RSA(EMC、セキュリティ部門)のエディ・シュワルツ 最高情報セキュリティ責任者(CISO)が9月30日に来日し、標的型攻撃(APT)がどのような攻撃パターンを行っているのか解説を行った。
同氏は、米国務省で外務省職員として勤務したほか、VeriSignが買収したGuardentのオペレーション担当シニア・バイスプレジデントなどを歴任し、情報セキュリティ分野で25年以上の経験を持つ。
また、いくつものセキュリティ企業立ち上げを支援し、Banking Information Technology Secretariat(BITS)のエグゼグティブ・コミッティにも参加していた。
標的型攻撃のプロセスとは
シュワルツ氏は会見で「今日はAPTの"Blueprint"、青写真について話す。攻撃者は、設計の段階で青写真を描くんだ」と話し始めた。
APTはいくつもの攻撃要素からなる。社内ネットワークへの侵入が第一段階の攻撃だが、侵入を許した多くのケースでセキュリティチームのミスは認められないという。
理由は、社員が不審なEメールのリンクを安易にクリックして、転送されたサイトにマルウェアが仕掛けられているスピアフィッシングや、実際は信頼できるサイトが改ざんされてマルウェアが仕掛けられている水飲み場型攻撃などにある。
特に水飲み場型攻撃は、セキュリティ対策が行き届いていないことの多い小規模な銀行や、協会、ニュースサイトなどのサイト改ざんによって行われるため、対策が非常に難しいという。
それに加えて、第二段階の攻撃では、リモートアクセス型のトロイの木馬(RAT)が利用される。第一段階で侵入したマルウェアがバックドアを開き、インストルされている主要ソフトの脆弱性を突くゼロデイ攻撃といったものを引き起こす。
バックドアを開く際に、通信には標準的なプロトコルやポートを使用しているため、通常は標準外のポートを監視している現状のセキュリティ製品では検知が難しいという。それに加えて、ファイル名もランダム化されているため、アンチウイルスソフトのシグネチャが配信されていてもスルーされてしまうケースが多いという。
シュワルツ氏は「攻撃者はドメインを何百、何千と持っていて使い分けるため、通信の監視も容易ではない。普通のアンチウイルスソフトはこれらの要因から意味を成さなくなるケースが多くなっている。トップ企業は、セキュリティ予算の70%を予防型ソフトに投資しているが、検知型ソフト、対応型ソフトに予算を分配すべき」としている。