孫氏の『兵法・謀攻篇』には、「彼を知り己を知れば百戦殆うからず」ということばがある。セキュリティ対策とは、まさにこうあるべきだ。サイバー攻撃者がどのような手法を用いて攻撃を仕掛けてくるのか、どのような情報を窃取しようとしているのかを知ることからはじめる。そのうえで、自社はどのような情報を守るべきか、どのような対策を採るべきかを検討すればよい。 サイバー犯罪者らの手口を知る手段として、セキュリティベンダーのファイア・アイが毎年提供している脅威レポート「M-Trends®」をおすすめしたい。このレポートを作成しているのは、ファイア・アイの研究組織の1つである「Mandiant」チームである。

もともとMandiantは、インシデントレスポンス専門のセキュリティサービスベンダーとして、年間数百件ものインシデントに対応してきた実績がある。2014年にファイア・アイと統合し、同社のインテリジェンスの源として機能するようになった。Mandiantは、豊富なインシデント対応の経験を基に、攻撃者の手口や特長を細かに分析し、レポートとして発表している。

2013年2月に発表された「APT1: Exposing One of China's Cyber Espionage Units」(APT1レポート)が記憶に新しい。APT(Advanced Persistent Threat)とは、国家レベルのスパイ活動を中心にサイバー攻撃を仕掛けるグループの呼称である。APT1レポートでは、「中国人民解放軍に所属する部隊が、2006年ごろから、米国を中心とした世界中の組織に対してサイバー攻撃・スパイ活動を行っていた」ということを指摘した。攻撃に利用されたマルウェアやサーバのドメイン、複数の攻撃者すら特定しており、同社の分析能力を含めて話題になった。

現在でもMandiantの分析活動は継続されており、2014年11月には「APT28(ロシアに拠点を置き、ロシア当局の利益となる相手国の政府・軍などを狙った攻撃を仕掛けていた)」、2015年4月には「APT30(中国を拠点として、東南アジア・インドの政府関係者や企業をターゲットとして10年以上も攻撃を行っていた)」といったレポートを発表している。

M-Trends®は、Mandiantが年次で発表している脅威レポートであり、過去1年間のセキュリティ事情を細かにまとめたものである。これほど早く詳細にレポーティングできるのも、Mandiantが世界でもトップレベルの高い情報収集・分析の能力を有しており、膨大なノウハウとデータを蓄積しているからにほかならない。

ファイア・アイ シニア・スタッフ・リサーチ・アナリストの本城信輔氏に、2015年4月12日(米国時間)に発表された最新の「M-Trend® 2015」について、ポイントを紹介していただいた。

ファイア・アイ株式会社
シニア・スタッフ・リサーチ・アナリスト
本城信輔氏

攻撃に気づいたのは8年後

M-Trend® 2015の冒頭に示されたインフォグラフのデータに、興味深い数字があった。「攻撃を受けたことを、企業がどのように気づいたか」という項目で、自ら気づいた企業は「31%」にすぎないというのだ。7割近い被害者は、他者の指摘があって初めて攻撃を受けていたことに気づいたということである。米国の例では、連邦捜査局(FBI)がサイバー犯罪者グループを摘発し、押収したサーバを調査したところ被害者が明らかになり、その連絡を受けるまで情報窃取に気づいていなかった企業もあると聞く。

「攻撃に気づくまでの日数を調べたところ、平均値で205日が経過していました。最長では2982日、8年以上が経過していた例もあると言います。しかもこれらは、あくまでも“攻撃に気づいた企業”のデータです。いまだに気づいていないケースも少なくないでしょう」(本城氏)

日々進化するサイバー犯罪者の手口を知る、最新レポート

年間数百件ものインシデントに対応してきたインシデントレスポンス専門のセキュリティサービスベンダー「Mandiant」チーム作成の最新レポート『M-Trends® 2015・セキュリティ最前線からの視点』
---
今なら全28Pの当レポートがこちらからダウンロード可能

もう1つ注目したいのは、標的型攻撃のフィッシングメール(APT Phishing)が、「何曜日に」送信されたかという数値である。このデータによると、日曜日と月曜日はほとんど計数されておらず、火曜日から土曜日にかけて、つまりウィークデーに攻撃活動を行っているということがわかった。

「つまり、サイバー犯罪者らは“職業”として攻撃を行っているのです。普通の会社員のように働いて、ウィークエンドにはお休みする。APT28で報告されているマルウェアも、ロシアのウィークデーに作成されていたことが明らかになりました。旧来のサイバー犯罪とは明らかに異なる傾向であり、明確なビジネスと化していることの証拠と言えます」(本城氏)

(左上)7割近い被害者は、他者の指摘があって初めてサイバー攻撃を知る/(右上)攻撃に気づくまでの日数は、中央値、最長では2982日/(右下)標的型攻撃のフィッシングメール(APT Phishing)はウィークデーに攻撃活動が活発になる『M-Trends® 2015・セキュリティ最前線からの視点』より

トレンド1:被害は公表すべし

 M-Trends® 2015では、4つのテーマで2014年のサイバー攻撃についてまとめている。1つ目は、「被害は公表すべきかどうか」というものだ。サイバー攻撃による情報漏洩が発覚したとき、隠蔽したほうがよいのだろうか、それともすぐに公表するほうがよいのだろうか。

国内においても、2014年には著名企業の情報漏洩事件・事故が話題となった。その中には、公表が遅れたり、公表した内容が曖昧であったりして、対応の不備が揶揄されるケースが目立った。かと言って、公表しなくとも、外部の情報によって明らかになることはまちがいない。前述したように、被害の70%は外部の情報によるものであるからだ。

 結論としては、公表すべきとしてまとめている。ただし、公開する情報によっては噂がひとり歩きし、風評被害を受けるおそれもある。きっちり調査したうえで、先手を打つことが寛容だ。

トレンド2:小売業が狙われている

 2つ目のポイントは、攻撃対象のランキング第2位に「小売業(Retail)」が浮上してきている点だ。ポイントは、つまり、小売業で利用される販売管理用の「POSシステム」を狙い、顧客のクレジットカード情報などの窃取を試みる攻撃が増えているということである。POSシステムのネットワークは、通常の情報ネットワークとはドメインを分割して、外部からアクセスできないようにするのが一般的である。しかしサイバー犯罪者らは、情報ネットワーク上の設定ミスや管理の不備、システムの脆弱性などを悪用して、社内ネットワークを経由してPOSネットワークに侵入を試みるという。

「最近では、パスワード奪取ツールも進化し、より簡単に短時間で窃取できるようになっています。ネットワークを分けているから、外部からの直接的な攻撃はないと安心してしまうのは早計です。社内システムであっても、パスワード管理などの運用は厳しく行うべきです」(本城氏)

トレンド3:新たな攻撃の手口

3つ目は、新しい攻撃手法が登場している点だ。特に目立つのは、「VPNへの不正アクセス」と「抗フォレンジック」の2つである。

VPNは、許可されたユーザーや端末のみが社内ネットワーク等にアクセスできるようにする技術であり、古くからさまざまなシーンで利用されている。ID/パスワードよりも安全な方法として、端末にインストールした電子証明書を認証に用いる手法もある。昨今では、ソーシャルエンジニアリングの手法で正規ユーザーの端末から認証情報を盗み出し、正規ユーザーに成りすまして、正面から堂々とVPNへ不正アクセスしようとする手口が増えているという。

「VPNを介してアクセスしてきたユーザーや端末は、それだけで信頼できると判断するシステムの作りもよくありません。ネットワークに接続しただけで、社内システムや機密情報へ自由にアクセスできてしまう仕組みでは、サイバー攻撃者のやりたい放題です」(本城氏)

もう1つの犯罪者らの傾向として、セキュリティサービスベンダーなどのフォレンジック調査があっても、気づかれないような手法で攻撃を仕掛けている点だ。例えば、Windows Management Instrumentation(WMI)やPowerShellなど、監視しにくく、従来のフォレンジックでは調査対象外であった技術を悪用するケースだ。攻撃者のトレンドを知らず、旧来のフォレンジック手法しか採れないようでは、攻撃に気づくことすらできないというわけだ。

トレンド4:高度な技術が標準的に

4つ目のトレンドは、高度な攻撃手法が広まりつつあるという点である。注目されている標的型攻撃は、ソーシャルエンジニアリングや専用のカスタムマルウェアなどの手法を多用し、ターゲットを絞って大きな利益を得ることを目指したものである。そうした技術が、さまざまな攻撃や犯罪者グループで利用されるようになっている。つまり裾の尾が広がりつつあるというのだ。

M-Trend® 2015では、ソーシャルエンジニアリングやカスタムマルウェア、クライムウェアなど、5つの項目について注意を呼びかけている。


冒頭で述べたように、万全のセキュリティ対策を採るためには、攻撃者の手口・トレンドを知ることが最も重要である。本稿でも想像できるように、攻撃者は常に進化を続けている。私たちの持っているセキュリティ対策の常識が、次の年には非常識になっているかもしれないのだ。サイバー攻撃を過小評価することなく、自社の対策を過大評価することなく、柔軟に適切な対応を心がけるべきである。

ファイア・アイとMandiantが提供する「M-Trend®」は、対策を図るための貴重な情報源である。ぜひダウンロードして、詳細を確認していただきたい。

日々進化するサイバー犯罪者の手口を知る、最新レポート

年間数百件ものインシデントに対応してきたインシデントレスポンス専門のセキュリティサービスベンダー「Mandiant」チーム作成の最新レポート『M-Trends® 2015・セキュリティ最前線からの視点』。Mandiantが実際に対応した数百件ものインシデント事例に基づく主要な統計や分析結果、ケーススタディを紹介。
---
(目次)
被害の統計
傾向1:被害の公表をめぐる問題
傾向2:狙われる小売企業
傾向3:進化する攻撃ライフサイクル
傾向4:あいまいになる境界線 - 互いの手口を模倣するサイバー犯罪者とAPT攻撃者 など
▼今なら全28Pの当レポートがこちらからダウンロード可能

[PR]提供: