Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

変化を続ける標的型攻撃、2015年の傾向と新たな手口

edited by Security Online   2016/05/12 06:00

 5月10日、トレンドマイクロは2015年の国内における標的型攻撃を分析したレポートを発表するとともに、同社セキュリティエバンジェリスト 岡本勝之氏が標的型攻撃の傾向を解説した。

 日本年金機構が標的型攻撃を受けて大量の個人情報流出が生じたのは2015年5月。まだ記憶に新しい。2015年を振り返ると、やはりこの影響は大きかった。トレンドマイクロが発表したレポート(参考:国内標的型サイバー攻撃分析レポート)から標的型攻撃と2015年の傾向を振り返る。

写真:トレンドマイクロのセキュリティエバンジェリスト岡本勝之氏

トレンドマイクロのセキュリティエバンジェリスト 岡本 勝之氏

 標的型攻撃とはサイバー攻撃の1つで、攻撃対象を明確に定めて行うもので、用意周到に準備し、いくつかの段階を踏んで目的を達成させる。多くは企業や組織が持つ情報の奪取を目的とする。緻密で執念深い攻撃である。  

 トレンドマイクロのセキュリティエバンジェリスト岡本勝之氏は、標的型攻撃の本質を示すキーワードを3つ挙げた。「継続」、「隠蔽」、「変化」。標的型攻撃は「継続」的に行い、ばれないように存在を「隠蔽」したり、自分の姿を「変化」させたりするからだ。

「標的型サイバー攻撃」の攻撃手法 出所:トレンドマイクロ株式会社

「標的型サイバー攻撃」の攻撃手法 出所:トレンドマイクロ株式会社

 標的型攻撃は潜伏し、多くは「気づけない」ままでいる。同社の調査によると、企業のおよそ4社に1社はすでに侵入されているという。同社の監視サービス事例から無作為抽出したところ、不審な通信を確認したのがおよそ1/4ということだ。細かく見ると2014年が26%で2015年で23%なので、幸いなことに微減している。また同社の標的型攻撃支援サービスからの集計によると、被害に気づくのが平均して最初の侵入から156日(約5か月)経過してからと出ている。  

 攻撃手法も徐々に手口を変えるなど巧妙化している。標的型攻撃で初期の攻撃のほとんどはメールが用いられる。多くは圧縮された添付ファイルにマルウェアなどを仕込む。中にはURLで誘導するものもあるが、メールを使う点では同じ。URLを使ったものは7月に集中しており、サンプルを見ると全てAdobe Flash Playerの脆弱性を悪用したものだった。脆弱性が報告された直後である。「機を見るに敏」と岡本氏。  

 標的型攻撃というと、大きな特徴に遠隔操作用サーバーがある。2015年前半(1月~6月)と後半(7月~12月)で遠隔操作用サーバーの設置国の割合を見ると、日本の割合が44%から27%とぐんと減っている。岡本氏によると日本年金機構の事象が大きな警笛となり、標的型攻撃への調査が厳しくなり、結果的に日本における遠隔操作用サーバーがテイクダウンされるなど絶対数も割合も減ったという。  

 標的型攻撃で侵入が成功すると、次は内部活動へと移り情報探索、情報集約、情報送出といった活動を行う。目的となる情報を探し、外部に送るために収集する。侵入時には不正なメールや脆弱性の悪用が見られるが、内部活動では比較的正規のコマンドやツールが悪用されることが多い。  

 管理者権限奪取の手口としては従来から報告されている「WCE(Windows Credential Editor)」や「MIMIKATZ」に加え、2015年は「Quarks PwDump」の悪用も確認された。これらは本来は管理者用ツールではあるが、パスワードを奪取するために悪用されている。加えてWindowsの「Kerberos認証」の脆弱性(修正プログラム「MS14-068」)を悪用した痕跡も確認されている。  

 同様に内部情報窃取の手口として、マイクロソフト社の管理者用正規ツール「DSQUERY」、「CSVDE」を悪用してActive Directoryサーバー内の情報を窃取するものも確認されている。これはサーバー内のデータをエクスポートするもので、組織内の情報収集に使われる。  

 侵入され、管理者権限が奪取されてしまうと、遠隔操作による内部活動か、本来の管理者が行う通常業務なのか、見極めるのが困難になる。ファイルコピーにしてもファイル転送にしても、遠隔操作と通常業務が混在しているからだ。ただし方法はある。単体では見極められなくても、複数のログを監視すれば遠隔操作によるものとほぼ確実に判別できるようだ。岡本氏は「内部活動の攻撃シナリオに基づき、複数の不審な通信イベントログを組み合わせて監視することが重要です」と述べる。  

 今後の攻撃について岡本氏は「標的組織周辺への攻撃範囲拡大」と「攻撃者や攻撃手法の分業化」を挙げる。前者は攻撃対象の範囲を広げて侵入の機会を増やし、最終的な目的に到達する成功率を高めるということと。後者は攻撃手法を長期間継続する「潜伏型」と迅速に情報を奪う「速攻型」など、使い分けが見られていることを指す。  

 対策のポイントを岡本氏がいくつか挙げた。侵入時対策では(最初の侵入経路はほぼメールなので)標的型メールには十分注意を払い有効な対策を導入すること、通信内容によっては接続を遮断する対策を導入すること。内部活動対策では複数の挙動を監視して早期発見できる対策を導入すること、攻撃を検知したら迅速に対応できる体制を構築すること。また全体として端末やサーバーの脆弱性を解消しておくこと(最新のパッチを当てるなどする)はもちろん、多階層で対策を導入すること、対策を常に更新すること。  

2015年の標的型サイバー攻撃傾向から考える対策ポイント 出所:トレンドマイクロ株式会社

2015年の標的型サイバー攻撃傾向から考える対策ポイント 出所:トレンドマイクロ株式会社

 最後に岡本氏は「攻撃の裏にいるのは人間です。攻撃手法を常に変化させてきます。1種類の防御方法だけにこだわるのではなく、複数の方法を使うこと、常に対策を更新し続けるのが大事です」と述べて、引き続き警戒を怠らないようにと注意喚起した。

 



著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5