さて、一度侵入した攻撃者は、遠隔操作によって機密情報などを窃取する。その段階が内部活動となる。まず、注目したいのは、新たな内部情報窃取ツールの登場だ。
以前からもActive Directoryサーバーを侵害し、アカウント情報を窃取する攻撃は存在した。2015年では、マイクロソフト管理者用の新たな正規ツール「DSQUERY」や「CSVDE」の悪用も確認された。DSQUERYは、Active Directoryのデータを検索する。管理者が保存するデータを確認する調査に使われたとみられる。CSVDEは、Active Directoryのデータを管理するツール。このエクスポート機能が、データを丸ごと吐き出させ、抽出して窃取するという攻撃に悪用された。
複数の不審イベントログを組み合わせた監視が有効
マイクロソフトの正規ツールを使っている場合、単体の不審なイベントのみでは攻撃の判断が難しい。図8は、不審な通信イベントログを解析したもの。
通信イベントログ単体での監視で、遠隔操作ツールが確認された割合は最大で6割、ものによっては2割以下しかない。この数値、岡本氏はノイズレベルと断ずる。つまり、単体での監視では、標的型攻撃を検知できないというわけだ。そこで、2種類以上の不審なイベントの相関を調べることで、攻撃を判定する。
2種類以上のイベントログを組み合わせた監視では、100%の確認率で遠隔操作ツールを確認できた。イベント単体の監視ではなく、攻撃シナリオに沿った監視が有効だと、岡本氏は指摘する。
侵入後は、重要情報を窃取するまで長期的に活動する「潜伏型」と、数時間から1日で情報を窃取する「速効型」の二極化も進んでいるという。その違いは、図10を見ていただきたい。
潜伏型は、従来の標的型攻撃といってもいいだろう。速攻型は、これまでの無差別に行われるマスメール攻撃に近いものともいえる。なぜ攻撃の二極化が進むのか? 岡本氏によれば、例えば、速攻型攻撃でまず攻撃対象となるメールアドレスやアカウントを窃取。その後、入手した情報を基にメールによる従来型の標的型攻撃を行う、"使い分け"だという。
潜伏型では、最終的に機密情報の窃取にあるので、長期間にわたり潜伏し、情報を探し出す。しかし、速攻型は、攻撃対象の事前情報の収集や周辺組織の情報を狙う。攻撃者は、この2つを使い分けて攻撃している(速攻型だけならば、旧来の攻撃になってしまう)ことがあきらかになっている。そのため、目標とする企業・組織以外にも、取引先や知り合いといったレベルまで攻撃対象が拡大される。
また、社内サーバーの脆弱性を悪用した権限昇格(ドメインの管理者)の攻撃も確認されたとのこと。社内サーバーは、リモート実行の脆弱性などと比べると脆弱性対策が後回しになりやすい。この緩みを攻撃者が狙っていると岡本氏は指摘する。