日本を狙う脅威: ゼロデイ脆弱性を利用し、標的ごとに攻撃をアレンジ URL : www.kaspersky.co.jp © 1997 – 2015 Kaspersky Lab All Rights Reserved. 1 昨今、ゼロデイエクスプロイトが驚くべき速さで拡散しています。APTの実行者は、こうした 便利なエクスプロイトが公開されると、ただちに自らの攻撃手法に取り込みます。当社は先日、 Hacking Teamから盗み出されたAdobe Flashのゼロデイ脆弱性を悪用するAPT集団、Darkhotel (ダークホテル)について発表したばかりですが、この脆弱性の影響がいまや日本にまで及ぶ ことが明らかになりました。APT集団「BlueTermite(ブルーターマイト)」が、この脆弱性 を悪用するエクスプロイトを自らのツールセットに組み込んでいました。 イタリアから日本へ… APT(Advanced Persistent Threat) は、そのまま訳すと「高度で執拗な 攻撃」です。ブルーターマイトの攻 撃はまさに、さまざまな点で「執 拗」です。まず、少なくとも2013年 11月にはその活動が開始されていま す。また、日本を狙い撃ちするとい う興味深い特徴があります。標的と なった組織は日本を拠点とする組織 に限られ、ブルーターマイトの指令 サーバーも日本国内に設置されてい ます。 上図では、2015年7月中旬に活動の激化が読み取れます。これは、この攻撃集団が新しい感染 手法を取り入れた時期と重なっています。ブルーターマイトの拡散手法は主にスピア型 フィッシングでしたが、2015年7月、ゼロデイ脆弱性を悪用したドライブバイダウンロードの 手法が加わりました。注目すべきは、感染したWebサイトの中に日本政府関係者に連なると みられるネットワークリソースが含まれていた点です。このような水飲み場型攻撃は、日本 の政界関係者を標的としたものと考えられます。 さらに興味深いのは、感染したマルウェア「Emdivi t20」内に暗号化されて格納されている コードを復号するために、標的のハードウェアに基づく一意のIDから復号鍵を生成している 点です。 © 1997 – 2015 Kaspersky Lab All Rights Reserved. 2 前述のとおり、この攻撃はさまざまな点で「執拗」です。日本に固執しており、感染システム ごとにカスタマイズされた攻撃ツールセットを利用することでリサーチャーによる調査分析を 妨げています。ブルーターマイトの技術的詳細は、こちらの記事をご覧ください。 以上の状況を鑑みると、攻撃集団はHacking Team から流出したゼロデイ脆弱性の悪用に少な からぬ関心を寄せていたと考えられます。「パッチが提供されない」期間のメリットを活用し ようとサイバー犯罪者が迅速に行動を起こす、という筋書きは、今回の件に限らず、広く公に 影響を及ぼすゼロデイ脆弱性が明らかになるたびに繰り返されることでしょう。 被害企業とならないためには、こうした攻撃の可能性を認識し、万一に備えることが重要です。 少なくとも、重要なパッチが公開され次第、速やかに適用する必要があります。こうした対策 によって標的型攻撃を受ける可能性がゼロにはなるわけではありませんが、リスクは大幅に減 少します。 ブルーターマイトの手法に対抗するカスペルスキー製品 当社製品は、ブルーターマイトのモジュールを下記の検知名で検知し、ブロックします。 • • • • • • • • Backdoor.Win32.Emdivi.* Backdoor.Win64.Agent.* Exploit.SWF.Agent.* HEUR:Backdoor.Win32.Generic HEUR:Exploit.SWF.Agent.gen HEUR:Trojan.Win32.Generic Trojan-Downloader.Win32.Agent.* Trojan-Dropper.Win32.Agent.* ゼロデイマルウェアの阻止 ブラックリストデータベースでは検知できない未知のマルウェア検体に対し、当社製品では、 ヒューリスティックアルゴリズムが適用されます。このアルゴリズムは、検体の構造と、エ ミュレートされた特徴的なふるまいパターンに基づいて検知を行います。また、実プロセスの ふるまいも監視対象です。システムウォッチャーは、疑わしいふるまいパターンの認識や、不 審なアクティビティの阻止が可能です。 Kaspersky Labの脆弱性攻撃ブロックはエクスプロイト(ゼロデイ含む)に対抗する機能であ り、ブルーターマイトコンポーネントの検知に効果を発揮します。Kaspersky Labの高度なア ンチマルウェアエンジンに搭載されたヒューリスティックアルゴリズムと脆弱性攻撃ブロック は、包括的な多重防御に欠くことのできない技術です。 © 1997 – 2015 Kaspersky Lab All Rights Reserved. 3 パッチの速やかな適用 インストールされているソフトウェアを定期的に最新バージョンにアップデートし、OSに パッチを適用することで、さまざまな攻撃に対する耐性が向上します。適切なタイミングで パッチを適用するには、パッチ管理ツールキットを利用すると便利です。こうしたツールは当 社でも提供しており、Microsoft WSUSと併用することも、代わりとして利用することもでき ます。当社製品に搭載の脆弱性診断とパッチ管理1 を組み合わせて利用することで、主要な サードパーティソフトウェアを最新バージョンにアップデート可能です。プロセスは自動的に 行われるため、パッチの公表から適用までの期間を短縮し、「過去のゼロデイ」による被害に 遭うリスクを大幅に減少するのに役立ちます。 指令サーバーURLのデータベース 標的型攻撃のC&Cサーバー(指令サーバー)が特定されると、そのアドレスはKaspersky Lab のセキュリティデータベースへただちに追加されます。当社製品をご利用のお客様には、活動 中の指令サーバーに関する最新情報を特別なデータフィードでご提供しています。このフィー ドを(たとえばお客様のSIEMシステムで)使用することで、こうした悪意あるサーバーとの 通信が発生した際に、システム管理者にアラートを送信することができます。本サービスにご 興味のある方は、[email protected]までお問い合わせください。 1 脆弱性診断とパッチ管理の機能はKaspersky Systems Managementに含まれています。 © 1997 – 2015 Kaspersky Lab All Rights Reserved. 4 よりよいサイバーセキュリティ 対策を実現するためには ますます高度化、複雑化する未知の攻撃や既知の攻撃からネットワークを防御する為には多層型の セキュリティ・プラットフォームが必要です。 カスペルスキーが提供するエンタープライズ向けのセキュリティ・ソリューションに関する詳細は こちらをご覧ください。 http://www.kaspersky.co.jp/business-security Kaspersky Lab について Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセ キュリティ市場におけるイノベーターとして、17年以上にわたり大企業から個人ユーザーまで幅広い お客様に効果的なITセキュリティソリューションを提供しています。現在、世界中のおよそ 200の国 と地域で事業を展開し、全世界で4億人を超えるユーザーをIT上の脅威から保護しています。 弊社セキュリティ・ソリューションに関するお問い合わせ先 株式会社カスペルスキー コーポレートビジネス本部 E-mail: [email protected] APT攻撃などサイバー攻撃に関するお問い合わせ先 E-mail: [email protected] その他情報はこちらから オフィシャルサイト:http://kaspersky.co.jp/ オフィシャルブログ(Kaspersky Daily) :http://blog.kaspersky.co.jp/ 株式会社カスペルスキー 5 © 1997 – 2015 Kaspersky Lab All Rights Reserved. 〒 101-0021 東京都千代田区外神田 3-12-8 © 1997 – 2015 Kaspersky Lab All Rights Reserved. 住友不動産秋葉原ビル 7F http://www.kaspersky.co.jp 5 PR-1013-201508
© Copyright 2024 ExpyDoc
