と活動を隠ぺいする「DLLインジェクション」や「DLLプリロード」などです。

Windowsでは、メモリーやディスク容量の節約、アップデートの効率化を目的にDynamic Link Library(以下、DLL)という仕組みが使われています。DLLはさまざまなプログラムで利用される汎用性の高い機能を切り出して部品(モジュール)化されたプログラムファイルのこと。それぞれのソフトがプログラムを実行する際にDLLを機能の1つとして取り込む(ロード)ことで使用するわけです。

●DLLの仕組み(セミナー資料より引用)

DLLインジェクションとDLLプリロードとも、この仕組みを悪用した手法です。DLLインジェクションは、実行されている正規の既存プログラムに不正なDLLを注入(インジェクション)することで、既存プログラムになりすます手口。また、DLLをロードする時に検索により目的のDLLを探しますが、この時に検索する順序を悪用して不正なDLLを優先的に検索させてRATを実行させる手口がDLLプリロードです。

いずれも、表面上は正規プロセスが動いているだけのように見えますから、セキュリティツールやネットワーク監視者の目をすり抜けやすいというわけです。

●DLLインジェクション(セミナー資料より引用)
●DLLプリロード(セミナー資料より引用)

この他にも、Windows標準のPowerShellやJScript/VBScriptの悪用により内部活動の痕跡を残さない手法や、巧妙なファイルレス活動により、セキュリティツールや監視者の検出・解析を困難化させる手口が確認されています。

対策は攻撃の痕跡を“線”で分析

年々、標的型サイバー攻撃は巧妙化するばかりですが、トレンドマイクロでは対策として、「ネットワーク内部への侵入を防ぐ」「正規で隠ぺいされた活動の可視化」「大量のアラートから本当の攻撃を見出す」の3点を挙げています。

●標的型サイバー攻撃への対策ポイント(セミナー資料より引用)

ネットワーク内部への侵入を防ぐという対策は、エンドポイント(利用者端末)対策として、かなり以前からいわれていること。従業員に対して、不審なメールには十分注意するよう注意喚起するなど徹底した入口対策が欠かせません。しかし、最近は“侵入を前提とした対策”が主流の考え方。岡本氏も、「すべての攻撃を防御することは現実的には難しい」といい、侵入を前提とした対策も必要です。

その際に、重要となるのが隠ぺいされた内部活動をいかに見つけるかでしょう。岡本氏は、「内部活動を点ではなく線でとらえる」ことと指摘。「個々のログやプロセスが正規ユーザーでも行うものであったとしても、その頻度が通常のやり取りよりも多いといった兆候を分析することで、RATなどの不正プログラムを検出できる」と、ネットワーク監視の重要性について言及しました。(長谷川丈一)