トレンドマイクロ ホワイトペーパー 標的型サイバー攻撃への第三の対策 「内部対策」とは? How to Custom Defense 「読むセミナー」シリーズ③ » 標的型サイバー攻撃対策としてさまざまなソリューションが登場している。では、いったい何 を導入すべきなのか。どのような技術が何に役立つのか。 トレンドマイクロ「読むセミナー」シリーズ、”How to Custom Defense” の第三弾では、 標的型サイバー攻撃の新たな側面と言われる「内部活動」に対する対策、「内部対策」 に焦点を当て、内部活動の理解とともに内部対策として求められる要素について解説する。 How to Custom Defense③ 標的型サイバー攻撃への第三の対策「内部対策」とは? 目次 はじめに トレンドマイクロの標的型サイバー攻撃対策ソリューション「カスタム ディフェンス」 3 多段防御と「内部対策」 3 4 内部対策の検出対象、「内部活動」とは 5 内部活動の検出が難しい理由 求められる内部対策とは? ① アカウント情報取得活動の検出 ② PsExec.exe などの正規プログラムの不正利用の検出 5 トレンドマイクロが提供する「入口対策」 -Deep Discovery Inspector 6 ① アカウント情報取得活動の検出 ② PsExec.exe などの正規プログラムの不正利用の検出 7 安心=内部対策+適切な運用 7 まとめ 2 How to Custom Defense③ 標的型サイバー攻撃への第三の対策「内部対策」とは? はじめに トレンドマイクロの標的型サイバー攻撃対策ソリューション「カスタム ディフェンス」 多様化する標的型サイバー攻撃に備えるには、単一の製品・技術では不十分になる可能性が高い。トレ ンドマイクロは、蓄積された国内外の脅威情報をもとに、多様な技術を多様な製品に実装し、また、人的 要素による監視や分析といったサービスを提供している。「カスタム ディフェンス」という名で 2013 年 3 月か ら展開するこのソリューションアンブレラを構成する各技術について、今回のセミナーシリーズでは解説していく。 今回は、進化した標的型サイバー攻撃の手法の一つとして昨今注目を集める、不正プログラム侵入後の 「遠隔操作」による内部活動に対する対策として、出口対策、入口対策に続く第三の対策である「内部 対策」に焦点を当て、解説していく。 多段防御と「内部対策」 標的型サイバー攻撃における「内部対策」は、「入口対策」「出口対策」を補完する第三の対策と位置付 けられる。この 3 つの対策は、多段防御(Defense in Depth)としてとらえることができる。 一般的なセキュリティ概念同様、標的型サイバー攻撃に対しても「多段防御」戦略が有効だ。特に標的 型サイバー攻撃は、ある攻撃が失敗すれば、他のあらゆる方法で成功するまで攻撃を止めることのない執 拗さから、”APT(Advanced Persistent Threats: Persistent には「しつこい、執拗な」の意味がある)”と 呼ばれるに至っている。 従って、攻撃者は入口対策や出口対策が有効となっている環境を標的にする場合、それをかいくぐる方法 を考えるはずだ。例えば、USB を媒介としたウイルス感染。これは、ゲートウェイをはじめとする入口対策を 無効化してしまう。また、対策として有力視されるサンドボックス解析をすり抜けるワザも登場し始めている。 例えば、時限発火装置つきのプログラム。サンドボックスのタイマーよりも長い間が経過しないと発動しない 不正プログラムであれば、サンドボックスでは検出できない。また、実環境には存在し、サンドボックスに構築 された環境にはない設定ファイルなどを特定できれば、そのファイルを実行条件としておけば解析を回避でき てしまう。 このように、優れた技術であっても見過ごしてしまうものが出てきてしまう。これは、攻撃者も、悪い意味で優 秀なエンジニア集団であり、学習し、研究開発にそれなりの投資をしている限り回避できない問題だ。 そこで必要となるのが「多段防御」の考え方だ。標的型サイバー攻撃対策であれば、「入口」「出口」といっ た、インターネットとの境界線における対策のほか、脅威がネットワーク内部で行う活動を検出することで、 侵入の早期発見を目的とするものだ。 3 How to Custom Defense③ 標的型サイバー攻撃への第三の対策「内部対策」とは? 内部対策の検出対象、「内部活動」とは 標的型サイバー攻撃における内部活動とは、主に、正規/不正ツールを用いて、遠隔操作によってネットワ ーク内部で行われる一連の活動と位置付けられる。 不正ツールを用いる場合、そもそも侵入の段階で発見される確率が高い。パターンファイルで対応できる場 合もあれば、サンドボックスで発見される可能性もある。ここでより問題となるのは「正規ツールの悪用」だ。 PsExec.exe を用いた例 攻撃者にとって、攻撃対象のアカウント情報はもっとも有効かつ重要な情報だと言えよう。特に管理者権 限(root)は、その ID/password さえあれば、管理者権限でほとんどのコマンドの実行が可能になる可能性 があり、攻撃者にとっては垂涎となる情報だ。アカウント取得方法はいくつか考えられる。古典的な手法は、 ActiveDirectory などのアカウントデポジトリに対するブルートフォース攻撃だ。ID とパスワードを総当たりで 試みるこの方法は辞書攻撃とも呼ばれる。 一方で昨今よく見られるようになったのが、パスワードダンプを入手し、クラッキングを行うことでパスワード解 析を行う手法だ。Windows PC の場合、オフラインでもログインできることから、ローカルに ID とパスワードの 関する情報(ハッシュ)が残っている。一度でもログインしたことがあるユーザのパスワードはすべて、ローカルに ハッシュとして保存されている。企業の PC の場合、管理者権限でキッティングが行われることから、管理者 パスワードも保存されている確率が高い。攻撃者は、1 台の PC に侵入を果たすことさえできれば、そこから pwdump などのツールを用いて、保存されたハッシュを入手し、クラッキングを行って権限奪取ができてしまう のだ。 次に、入手した管理者権限で PsExec.exe などの正規ツールを用い、不正プログラムを拡散させる。 PsExec.exe はマイクロソフトが配布している、プログラム配布ツールであり、正規のツールだ。しかし攻撃者 はこれを悪用することで、重要サーバなどに不正プログラムを植え付け、そこからさらに攻撃を進めたり、機密 情報を盗み取ったり、破壊活動を行ったりする(図 1)。 図 1:標的型サイバー攻撃の内部活動 4 How to Custom Defense③ 標的型サイバー攻撃への第三の対策「内部対策」とは? 内部活動の検出が難しい理由 PsExec.exe は正規のツールであるから、当然、パターンファイル等での発見は不可能だし、利用そのもの には何も問題がない。さらに、正規の管理者権限で実行されているため、それが、不正アクセスによるもの なのか、本当の管理者が行っている活動なのか、従来の技術では見分けがつかない。 また、これらの活動は遠隔操作を通じて行われるものの、その多くは HTTP を使って行われており、通常の HTTP アクセスにまぎれて行われるため、それが不正なものなのかの判断が困難となる。特に、C&C サーバ が未知の IP アドレスを使用していた場合、もしくは正規サイトを乗っ取って踏み台として利用していた場合、 出口対策での検出も困難となる。 求められる内部対策とは? 以上から、内部活動を検出するために必要となるのは、以下の「内部対策」であると言える: ① アカウント情報取得活動の検出 パスワードハッシュの漏えいに関しては、ターゲットとなった PC にはあらかじめバックドアが仕掛けら れ、そこから pwdump などの不正ツールがダウンロードされることから、バックドアの検出や不正ツー ルの流入を検出する仕組みが必要となる(図 2)。 また、ブルートフォース攻撃が用いられた場合には、大量のログインエラーが発生することから、そこ から異常検出を行うなどの仕組みが必要だ。 ② PsExec.exe などの正規プログラムの不正利用の検出 PsExec.exe 自体は正規プログラムであり、検出しても異常がない可能性が高いが、 PsExec.exe によるファイル拡散は、管理共有へのファイルコピーによって実施されるため、それを 検出のきっかけとするような仕組みが求められる。 また、PsExec.exe を管理ツールとして正式に利用していない環境の場合、PsExe.exe の利用 そのものを検出することも一つの方法となる。 図 2: 求められる内部対策の例 5 How to Custom Defense③ 標的型サイバー攻撃への第三の対策「内部対策」とは? トレンドマイクロが提供する「内部対策」 - Deep Discovery Inspector 内部対策という観点から標的型サイバー攻撃対策を考えた時、必要となるのは「企業ネットワーク内部の 監視」だ。通信を見張り、通常時と異なる事象が発生しないかモニタリングを行う。そのための製品が、T Deep Discovery Inspector (以下 DDI)だ。DDI のは、ネットワークを流れるトラフィックをモニタリングし、 そこから異常を検出していく。例えば不正プログラムであったり、脆弱性攻撃コートであったり、セキュリティ 違反に関わる異常量のトラフィック発生などである。 内部活動の監視について、DDI は以下の機能を提供している: ① アカウント情報取得活動の検出 ⁃ バックドア検出 本機能は入口対策にも近い。攻撃の初期段階において不正プログラムが侵入し、バックドア をしかける際に、DDI はその通信を検出して感染端末を特定することが可能。 ⁃ 不正ファイル検出 上記機能をすり抜け、バックドアが仕掛けてしまったら、pwdump などの不正プログラムの社 内端末へのダウンロードを検出の機会とする。DDI は、パターンファイルなど、脅威の情報を 元に入り込む脅威を検出する。 ⁃ ブルートフォース攻撃検出 認証エラーが大量に発生する同攻撃では、DDI は、エラーコードが返される際のトラフィック を監視し異常を検出する。数回ではパスワードを忘れてしまった人のミスかもしれないが、数 十ユーザに対する数万回のエラーであれば異常と判断できる。 ② PsExec.exe などの正規プログラムの不正利用の検出(図 3) ⁃ 管理共有に対する実行ファイルのコピー検出 PsExec.exe の不正利用による不正ファイルの拡散はすべて、管理共有へのファイルコピー である点に着目し、DDI は、管理共有に実行ファイルがコピーされた際にそれを検出する。 ⁃ PsExec.exe の利用を検出 もし、PsExec.exe を管理ツールとして正式に利用していない環境なのであれば、 PsExe.exe の利用そのものを検出して対策することも可能だ。DDI は同ツールの利用検 出に対応している。 図 3:DDI による内部対策の例 6 How to Custom Defense③ 標的型サイバー攻撃への第三の対策「内部対策」とは? 安心 = 内部対策 + 適切な運用 前章では、DDI の持つ機能のうち、内部対策として役立つものを取り上げた。しかし、その説明に違和感 を持った人もいるかもしれない。例えば、PsExec.exe を用いた正式な実行ファイルの管理共有へのコピ ーが行われても、果たしてそれは異常と言えるのだろうか? そこで重要となるもう一つの要素が「運用」だ。 正規のオペレーションが異常として検出された場合には、そのログを見て、ソース IP アドレスを確認し、それ が情報システムの管理用端末のアドレスであれば、正規のオペレーションであると判断できる。しかし、メン テナンス時間外であり、さらに管理者権限を持たないはずの社員の端末から実行されていたとしたらどうだ ろう?これはほぼクロと判断してよいだろう。 これは、ユーザ環境に依存した判断であり、運用に密接にかかわってくる課題だ。なぜなら、攻撃者は自 分の行動を目立たせなくするために、「できるだけ管理者と似通った行動をとる」からだ。DDI は異常と思 われるもの検出はするが、その情報を元に最終的なオペレーションを行ったり、不正を特定したりするために は、環境や事情を理解している「人の要素」が大きくかかわってくる。この部分は場合によって大きな負荷と なるかもしれない。そういうケースでは、外部の専門家の知識を借りるのも方法だ。トレンドマイクロは、DDI の運用をはじめとする、さまざまなセキュリティのプロによるサービスメニューも提供している。 まとめ 標的型サイバー攻撃対策として有効と言われる「入口対策」「出口対策」に加え、第三の対策である「内 部対策」に注目が集まっている。その背景には、入口や出口における対策を無効化するなど、攻撃者側の 進化がある。これに対抗するためには、多段防御の考え方を用い、今までの手法だけではない、多様な手 段で網羅的な検出を行うことで対抗していく必要がある。 ネットワークへの侵入を果たした後、管理者権限を奪取し、不正プログラムの拡散を行うなどする内部活動 に対し、トレンドマイクロは DDI と呼ばれる製品で対策を可能にしている。 しかし、適切な判断と対処を行うためには製品の導入だけではなく、ネットワークや環境を熟知した上での 運用が求められる。トレンドマイクロの提供する各種サービスなどを上手に取り入れながら、標的型サイバー 攻撃対策をしていただきたい。 7 トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問 わず本書またはその一部を複製することは禁じられています。 TRENDMICRO は、トレンドマイクロ株式会社の登録商標です。 各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。 Copyright (c) 2013 Trend Micro Incorporated. All rights reserved. 00-0000-000 東京本社 〒151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワー TEL.03-5334-3601(法人お問い合わせ窓口)FAX.03-5334-3639 大阪営業所 〒532-0003 大阪市淀川区宮原 3-4-30 ニッセイ新大阪ビル 13 階 TEL.06-6350-0330(代表) FAX.06-6350-0591 名古屋営業所 〒460-0002 愛知県名古屋市中区丸の内 3-22-24 名古屋桜通ビル 7 階 TEL.052-955-1221 FAX.052-963-6332 福岡営業所所 〒812-0011 福岡県福岡市博多区博多駅前 2-3-7 サンエフビル 7 階 TEL.092-471-0562 FAX.092-471-0563
© Copyright 2024 ExpyDoc
