世界規模で100万にもおよぶコンピューターへの感染、インターネットバンキングのパスワード窃取による1億ドルを越えると推測される損失も懸念されるZeusの亜種GameOver。米司法省や米国連邦捜査局をはじめ、各国機関も連携するなど大規模な活動停止作戦が行われている。コマンド&コントロール(C&C)によるDDoS攻撃など複雑な構造で被害を拡大させている。

セキュリティベンダーであるWebsenseが、このGameOverに関する考察をオフィシャルブログに掲載している。コマンド&コントロール(C&C)にpeer-to-peer(P2P)技術を使う点で異なることで従来の典型的なZeusとは趣を異にすることや、金融以外のターゲットとして年金管理、教育などのジャンルが高いことも指摘している。オフィシャルブログの中で、このGameOver ZEUSが複雑な構造を持ち、いくつかの段階に分けた対処が必要であることを示している。

同社では、複雑な構造を持ち、段階に分けた攻撃を"キルチェーン"という概念で改めて捉える必要があるとして5月20日に「2014年度版 Websense脅威レポート」を公開している。キルチェーンという概念は、Find(発見)、Fix(固定)、Track(追跡)、Targeting(照準)、Engage(交戦)、Assess(査定)など、段階を踏んだ攻撃シナリオを意味する軍事的な考え方のひとつ。多重且つ高度な技術を備えたサイバー攻撃には符合するとし、セキュリティ的な視点から詳細なアプローチ(説明/動機/実行/対策)を加えている。

Websense(ウェブセンス)は、米国サンディエゴに本拠地を構える。1994年に設立され、早くから企業向けのフィルタリングソリューションを展開してきた同社は、2003年に業界で初めて、マルウェアに感染したサイトなど危険なサイトへのアクセスを防止するセキュリティカテゴリを加えた、Webセキュリティの草分け的存在でもある。2004年には、「Websense Security Labs」を設立。集積してきたデータベースを軸に、Webを通じた攻撃やキーロガーなど、金銭を目的とするような攻撃への対応を早い段階から図ってきた。2006年にPortAuthority社、2007年にSurfControl社を買収し、Webセキュリティに加えてメールセキュリティ、DLP (Data Loss Prevention)とラインナップを揃えているセキュリティ専門の企業。

2008年にはWebコンテンツをリアルタイムで解析してマルウェアなどの悪意を検出するゲートウェイをリリースし、2010年には、メールやWeb、DLPなど複合的なセキュリティリスクを単一で防ぐ「Websense TRITON solution」を展開、2011年にはいち早く飛躍を続けるFacebookとも提携し、膨大な量の悪質なリンクを防ぐことに一役買っている。"Webからの脅威"や"金銭を狙うような悪質な脅威"など、コンピューターセキュリティのターニングポイントとなるような時期に、即座に対応を図れるのは、同社が持つ大量のURLデータベース情報の分析の積み重ねの成果だ。

「2014年度版 Websense脅威レポート」では、冒頭、米国国家安全保障局という世界トップクラスの技術力を誇る組織からの内部データ漏洩、新種のマルウェアによる大手小売業のPOSシステムがターゲットにされたデータ侵害事件、高校のフットボールチームがライバル校の情報を得るためにサイバー犯罪に触手したインシデントなどに言及。2013年は、"標的型攻撃が例外ではなく、一般的な攻撃と捉えなければならない"としている。

段階1:偵察

レポートでは、マルウェア「Mevade」を一例として挙げている。リバースプロキシや「Tor」などを利用した複雑な攻撃はネットワークトラフィックからの検出を回避。感染は、データベースやドキュメントリポジトリなどのデータ盗取キャンペーンを作成する。

段階2:誘導

水飲み場型攻撃を誘導の手口のひとつとして紹介、2013年のNBC.comへのサイバー攻撃を例に出している。同社のWebsense Security Labs Blogにおいても紹介されているが、米NBCユニバーサルのWebサイトが改ざん。iframeタグをJavaScriptのdocument.writeln、1行を用いて訪れたユーザーを悪意あるWebへと向かわせていたとされる。レポートには、2013年のWebおよびメールによる誘導の発生分布を纏めた「地域別誘導発生分布図」も掲載されている。

段階3:リダイレクト

2014年前半に発生したYahoo!への攻撃を例として挙げている。広告配信をサーバへのハッキングから多数のユーザーがエクスプロイトキットへとリダイレクトされ、Java脆弱性を狙った攻撃につながったとされる。またリダイレクトの手法にも高度化が見られることも述べている。真の意図を隠すために10から20のリダイレクトを組み合わせるような断片化リダイレクトにも言及している。

段階4:エクスプロイトキット

エクスプロイトキットでは、「Blackhole Exploit Kit」の作成者とされる通称「Paunch」の2013年10月の逮捕により、大多数を占めていたBlackhole(BHEK)から、サイバー犯罪者達がMagnitudeやGUMBLAR、NEUTRINOなどのエクスプロイトキットを試し始めたこと、またJavaの脆弱性や古いバージョンのまま利用している状況が多くの企業にとってリスクであることにも触れている。

段階5:ドロッパファイル

実行時に自身をコピーしたり、別のマルウェアを作成する性質を持つドロッパファイル。従来のシグネチャベースのアンチウイルスでは、ソースコードにわずかな修正を加えるだけで回避されるほか、サンドボックスやふるまい分析型防御に対する回避機能を備えるものが蔓延。特にサンドボックス技術に対応するため、仮想環境を示唆する要素がないかを検証する能力を持つなど回避テクニックの急増を指摘している。

段階6:C&C通信

ドロッパファイルは、コマンド&コントロール(C&C)サーバへの通信を行い追加の行動を起こす。2013年の下半期から蔓延を示したMevadeによる攻撃では、フルプロキシ機能のインストールやTorを利用した隠蔽なども見られている。また、C&C通信の段階では、証明書のオーバーヘッドが生じることからSSL/TLSはほとんど利用されず、カスタム暗号化が用いられるケースもあることを指摘している。

段階7:データ窃取

最終段階であるデータ窃取。この犯罪者の最終目的とも言える段階は、他のステップに比べてイベントとしての発生件数は極端に少ないことを念頭に入れておく必要がある。たいていの場合は、わずか1回のステップでデータ窃取を行う。窃取段階では、C&Cの場合と比べてSSLが用いられることも多く、また窃取段階でも30%はカスタム暗号化が用いられているという。また、最終的には次の何れかの方法でデータを転送する。

  • 暗号化をせずに一見正当なやりとりで大量のデータトラフィックを送信
  • 一般的なデータ転送手段になりつつあるSSL/TLSを使用し、暗号化して送信
  • 正当なデータチャネル経由でカスタム化された暗号化形式でファイルを送信

「2014年度版 Websense脅威レポート」

GameOver ZEUSも記憶に新しい複雑化するセキュリティリスク。セキュリティベンダーWebsenseが最新のセキュリティ動向と対策とすべき指針を明かす。キーワードは"キルチェーン"。
多層的な攻撃が一般的になりつつある昨今、改めて各ステップを考察することが求められる。ホワイトペーパー「2014年度版 Websense脅威レポート」は以下からダウンロードできます。

⇒ホワイトペーパーをダウンロードする

(マイナビニュース広告企画)

[PR]提供:ホワイトペーパー