さまざまな要素で継続的に攻めてくるAPT攻撃
来日したエディ・シュワルツ氏は、CISOとしてEMC社内のすべてのセキュリティに関する責任者であると同時に、企業などで同じ立場のCISOに会い、どのようなセキュリティ対策を行っているかの話をする役割も担っている。さらに、米国、イスラエルに設置されているサイバー犯罪やATP攻撃などに関する高度な分析を行う調査チームも、彼の管轄だ。
今回EMCでは、『The Cyber Espionage Blueprint Understanding Commonalities in Targeted Malware Campaigns』(PDF)というドキュメントを作成し公開している。この中でAPT攻撃の具体的な攻撃について説明しており、シュワルツ氏はこのドキュメントに沿って解説した。
APT攻撃は、いくつもの構成要素が組み合わされているのが特徴。最初に挙げられるのは、ネットワークへの侵入だ。
「企業などがAPT攻撃を受けるかどうかは、企業のセキュリティチームがなんらか失態を犯したからではありません。セキュリティチームの行動とは別プロセスでの失態によるものがほとんどです」(シュワルツ氏)
たとえば社員の誰かが、Webサイトに行きマルウェアをダウンロードしてしまったり、SPAMメールを誤ってクリックしてしまったりすることをきっかけに、侵入を許してしまう。
ネットワーク侵入のきっかけの多くは、スピアフィッシング(Spearfishing)や水飲み場型攻撃だ。小規模な銀行、ニュースなどのサイトがそういった攻撃の場となる。こういったサイトは小規模なためにあまりセキュリティが徹底されていないためだ。会社で利用しているPCを持ち出し、そんなサイトにアクセスしてしまう。そして、マルウェアに感染。そのPCを会社に持って行き、その企業のネットワークがマルウェアの侵入を許してしまうわけだ。
PCがマルウェアに感染した次のステップが、リモートアクセス型のトロイの木馬による攻撃だ。このトロイの木馬は、インターネット上で無償で手に入るようなものもあれば、それらのカスタム版などがある。さらに、APT攻撃を仕掛けてくる犯罪者は、リモートアクセストロイの木馬を使い、ネットワークにバックドアを仕掛けるのが常だ。
3つめは、標準ポートや標準的なプロところを利用するということ。つまりはHTTP、DNS、SMTPなど、インターネットを利用するならば必要となるサービスのプロトコルやポートを利用するのだ。これら「標準」を使うことで、進入しやすく検知されにくくしている。「1日に何百万通というDNSメッセージが飛び交うようなネットワークで、問題あるものと正常なものを見分けるにはどうしたらいいでしょうか?」とシュワルツ氏は問いかける。これらを区別するのは、そう簡単なことではないのだ。
4つめは、ランダムなファイル名が使われることだ。これは、たとえばHTTPでランダムなURLを使ったり、ファイルシステムでランダムなファイル名を使う。ファイル名がランダムだとシグネチャ型アンチウィルスソフトなどでは、マルウェアを見つけ難くなる。さらに、脅威の発信元がダイナミックDNSなどを使ってコミュニケーションすることも問題だ。たとえば、防御側が不審なサイトなりからのアクセスを、特定のIPアドレスを指定してブロックしようとしても、何千もあるIPやドメイン名を利用しているので、それをくぐり抜けてしまうのだ。
