この数年、急激に耳にする機会が増えてきた「APT攻撃」。ときに国家レベルにまで及ぶ被害の大きさから最近では啓蒙記事も増えており、概念についてはご存知の方も多いはずだ。

しかし、そのAPT攻撃において具体的に、どういった経路を使い、どういった頻度で攻撃してくるのか、正確に把握できている方はどれだけいるだろうか。セキュリティ担当者として必要なのは、リスクを評価し対策を施すこと。知識欲を満たして終えるのではなく、有事の際にその兆候を掴めるレベルにまで落とし込むことが求められるが、そこまでできている担当者はごく一握りと想像する。

そこで本稿では、チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)が発行する「チェック・ポイント セキュリティ レポート 2013年版」から引用するかたちでサイバー攻撃の実態について解説する。実数値を用いて極力詳細に紹介していくので、ぜひ参考にしてほしい。

63%の組織でボット感染を発見

一般にAPTと呼ばれる攻撃において、最初の攻撃ステップと見られているのが、ボットを組織のネットワーク内に送り込む作業である。ボットは、C&C(Command & Control)サーバからの指令を受け、その形態を変えたり、感染網を広げたり、各種の情報を外部に送ったりとさまざまな行動をとり、最終的にターゲットとする情報を窃取する。情報窃取後は痕跡を消す作業までやってのける。

何やら特殊な動きをしており、一般のシステム管理者には縁遠い話のように思えるかもしれない。しかし、実際は非常に身近に起きている問題のようだ。

チェック・ポイントのレポートによると、調査した組織の実に63%で1件以上のボット感染が確認されたという。しかも、ほとんどは複数のボットに感染しているという状況にあったようだ。

すべてのボット感染がAPT攻撃によるものと断言をすることはできないが、ボット感染は珍しいものではないとご理解いただけるであろう。

組織に侵入したボットは、端末のみならず、ホストにまで侵入を試みる。ホストに関しても一度感染してしまえば瞬く間に広まる。レポートでは10台以上のホストに感染した組織が、全体の24%にも上っていたことを明かしている。

またレポートでは、C&Cサーバとの通信についても触れている。

C&Cサーバとの通信は、昨今注目されているボット検出ポイントの1つである。というのも、今やボット開発の勢いはシグネチャの更新ペースを上回っており、エンドポイントソリューションによってボットの侵入を防ぎきるのは難しい状況だ。しかし、ほとんどのボットは前述のとおり、C&Cサーバと通信しながら稼働する。そこで、「侵入を防げないのであれば、悪事を働く前に止めてしまおう」という発想の転換の下、通信を監視し、悪意あるサイトとのやりとりをはじめたプログラムは隔離するという施策がとられることが多い。

では、ボットはどの程度の頻度でC&Cサーバとの通信を行うのか。その結果は以下のとおりである。

70%が2時間以下であり、平均すると21分間隔という結果だった。一方で、システム管理者に見つからぬよう通信間隔を4時間以上空けるケースも24%に上っている。管理者は、昨今のボットがこうした動きをすることも頭に入れておくべきだろう。

C&Cサーバの設置国については以下のとおり。

C&Cサーバ設置国 割合
米国 58%
ドイツ 9%
オランダ 7%
フランス 7%
中国 4%
カナダ 3%
ルーマニア 3%
ベネズエラ 3%
アルゼンチン 3%
オーストラリア 3%

米国が58%、ドイツが9%、オランダ、フランスが7%ずつ、中国が4%と続く。システム管理者は、こうした国への通信に対してもアンテナを張っておくべきかもしれない

さらにチェック・ポイントでは、特に警戒が必要なボットネットとして以下の名前を挙げている。

特に警戒が必要なボットネット
Zeus オンライン・バンキングのクレデンシャルを窃取
Zwangi 不要な広告メッセージをユーザに表示
Sality 自己拡散するウイルス
Kuluoz リモートから悪意のあるファイルを実行
Juasek リモートから悪意のある活動8(ファイルの検索、作成、削除など)
Papras 財務情報を窃取、リモートからのアクセス権を取得

いずれのボットネットも詳細な情報が公開されているので、時間のあるときに大まかな動きを把握しておくとよいだろう。

75%の組織が不正なWebサイトにアクセス

ボットを含むマルウェアの感染経路の1つに不正なWebサイトがある。リンクや広告から不正なWebサイトに誘導し、ボットをはじめとするマルウェアをダウンロードさせるといった具合だ。

チェック・ポイントの調査によると、75%の組織で不正サイトへのアクセスが検出されたという。複数のホストで痕跡が発見されたケースも多く、69%の組織は3台以上のホストが不正サイトへアクセスしていたという結果になっている。

また、実際にマルウェアをダウンロードしてしまった回数に関しては、24回超が全体の43%を占める。マルウェアをダウンロードしていたホストの数についても、過半数の組織は5台以上という結果だった。

こうしたマルウェアによる攻撃の糸口となることが多いのが、各種ソフトウェアの脆弱性である。話題になりやすいのは未知の脆弱性をついた攻撃だが、実際は既知の脆弱性を利用したもののほうが発生頻度は高い。

では、1年間にどれくらいの数の脆弱性が発見されているのか。2012年にCVE(Common Vulnerabilities and Exposures)へ登録された脆弱性の数は以下のとおり。

5674件で昨年の5235件から450件近く増加している。

ベンダー別の割合を出すと以下のようになる。

ここで言うOracleには、同社が買収したSunによって提供されていたJavaの脆弱性も含まれている。いずれも広く利用されているソフトウェアばかりで、いつだれが被害に遭ってもおかしくないことがおわかりいただけるだろう。

*  *  *

以上、「チェック・ポイント セキュリティ レポート 2013年版」から数字を拾うかたちで、各種脅威の実態について説明したが、いかがだっただろうか。

APT攻撃をはじめとして、脅威の高度化が進むにつれて、対策は難しくなっていく。セキュリティ対策を強化するには、さまざまな脅威に対抗するために、マルウェアを検出・ブロックするアンチウイルス、ボットを無力化するボット対策、攻撃者の侵入を未然に防ぐIPS、マルウェアを拡散する不正Webサイトへのアクセスを防ぐURLフィルタリングなど、多層防御の仕組みを取り入れる必要がある。

そして何よりも重要なのは、APT攻撃のような高度化したサイバー攻撃が急増している事実、さらに対策の遅れからサイバー攻撃の標的になっている企業・組織が非常に多いという事実を知ることだ。

今回紹介したチェック・ポイントの調査でも明らかになったように、セキュリティ対策が不十分な企業・組織は非常に多い。目に見える被害がないからといって、自社のセキュリティ対策は万全だと過信してはいけない。